一、組網(wǎng)需求

??????? 如下圖所示，用戶已完成了防火墻基礎(chǔ)配置，現(xiàn)在需要將內(nèi)網(wǎng)的一臺web服務(wù)器（192.168.1.2）需要全映射到外網(wǎng)口的地址（202.1.1.11），讓外網(wǎng)的用戶能訪問到此服務(wù)器。

??????? 同時內(nèi)網(wǎng)用戶也可以用公網(wǎng)地址訪問服務(wù)器。

二、網(wǎng)絡(luò)拓?fù)?/span>

三、配置要點

????? ?1、基礎(chǔ)上網(wǎng)配置

?????? 2、配置虛擬ip（DNAT）

?????? 3、配置安全策略

注意：

四、操作步驟

?????? 1、基礎(chǔ)上網(wǎng)配置

??????????? 配置詳細(xì)過程請參照 “路由模式典型功能--單線上網(wǎng)--靜態(tài)地址線路上網(wǎng)配置“一節(jié)：

??????????? 接口IP配置如下：

?? 路由配置如下：

? 2、配置虛擬IP（DNAT）

??????????? 進(jìn)入菜單：防火墻--虛擬IP--虛擬IP，點擊“新建”。

?? 配置虛擬IP：名稱為webserver，用于wan1口的

?? 說明："外部的ip地址或范圍"和"映射的IP地址或范圍"數(shù)量是對應(yīng)，一對一映射，起始框和結(jié)束框都得填寫，映射ip只需要填寫第一個框，后面框會根據(jù)數(shù)量對應(yīng)關(guān)系 自動填寫。

??????????? 比如202.1.1.3-202.1.1.10，內(nèi)部映射起始IP是192.168.1.2，結(jié)束ip必須是192.168.1.9（自動填寫），對應(yīng)映射關(guān)系也是對應(yīng)的，

??????????? 202.1.1.3對應(yīng)192.168.1.2；202.1.14對應(yīng)192.168.1.3，依此類推。

注意： 如果外網(wǎng)線是撥號線路，那么客戶需要將【外部的ｉｐ地址或范圍】設(shè)置為0.0.0.0－０.０.０.０

3、配置安全策略

???? 進(jìn)入 防火墻--策略--策略，點擊 新建，按如下方式添加策略

?源接口/區(qū)：wan1??? //如內(nèi)網(wǎng)用戶也需通過虛擬IP訪問.,需將此處設(shè)置為any

??????????? 源地址：all

??????????? 目的接口/區(qū)： internal

??????????? 目的地址選擇:?? webserver??? //定義好的虛擬IP映射對象

??????????? 服務(wù): http????? // 只允許進(jìn)行http服務(wù)訪問

注意：如內(nèi)網(wǎng)用戶也需通過虛擬IP訪問，有2種方式可實現(xiàn)：1. 需將原策略的【源接口/區(qū)】設(shè)置為any；

2.或者添加一條【源接口/區(qū)】為internal的內(nèi)到內(nèi)策略

????????? ??源接口/區(qū)：internal?

??????????? 源地址：all

??????????? 目的接口/區(qū)： internal

??????????? 目的地址選擇:?? webserver??? //定義好的虛擬IP映射對象

??????????? 服務(wù): http?????? //只允許進(jìn)行http服務(wù)訪問

4、允許內(nèi)網(wǎng)訪問VIP的公網(wǎng)地址

??????????? 允許內(nèi)部用戶通過公網(wǎng)的映射ip地址訪問內(nèi)部的web服務(wù)器，只需要添加一條允許內(nèi)網(wǎng)訪問外網(wǎng)的的策略即可。按如下方式添加策略。

五、驗證效果

????????? 從外部進(jìn)行訪問http://202.1.1.11,? 如果需要測試剛映射是否有效可以在策略的服務(wù)臨時添加 ping服務(wù)進(jìn)行測試。

