深信服防火墙功能培训
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3. 勾选发布服务器,允许内网用户以外网IP访问内网服务器
端口映射典型应用案例及配置
端口映射应用案例配置步骤:
内网服务器的真
实IP地址
公网地址是WAN1 口的地址,“外
访问的数据包目标 IP为:202.96.137.75
网接口”选择
WAN1口 内网服务器的
真实公端网口访问访用问户的源数 IP不固定据目标端 口是TCP
防火墙规则
HTTPS
192.200.3.2/24 GW:192.200.3.1
防火墙过滤规则
配置思路:
NAT代理上网
代理上网基本功能介绍
NAT代理上网功能即SNAT, 用来设置对数据包源IP地址进 行转换的规则。 一般在公网出口的设备做 SNAT,来实现把私有地址转 换成公网地址。
SNAT IP1
SANGFOR AC&SG
防火墙基本功能介绍 NAT代理上网 端口映深射信服公司简介
防火墙基本功能介绍
防火墙基本功能介绍
防火墙规则是控制设备各个网 口转发数据的开关。 这里设置的规则可基于IP和端 口进行数据包的转发控制,和 传统的四层防火墙相似。
HTTP
192.200.2.2/24 GW:192.200.2.1
WAN1:202.96.137.75 LAN:172.16.1.3/24
172.16.1.1/24 192.200.1.1/24 192.200.2.1/24
IP: 192.200.1.10/24 GW:192.200.1.1
IP: 192.200.2.250/24 GW:192.200.2.1
Fra Baidu bibliotek
代理上网典型应用案例及配置
IP4
WAN:IP4 LAN:IP3
IP1
IP2
代理上网典型应用案例及配置
客户案例:
某客户新建一个工厂,需要 规划网络和建设机房,购买 了一台SANGFOR AC设备部 署在公网出口,代理内网上 网,同时做上网控制。 工厂内部上网的电脑全都在 192.200.1.0/24网段,服务器 都在192.200.2.0/24网段。
IP: 192.200.2.250/24 GW:192.200.2.1
端口映射典型应用案例及配置
配置思路: 1. 设置端口映射规则,即把目标IP为202.96.137.75,且目标端口为TCP
8000的数据转换目标IP为192.200.2.250,目标端口为TCP 80。 2. 勾选防火墙自动放行数据
WAN1:202.96.137.75 WAN2:129.212.36.5 LAN:172.16.1.3/24
Mail Server: IP: 172.100.1.200/24
问题思考
1.在配置端口映射时,什么情况下需要勾选“发布服务器”选项?
深信服防火墙功能培训
培训内容 防火墙基本功能介绍
NAT代理上网
端口映射
培训目标 1.掌握防火墙规则的作用 2.掌握代理上网功能的作用 3.掌握端口映射功能的作用 1.掌握代理上网功能的作用及配置,能根据客 户的需求完成代理上网规则设置
1.掌握端口映射功能的使用及应用场景,能根 据客户的需求完成端口映射规则设置
配置思路: 1. 在本案例中,必须配置路由模式。(路由配置本PPT不做详细说明)
2. 由于AC和内网跨三层网段,需在三层交换机上配置缺省路由指向AC 设备的LAN口,AC设备同样需配置到内网网段的回指路由,下一跳 指向三层交换机。(回指路由配置此PPT不做详细说明)
3. AC设备上配置代理上网规则,代理192.200.1.0/24和 192.200.2.0/24这两个网段上网。如下图所示。
2. 只有当内网用户也需要用公网地址访问内部服务器时,才需要勾选 “发布服务器”。 若不勾选,仅允许公网用户通过公网地址访问到 内网服务器。
动动手
某客户网络拓扑如右图所示,客户 内网有台邮件服务器,申请的域名 是mail.sangfor.com,该域名绑定了 WAN口的两个公网IP地址。 请配置实现公网和内网用户均可通 过这个域名收发邮件。
80。客户希望将此OA服务器发布到公网,
外网和工厂内网的用户均通过
http://202.96.137.75:8000的方式访问到服 务器。
IP: 192.200.1.10/24 GW:192.200.1.1
WAN1:202.96.137.75 LAN:172.16.1.3/24
172.16.1.1/24 192.200.1.1/24 192.200.2.1/24
代理上网典型应用案例及配置
“外接网口”即转换 后的数据从哪个网 口转发出去
即数口转据的换的地“即成外址代需转接理要发网网转段换完代网”成理的本两规例个则要 网 设完规求段置成则的上。第设一置条。
哪些地址
端口映射
端口映射基本功能介绍
IP4
端口映射即DNAT,用来设
置对数据包目标IP地址进行
转换的规则。
DNAT
常用来实现客户内网有服务
IP2
器需要发布到公网,或者内
网用户需要通过公网地址访
问内部服务器的需求。
IP4
IP1
WAN:IP4 LAN:IP3
IP2
端口映射典型应用案例及配置
客户案例:
该客户已经通过配置实现了AC代理内网 用户和服务器上公网。
内网有一台OA服务器,地址是
192.200.2.250,使用的服务端口是TCP
8000
服务器在AC的LAN口 下,转换源IP就选择 LAN1口地址。启用此 选项,是为了实现内网 用户通过访问wan口地 址也能访问到内网服务
器,如果无此需求,可
以不启用
端口映射典型应用案例及配置
端口映射规则设置注意事项:
