USG2000&5000 v3r1 配置源nat和虚拟服务器案例

发布时间:  2015-03-10 浏览次数:  195 下载次数:  0
问题描述
目前防火墙存在网络拓扑位置一般在整个网络的出口处,那么这个时候内网用户需要上网就必须在防火墙上配置源NAT转换以保证内网用户能够正常访问外网,或者外网用户可以正常访问到内网对外提供服务的某些服务器。
解决方案

1所示,某企业内部网络通过USGInternet进行连接,将内网用户划分到Trust区域,两台服务器划分到DMZ区域,将Internet划分到Untrust区域。

该企业申请了4个公网IP地址用于内部用户访问Internet

·     需求1

企业Trust区域的192.168.1.0/24网段的用户可以访问Internet,该安全区域的其它网段用户不能访问。用于访问外部网络的合法IP地址范围为1.1.1.31.1.1.6

·     需求2

提供FTPWeb服务器供外部网络用户访问。其中FTP Server的内部IP地址为10.1.1.2,端口号为缺省值21Web Server的内部IP地址为10.1.1.3,端口为8080。两者对外公布的地址均为1.1.1.2,对外使用的端口号均为缺省值,即2180

1 配置NAPT和虚拟服务器组网图
http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_usg_cn/sec_vsp_exam_firewall_0013_fig01.png

项目

数据

备注

(1)

接口号:GigabitEthernet 0/0/2

IP地址:192.168.1.1/24

安全区域:Trust

-

(2)

接口号:GigabitEthernet 0/0/3

IP地址:10.1.1.1/24

安全区域:DMZ

-

(3)

接口号:GigabitEthernet 0/0/4

IP地址:1.1.1.1/24

安全区域:Untrust

-

NAT地址池

地址池名称:addresspool1

IP地址范围:1.1.1.31.1.1.6

-

FTP Server

内部地址:10.1.1.2/24

内部端口:21

外部地址:1.1.1.2

外部端口:21

-

Web Server

内部地址:10.1.1.3/24

内部端口:8080

外部地址:1.1.1.2

外部端口:80

-

配置思路

1.  由于有4个公网地址,因此采用地址池方式,不采用接口IP地址方式。由于需要上网的用户数远大于用于上网的公网IP地址数,因此需要使用NAPTNetwork Address Port Translation)功能进行地址复用。

配置源NAT的菜单路径为:“防火墙 > NAT > NAT

2.  配置虚拟服务器时,FTP服务器的内部端口和外部端口相同,Web服务器的内部端口和外部端口不同。

配置虚拟服务器的菜单路径为:“防火墙 > NAT > 目的NAT > 虚拟服务器”

操作步骤

1.  配置接口基本参数。

a. 选择“网络 > 接口 > 接口”

b. “接口列表”中单击GE0/0/2对应的http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/change1.gif

c. 配置接口GigabitEthernet 0/0/2

GigabitEthernet 0/0/2的相关参数如下,其他参数使用默认值:

·         安全区域:trust

·         模式:路由

·         连接类型:静态IP

·         IP地址:192.168.1.1

·         子网掩码:255.255.255.0

d. 单击“应用”

e. 重复上述步骤配置接口GigabitEthernet 0/0/3GigabitEthernet 0/0/4

GigabitEthernet 0/0/3的相关参数如下,其他参数使用默认值:

·         安全区域:dmz

·         模式:路由

·         连接类型:静态IP

·         IP地址:10.1.1.1

·         子网掩码:255.255.255.0

GigabitEthernet 0/0/4的相关参数如下,其他参数使用默认值:

·         安全区域:untrust

·         模式:路由

·         连接类型:静态IP

·         IP地址:1.1.1.1

·         子网掩码:255.255.255.0

2.  对于USG系列,配置域间包过滤,以保证网络基本通信正常。对于USG BSR/HSR系列,不需要执行此步骤。使192.168.1.0/24网段用户可以访问Internet,使Internet用户可以访问10.1.1.2FTP服务和10.1.1.3Web服务。

a. 配置192.168.1.0/24网段用户可以访问Internet

i.      选择“防火墙 > 安全策略 > 转发策略”

ii.      选择“转发策略”页签。

iii.      “转发策略列表”中单击http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/add1.gif。参数配置如2所示。