一、組網(wǎng)需求

??????? 如下圖所示，用戶已完成了防火墻基礎(chǔ)配置。

??????? 現(xiàn)在需要將內(nèi)網(wǎng)的一臺web服務(wù)器（192.168.1.2）的80端口映射到外網(wǎng)口的地址（202.1.1.11）的8080端口（內(nèi)網(wǎng)端口與外網(wǎng)映射端口不一致）；

將內(nèi)網(wǎng)的一臺smtp服務(wù)器（192.168.1.3）的25端口映射到外網(wǎng)口的地址（202.1.1.11）的25端口。

案例意義：掌握全新NGFW的關(guān)鍵功能處理模塊的匹配順序；DNAT>>路由>>安全策略>>源NAT

二、網(wǎng)絡(luò)拓?fù)?/span>

三、配置要點

????? ?1、基礎(chǔ)上網(wǎng)配置

?????? 2、配置虛擬ip（DNAT）

?????? 3、配置安全策略

四、操作步驟

1、基礎(chǔ)上網(wǎng)配置

配置詳細(xì)過程請參照 “路由模式典型功能--單線上網(wǎng)--靜態(tài)地址線路上網(wǎng)配置“一節(jié)：

接口IP如下：

路由配置如下：

? 2、配置虛擬IP（DNAT）

進(jìn)入菜單：防火墻--虛擬IP--虛擬IP， 創(chuàng)建新的VIP。

?? 創(chuàng)建虛擬IP1：webserver:80，對http服務(wù)器進(jìn)行映射

創(chuàng)建虛擬IP2：smtpserver:25，對smtp服務(wù)器進(jìn)行映射

說明："外部的ip地址或范圍"和"映射的IP地址或范圍"數(shù)量是對應(yīng)，一對一映射，起始框和結(jié)束框都得填寫，映射ip只需要填寫第一個框，后面框會根據(jù)數(shù)量對應(yīng)關(guān)系自動填寫。

比如202.1.1.3-202.1.1.10，內(nèi)部映射起始IP是192.168.1.2，結(jié)束ip必須是192.168.1.9（自動填寫），對應(yīng)映射關(guān)系也是對應(yīng)的，

202.1.1.3對應(yīng)192.168.1.2；202.1.14對應(yīng)192.168.1.3，依此類推

?????? 3、配置安全策略

菜單： 防火墻--策略--策略， 點擊 "新建"

在新建窗口內(nèi)，按如下的方式，添加一條策略：

點擊”目的地址“右面的 ”多個“按鈕，選擇將定義好的2個虛擬IP：

點擊”服務(wù)“右面的 ”多個“按鈕，添加http和smtp服務(wù)

源接口/區(qū)：wan1??? //如內(nèi)網(wǎng)用戶也需通過虛擬IP訪問需將此處設(shè)置為any

源地址：all

目的接口/區(qū)： internal

目的地址選擇:?? webserver：80 ，? smtpserver：25

服務(wù): http，smtp

注意：如內(nèi)網(wǎng)用戶也需通過虛擬IP訪問，有2種方式可實現(xiàn)：1. 需將原策略的【源接口/區(qū)】設(shè)置為any；

2.或者添加一條【源接口/區(qū)】為internal的內(nèi)到內(nèi)策略

源接口/區(qū)：internal

源地址：all

目的接口/區(qū)： internal

目的地址選擇:? ?webserver：80 ，? smtpserver：25

服務(wù): http，smtp

???????????

??????????? 重點說明：由于全新NGFW數(shù)據(jù)流會先匹配DNAT（虛擬IP）后再匹配防火墻策略；所以本案例中webserver外網(wǎng)端口8080經(jīng)過DNAT（虛擬IP）轉(zhuǎn)換后變?yōu)?0，所以在防火墻策略中應(yīng)該放行的是HTTP服務(wù)（80端口）。

策略配置結(jié)果如下：

五、驗證效果

從外部進(jìn)行訪問http://202.1.1.11,? 如果需要測試剛映射是否有效可以在策略的服務(wù)臨時添加 ping服務(wù)進(jìn)行測試。

進(jìn)行郵件測試。文章來源地址http://www.zghlxwxcb.cn/news/detail-764792.html