策略管理(一)——内外网互访

实验四策略管理（一）——内外网互访

【实验步骤】

一、架设实验环境

按照拓扑完成线路连接：

1、WAN口接入一台PC作为外部主机（开启22端口和21端口即SSH服务和FTP

服务），地址10.0.0.253/24,网关指向10.0.0.254；

2、DMZ口接入一个Web服务器提供Web服务，地址172.16.0.2/29网关指向

172.16.0.1；

3、LAN区域接入一个192.168.40.0/24的子网，网关指向192.168.40.1。

二、检查各点网络状况

1、外部主机（10.0.0.253/24），可以ping通防火墙的W AN口地址，但是没有办法到达DMZ区的Web服务器：

2、Web服务器（172.16.0.2/29）主机，无法ping通外网PC：

3、LAN区主机（192.168.40.2/24），无法ping通外网PC。

四、实现访问的互通——设置端口映射

1、进入“防火墙”→“NA T策略”→“DNA T策略”界面，选择对应外网连接；

2、设置规则参数，填写源端口、目标IP、目标端口，选择启用，单击启用。

5、查看”现有规则”

这时一个外网访问内网的通道已经被打开。

6、验证设置，外部主机（10.0.0.100/24），通过http://10.0.0.1:1080可以访问DMZ区的Web服务器：

DMZ区的Web服务器（172.16.0.2/29）主机，仍然无法ping通外网PC：

五、实现访问的互通——为LAN内PC设置对外访问策略

1、“防火墙”→“LAN->WAN策略”→“规则设置”，设置一个访问策略。

2、设置完毕后，单击“保存”，这就预定义了一条名为“LAN-POLICY”的访问策略，当前策略中定义了“对FTP的连接”和“对123端口的UDP通信”，进行拒绝，应用程序无设置。接下来我们就要将该策略应用到某些IP或子网上。

3、“防火墙”→“LAN->WAN策略”→“访问策略”，应用该策略，填写策略的实施对象，选择规则，“点击添加”

4、查看”现有规则”

5、内网PC机（192.168.1.2/24），可以ping通外网PC

内网PC机（192.168.1.2/24），可以访问外网PC的22端口

在“报表日志”→“系统日志”→“防火墙”，选择种类“启用拒绝日志”，目标IP填10.0.0.100，点击“更新”，可以查看到该记录。

Web服务器（172.16.0.2/29）,无法ping通外网PC

6、LAN区域访问外网成功，但是DMZ区域依然无法访问外网，说明对外访问策略成功。