2 配置192.168.1.0/24网段用户可以访问Internet
http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_firewall_0013_fig02.png

iv.      单击“应用”

b. 配置Internet用户可以访问10.1.1.2FTP服务和10.1.1.3Web服务。

 .      “转发策略列表”中单击http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/add1.gif。参数配置如3所示。

3 配置Internet用户可以访问10.1.1.2FTP服务
http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_firewall_0013_fig03.png

i.      单击“应用”

ii.      重复上述步骤配置Internet用户可以访问10.1.1.3Web服务。参数配置如4所示。

4 配置Internet用户可以访问10.1.1.3Web服务
http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_firewall_0013_fig04.png

3.  配置允许端口地址转换的源NAT,实现需求1

a. 配置NAT地址池。

 .      选择“防火墙 > NAT > NAT

i.      选择NAT地址池”页签。

ii.      NAT地址池列表”中单击http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/add1.gif。参数配置如5所示。

5 配置NAT地址池
http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_firewall_0013_fig05.png

iii.      单击“应用”

http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/public_sys-resources/icon-note.gif说明:

                                                    ·            本举例中地址池1.1.1.31.1.1.6和上网接口GigabitEthernet 0/0/4地址1.1.1.1/24是在同一网段的,如果地址池所在网段与上网接口不在同一个网段,注意需要在USG的下一跳设备上配置到地址池的路由。

                                                    ·            如果上网接口已经配置过接口IP地址方式的NAT转换,必须先删除已有的接口IP地址NAT配置。

b. 配置源NAT

                      .     选择“源NAT页签。

                     i.     “源NAT策略列表”中单击http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/add1.gif。参数配置如6所示。

6 配置源NAT
http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_firewall_0013_fig06.png

                   ii.     单击“应用”

另配置方法还可以配置基于接口的nat转换,如下图:


4.  配置虚拟服务器,实现需求2

a. 配置FTP服务器的虚拟服务器。

                      .     选择“防火墙 > NAT > 目的NAT,单击“虚拟服务器”页签。

                     i.     “虚拟服务器列表”中单击http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/add1.gif。参数配置如7所示。

7 配置FTP服务器的虚拟服务器
http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_firewall_0013_fig07.png

                   ii.     单击“应用”

b. 配置Web服务器的虚拟服务器。

                      .     “虚拟服务器列表”中单击http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/add1.gif。参数配置如8所示。

8 配置Web服务器的虚拟服务器
http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_firewall_0013_fig08.png

                     i.     单击“应用”

5.  USG以及与USG相连的网络设备上正确配置路由协议,使外网设备可以正确生成到达虚拟服务器的路由信息,使设备上可以正确生成外网的路由信息。

结果验证

1.  配置完成后选择“防火墙 > 监控 > ServerMap,查看FTP虚拟服务器和Web虚拟服务器的配置情况。

2.  从内部网络的主机192.168.1.2可以PingInternet地址(如2.2.2.2)。

3.C:\Documents and Settings\Administrator>ping 2.2.2.2

4.  PING 2.2.2.2: 56  data bytes, press CTRL_C to break                       

5.    Reply from 2.2.2.2: bytes=56 Sequence=1 ttl=254 time=20 ms             

6.    Reply from 2.2.2.2: bytes=56 Sequence=2 ttl=254 time=10 ms             

7.    Reply from 2.2.2.2: bytes=56 Sequence=3 ttl=254 time=10 ms             

8.    Reply from 2.2.2.2: bytes=56 Sequence=4 ttl=254 time=10 ms             

9.    Reply from 2.2.2.2: bytes=56 Sequence=5 ttl=254 time=10 ms             

10.                                                                                 

11.   --- 2.2.2.2 ping statistics ---                                          

12.     5 packet(s) transmitted                                                    

13.     5 packet(s) received                                                       

14.     0.00% packet loss                                                           

    round-trip min/avg/max = 10/12/20 ms    

15. Internet上的用户(如2.2.2.2)可以通过公网地址1.1.1.2访问FTPWeb服务。

16. 选择“防火墙 > 监控 > 会话表”,查看详细会话表。如9所示,以从192.168.1.2 ping 2.2.2.2为例:

9 查看192.168.1.2 ping 2.2.2.2的详细会话表
http://localhost:7891/pages/SZD0528J/13/SZD0528J/13/resources/resource/images/images_common_cn/sec_vsp_exam_firewall_0013_fig09.png

 

END