防火墙划分安全端口和配置域间NAT

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

实验十一防火墙划分安全端口和配置域间NAT

一、实验目的

1.根据网络规划为防火墙(USG)分配接口,并将接口加入相应的安全区域。

2.创建ACL,并配置ACL规则。

3.配置域间NAT和内部服务器。

二、组网需求

如图所示,某公司内部网络通过防火墙(USG)与Internet进行连接,网络环境描述如下:

1、内部用户属于Trust区域,通过接口GigabitEthernet 0/0/0与防火墙(USG)连接。

2、FTP和Web服务器属于DMZ区域,对外提供FTP和Web服务,通过接口GigabitEthernet 0/0/1

与USG连接。

3、防火墙(USG)的接口GigabitEthernet 5/0/0与Internet连接,属于Untrust区域。

配置NAT和内部服务器,完成以下需求:

∙需求1

该公司Trust区域的192.168.0.0/24网段的用户可以访问Internet,提供的访问外部网络的合法IP地址范围为200.1.8.3~200.1.8.13。由于公有地址不多,需要使用NAPT(Network Address Port Translation)功能进行地址复用。

∙需求2

提供FTP和Web服务器供外部网络用户访问。Web Server的内部IP地址为192.168.1.200,端口为8080,其中FTP Server的内部IP地址为192.168.1.201。两者对外公布的地址均为

200.1.8.14,对外使用的端口号均为缺省值。

三、设备和数据准备

设备一台防火墙(USG2200)、两台交换机、主机3-4台、直通双绞线若干、交叉双绞线、翻转配线;为完成此配置例,需准备如下的数据:

∙ACL相关参数。

∙统一安全网关各接口的IP地址。

∙FTP Server和Web Server的内部、以及提供给外部网络访问的IP地址和端口号。

四、操作步骤

1.完成USG的基本配置。

# 配置接口GigabitEthernet 0/0/0的IP地址。

system-view

[USG] interface GigabitEthernet 0/0/0

[USG-GigabitEthernet 0/0/0] ip address 192.168.0.1 24

[USG-GigabitEthernet 0/0/0] quit

# 配置接口GigabitEthernet 5/0/0的IP地址。

[USG] interface GigabitEthernet 5/0/0

[USG-GigabitEthernet 5/0/0] ip address 200.1.8.2 27

[USG-GigabitEthernet 5/0/0] quit

# 配置接口GigabitEthernet 0/0/1的IP地址。

[USG] interface GigabitEthernet 0/0/1

[USG-GigabitEthernet 0/0/1] ip address 192.168.1.0 24

[USG-GigabitEthernet 0/0/1] quit

# 将接口GigabitEthernet 0/0/0加入Trust区域。

[USG] firewall zone trust

[USG-zone-trust] add interface GigabitEthernet 0/0/0

[USG-zone-trust] quit

# 将接口GigabitEthernet 5/0/0加入Untrust区域。

[USG] firewall zone untrust

[USG-zone-untrust] add interface GigabitEthernet 5/0/0

[USG-zone-untrust] quit

# 将接口GigabitEthernet 0/0/1加入DMZ区域。

[USG] firewall zone dmz

[USG-zone-dmz] add interface GigabitEthernet 0/0/1

[USG-zone-dmz] quit

2.配置NAT,完成需求1。

# 创建基本ACL 2000,配置源地址为192.168.0.0/24的规则。

[USG] acl 2000

[USG-acl-basic-2000] rule permit source 192.168.0.0 0.0.0.255

[USG-acl-basic-2000] quit

# 配置NAT地址池。

[USG] nat address-group 1 200.1.8.3 200.1.8.13

# 配置Trust区域和Untrust区域的域间包过滤规则。

[USG] firewall interzone trust untrust

[USG-interzone-trust-untrust] packet-filter 2000 outbound

# 配置Trust区域和Untrust区域的NAT,将地址池和ACL关联,不使用no-pat参数。

[USG-interzone-trust-untrust] nat outbound 2000 address-group 1

[USG-interzone-trust-untrust] quit

# 配置内部服务器。

[USG] nat server protocol tcp global 200.1.8.14 www inside 192.168.1.200 8080

[USG] nat server protocol tcp global 200.1.8.14 ftp inside 192.168.1.201 20

3.配置内部服务器,完成需求2。

# 创建高级ACL 3000,配置目的地址为192.168.1.200和192.168.1.201的规则。

[USG] acl 3000

[USG-acl-adv-3000] rule permit tcp destination 192.168.1.200 0 destination-port eq 8080

[USG-acl-adv-3000] rule permit tcp destination 192.168.1.201 0 destination-port eq 20

[USG-acl-adv-3000] quit

# 配置DMZ区域和Untrust区域的域间包过滤规则。

[USG] firewall interzone dmz untrust

[USG-interzone-dmz-untrust] packet-filter 3000 inbound

# 配置DMZ区域和Untrust区域的域间开启FTP和HTTP协议的ASPF功能。

[USG-interzone-dmz-untrust] detect ftp //基于状态的报文检测

[USG-interzone-dmz-untrust] detect http

[USG-interzone-dmz-untrust] quit

4.完成需求,验收

1内网192.168.1.0可以访问外网和DMZ区域;

2外网不能访问内网;

3外网200.1.8.1允许访问dmz区域的web和ftp服务。

相关文档
最新文档