防火墙划分安全端口和配置域间NAT
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验十一防火墙划分安全端口和配置域间NAT
一、实验目的
1.根据网络规划为防火墙(USG)分配接口,并将接口加入相应的安全区域。
2.创建ACL,并配置ACL规则。
3.配置域间NAT和内部服务器。
二、组网需求
如图所示,某公司内部网络通过防火墙(USG)与Internet进行连接,网络环境描述如下:
1、内部用户属于Trust区域,通过接口GigabitEthernet 0/0/0与防火墙(USG)连接。
2、FTP和Web服务器属于DMZ区域,对外提供FTP和Web服务,通过接口GigabitEthernet 0/0/1
与USG连接。
3、防火墙(USG)的接口GigabitEthernet 5/0/0与Internet连接,属于Untrust区域。
配置NAT和内部服务器,完成以下需求:
∙需求1
该公司Trust区域的192.168.0.0/24网段的用户可以访问Internet,提供的访问外部网络的合法IP地址范围为200.1.8.3~200.1.8.13。由于公有地址不多,需要使用NAPT(Network Address Port Translation)功能进行地址复用。
∙需求2
提供FTP和Web服务器供外部网络用户访问。Web Server的内部IP地址为192.168.1.200,端口为8080,其中FTP Server的内部IP地址为192.168.1.201。两者对外公布的地址均为
200.1.8.14,对外使用的端口号均为缺省值。
三、设备和数据准备
设备一台防火墙(USG2200)、两台交换机、主机3-4台、直通双绞线若干、交叉双绞线、翻转配线;为完成此配置例,需准备如下的数据:
∙ACL相关参数。
∙统一安全网关各接口的IP地址。
∙FTP Server和Web Server的内部、以及提供给外部网络访问的IP地址和端口号。
四、操作步骤
1.完成USG的基本配置。
# 配置接口GigabitEthernet 0/0/0的IP地址。
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet 0/0/0] ip address 192.168.0.1 24
[USG-GigabitEthernet 0/0/0] quit
# 配置接口GigabitEthernet 5/0/0的IP地址。
[USG] interface GigabitEthernet 5/0/0
[USG-GigabitEthernet 5/0/0] ip address 200.1.8.2 27
[USG-GigabitEthernet 5/0/0] quit
# 配置接口GigabitEthernet 0/0/1的IP地址。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet 0/0/1] ip address 192.168.1.0 24
[USG-GigabitEthernet 0/0/1] quit
# 将接口GigabitEthernet 0/0/0加入Trust区域。
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/0
[USG-zone-trust] quit
# 将接口GigabitEthernet 5/0/0加入Untrust区域。
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 5/0/0
[USG-zone-untrust] quit
# 将接口GigabitEthernet 0/0/1加入DMZ区域。
[USG] firewall zone dmz
[USG-zone-dmz] add interface GigabitEthernet 0/0/1
[USG-zone-dmz] quit
2.配置NAT,完成需求1。
# 创建基本ACL 2000,配置源地址为192.168.0.0/24的规则。
[USG] acl 2000
[USG-acl-basic-2000] rule permit source 192.168.0.0 0.0.0.255
[USG-acl-basic-2000] quit
# 配置NAT地址池。
[USG] nat address-group 1 200.1.8.3 200.1.8.13
# 配置Trust区域和Untrust区域的域间包过滤规则。
[USG] firewall interzone trust untrust
[USG-interzone-trust-untrust] packet-filter 2000 outbound
# 配置Trust区域和Untrust区域的NAT,将地址池和ACL关联,不使用no-pat参数。
[USG-interzone-trust-untrust] nat outbound 2000 address-group 1
[USG-interzone-trust-untrust] quit
# 配置内部服务器。
[USG] nat server protocol tcp global 200.1.8.14 www inside 192.168.1.200 8080
[USG] nat server protocol tcp global 200.1.8.14 ftp inside 192.168.1.201 20
3.配置内部服务器,完成需求2。
# 创建高级ACL 3000,配置目的地址为192.168.1.200和192.168.1.201的规则。
[USG] acl 3000
[USG-acl-adv-3000] rule permit tcp destination 192.168.1.200 0 destination-port eq 8080
[USG-acl-adv-3000] rule permit tcp destination 192.168.1.201 0 destination-port eq 20
[USG-acl-adv-3000] quit
# 配置DMZ区域和Untrust区域的域间包过滤规则。
[USG] firewall interzone dmz untrust
[USG-interzone-dmz-untrust] packet-filter 3000 inbound
# 配置DMZ区域和Untrust区域的域间开启FTP和HTTP协议的ASPF功能。
[USG-interzone-dmz-untrust] detect ftp //基于状态的报文检测
[USG-interzone-dmz-untrust] detect http
[USG-interzone-dmz-untrust] quit
4.完成需求,验收
1内网192.168.1.0可以访问外网和DMZ区域;
2外网不能访问内网;
3外网200.1.8.1允许访问dmz区域的web和ftp服务。