1. 在配置端口映射规则时,建议勾选“防火墙自动放行数据”。如果 这个选项不勾选,那么也必须通过手动配置放通防火墙规则,否则 端口映射会不成功。
端口映射典型应用案例及配置
端口映射应用案例配置步骤:
内网服务器的真
实IP地址
公网地址是WAN1 口的地址,“外
访问的数据包目标 IP为:202.96.137.75
网接口”选择
WAN1口 内网服务器的
真实公端网口访问访用问户的源数 IP不固定据目标端 口是TCP
防火墙规则
HTTPS
192.200.3.2/24 GW:192.200.3.1
防火墙过滤规则
配置思路:
NAT代理上网
代理上网基本功能介绍
NAT代理上网功能即SNAT, 用来设置对数据包源IP地址进 行转换的规则。 一般在公网出口的设备做 SNAT,来实现把私有地址转 换成公网地址。
SNAT IP1
SANGFOR AC&SG
防火墙基本功能介绍 NAT代理上网 端口映深射信服公司简介
防火墙基本功能介绍
防火墙基本功能介绍
防火墙规则是控制设备各个网 口转发数据的开关。 这里设置的规则可基于IP和端 口进行数据包的转发控制,和 传统的四层防火墙相似。
HTTP
192.200.2.2/24 GW:192.200.2.1
WAN1:202.96.137.75 LAN:172.16.1.3/24
172.16.1.1/24 192.200.1.1/24 192.200.2.1/24
IP: 192.200.1.10/24 GW:192.200.1.1
IP: 192.200.2.250/24 GW:192.200.2.1
Fra Baidu bibliotek
代理上网典型应用案例及配置
IP4
WAN:IP4 LAN:IP3
IP1
IP2
代理上网典型应用案例及配置
客户案例:
某客户新建一个工厂,需要 规划网络和建设机房,购买 了一台SANGFOR AC设备部 署在公网出口,代理内网上 网,同时做上网控制。 工厂内部上网的电脑全都在 192.200.1.0/24网段,服务器 都在192.200.2.0/24网段。
IP: 192.200.2.250/24 GW:192.200.2.1
端口映射典型应用案例及配置
配置思路: 1. 设置端口映射规则,即把目标IP为202.96.137.75,且目标端口为TCP
8000的数据转换目标IP为192.200.2.250,目标端口为TCP 80。 2. 勾选防火墙自动放行数据
WAN1:202.96.137.75 WAN2:129.212.36.5 LAN:172.16.1.3/24
Mail Server: IP: 172.100.1.200/24
问题思考
1.在配置端口映射时,什么情况下需要勾选“发布服务器”选项?
深信服防火墙功能培训
培训内容 防火墙基本功能介绍
NAT代理上网
端口映射
培训目标 1.掌握防火墙规则的作用 2.掌握代理上网功能的作用 3.掌握端口映射功能的作用 1.掌握代理上网功能的作用及配置,能根据客 户的需求完成代理上网规则设置
1.掌握端口映射功能的使用及应用场景,能根 据客户的需求完成端口映射规则设置
配置思路: 1. 在本案例中,必须配置路由模式。(路由配置本PPT不做详细说明)
2. 由于AC和内网跨三层网段,需在三层交换机上配置缺省路由指向AC 设备的LAN口,AC设备同样需配置到内网网段的回指路由,下一跳 指向三层交换机。(回指路由配置此PPT不做详细说明)
3. AC设备上配置代理上网规则,代理192.200.1.0/24和 192.200.2.0/24这两个网段上网。如下图所示。
2. 只有当内网用户也需要用公网地址访问内部服务器时,才需要勾选 “发布服务器”。 若不勾选,仅允许公网用户通过公网地址访问到 内网服务器。
动动手
某客户网络拓扑如右图所示,客户 内网有台邮件服务器,申请的域名 是mail.sangfor.com,该域名绑定了 WAN口的两个公网IP地址。 请配置实现公网和内网用户均可通 过这个域名收发邮件。
80。客户希望将此OA服务器发布到公网,
外网和工厂内网的用户均通过
http://202.96.137.75:8000的方式访问到服 务器。
IP: 192.200.1.10/24 GW:192.200.1.1
WAN1:202.96.137.75 LAN:172.16.1.3/24
172.16.1.1/24 192.200.1.1/24 192.200.2.1/24
代理上网典型应用案例及配置
“外接网口”即转换 后的数据从哪个网 口转发出去
即数口转据的换的地“即成外址代需转接理要发网网转段换完代网”成理的本两规例个则要 网 设完规求段置成则的上。第设一置条。
哪些地址
端口映射
端口映射基本功能介绍
IP4
端口映射即DNAT,用来设
置对数据包目标IP地址进行
转换的规则。
DNAT
常用来实现客户内网有服务
IP2
器需要发布到公网,或者内
网用户需要通过公网地址访
问内部服务器的需求。
IP4
IP1
WAN:IP4 LAN:IP3
IP2
端口映射典型应用案例及配置
客户案例:
该客户已经通过配置实现了AC代理内网 用户和服务器上公网。
内网有一台OA服务器,地址是
192.200.2.250,使用的服务端口是TCP
8000
服务器在AC的LAN口 下,转换源IP就选择 LAN1口地址。启用此 选项,是为了实现内网 用户通过访问wan口地 址也能访问到内网服务
器,如果无此需求,可
以不启用
端口映射典型应用案例及配置
端口映射规则设置注意事项:
1. 在配置端口映射规则时,建议勾选“防火墙自动放行数据”。如果 这个选项不勾选,那么也必须通过手动配置放通防火墙规则,否则 端口映射会不成功。