2022年防火墙地址转换--教案.docx

精选学习资料 - - - - - - - - - 名师精编 精品教案地址转换在一般情形下, 企业拥有的公有合法IP 地址非常有限； 所以,在企业内网中, 一般使用私有 IP 地址；为明白决通过私有IP 地址拜访公网（Internet）的问题,和隐匿内部网络拓扑及真实IP 的需要,地址转换技术（ Network Address Translation, NAT ）常常会被应用到位于网络出口的路由设备,如防火墙上；基于地址对象的源地址转换网络卫士防火墙的防火墙模块的源地址转换策略支持基于地址资源的源地址转换,可转换的地址资源包括单个主机、 主机地址范畴和子网,对源地址可以进行的转换方式有：将源地址固定映射为某一合法IP 地址和将源地址动态映射某一网段或某一地址范畴的地址；基本需求网络卫士防火墙的接口Eth0 连接企业内网,内网为192.168.100.0/24,Eth0 的 IP 地址为 192.168.100.1；Eth1 连接外网, Eth1 的IP 地址为 202.10.10.1；企业可用的公网 网络拓扑结构的示意图如下所示；图 20 基于地址资源的源地址转换示意图配置要点IP地址范畴为 202.10.10.1-202.10.10.10 , 定义内网地址资源,可定义的地址资源包括主机地址资源、范畴地址资源、子网地址资源、区域和 VLAN ；定义要转换的公网地址资源；定义源地址转换策略；WebUI 配置步骤1）挑选资源治理> 区域,点击“ 添加” ,定义区域资源；设置内网区域 area_eth0 与属性 eth0 绑定且禁止拜访；外网区域area_eth1 与属性 eth1 绑定且答应拜访；名师归纳总结 - - - - - - -第 1 页,共 14 页精选学习资料 - - - - - - - - - 2）定义内部地址资源,挑选资源治理名师精编精品教案“ 添加”可以定义主机地址资源、> 地址, 并挑选相应页签,点击地址范畴资源和子网地址资源；a）定义 NAT 主机资源：挑选“ 子网” 页签,点击“ 添加” ；b）定义 NAT 地址池：挑选“ 范畴” 页签,点击“ 添加” ；3）定义 NAT 地址转换策略；挑选防火墙> 地址转换,点击右上角“ 添加” ,进入NAT 规章配置界面,如下图所示,挑选“ 源转换” 选项设定源地址转换策略；a） 点击“ 源” 页签,添加NAT 规章的源,内部地址资源：子网100.X ；如下图所示；b）点击“ 目的” 页签添加NAT 规章的目的,外网区域：area_eth1；名师归纳总结 - - - - - - -第 2 页,共 14 页精选学习资料 - - - - - - - - - 名师精编 精品教案c）设置源地址转换为地址池中地址的转换规章, 设置为范畴地址资源 nat-pool；也可以设置转换为固定地址对象的转换规章；配置完成；需要留意的是,系统默认情形下,在源地址转换同时也会转换源端口；只有在上图中挑选“ 源端口不作转换” 时,数据包在经过防火墙时不转变源端口；CLI 配置步骤1）定义区域资源#define area add name area_eth1 access on attribute eth1 #define area add name area_eth0 access off attribute eth0 2）定义内网地址资源#define subnet add name 子网 100.x ipaddr 192.168.100.0 mask 255.255.255.0 3）定义 NAT 地址池资源#define range add name nat-pool ip1 202.10.10.1 ip2 202.10.10.10 4）定义 NAT 地址转换规章在地址池中动态挑选转换后的 IP #nat policy add srcarea area_eth0 orig_src 子网 100.x dstarea area-eth1 trans_src nat-pool enable yes 留意事项系统默认情形下,在源地址转换同时也会转换源端口；基于属性的源地址转换名师归纳总结 - - - - - - -第 3 页,共 14 页精选学习资料 - - - - - - - - - 名师精编 精品教案基本需求当使用网络卫士防火墙的某一接口拨号接入ADSL ,或者将某一接口作为DHCP 客户端时, 此时, 接口连接外网并且由 ISP 或DHCP 服务器动态安排IP 地址,即接口 IP 地址不固定；当内网用户需要通过此接口拜访外网时,可以对接口进行属性绑定,在定义地址转换规章时将转换后地址设定为这些属性的名称；地址转换时系统会自动将内网地址转换为属性所绑定的接口的当前地址；图 21 基于属性的源地址转换示意图本例中网络卫士防火墙的Eth1 连接外网,为 DHCP 客户端,需要 DHCP 服务器动态安排IP 地址；Eth0 的IP 地址为 192.168.100.1,连接内网 192.168.100.0/24；内网用户通过 配置要点 定义区域资源；定义属性资源；为接口绑定属性；定义基于属性的源地址转换策略；WebUI 配置步骤Eth1 拜访外网；1）定义区域资源 area_eth0、area_eth1；挑选 资源治理 > 区域,点击“ 添加” ；设置完成后界面如下图2）定义属性资源,挑选 资源治理 > 属性,点击“ 添加新属性” ；名师归纳总结 - - - - - - -第 4 页,共 14 页精选学习资料 - - - - - - - - - 名师精编 精品教案3）通过 CLI 界面为接口 eth1 绑定属性#network interface eth1 attribute add DHCP 4）定义源地址转换策略,挑选防火墙> 地址转换,点击“ 添加” ,进入NAT 规章配置界面,如下图所示,挑选“ 源转换” 选项设定源地址转换策略；a）点击“ 源” 页签,挑选源区域： area_eth0；b）点击“ 目的” 页签添加NAT 规章的目的区域：area_eth1；名师归纳总结 - - - - - - -第 5 页,共 14 页精选学习资料 - - - - - - - - - c）设置转换地址,源地址转换为：名师精编精品教案DHCP[ 属性 ]；配置完成；以上配置完成后,用户仍需要在eth1 口启动 DHCP 客户端的功能,详细操作请参见防火墙作为DHCP 客户端的相关案例；CLI 配置步骤1）定义区域资源 #define area add name area_eth0 access on attribute eth0 #define area add name area_eth1 access on attribute eth1 2）定义属性资源；#network attribute add name DHCP 3）为接口绑定属性 #network interface eth1 attribute add DHCP 4）定义源地址转换策略 #nat policy add srcarea area_eth0 dstarea area_eth1 trans_src DHCP enable yes 留意事项1）网络卫士防火墙的内网用户当通过ADSL 拜访外网时,必需手工配置源地址转换策略；2）未做接口绑定的属性资源不能作为地址转换规章的转换后地址；3）Eth1 作为 DHCP 客户端的配置方法请参见配置案例“ DHCP 客户端” ；基于 IP 地址的目的地址转换基本需求由于来自 INTERNET 的对政府、企业的网络攻击日益频繁,因此需要对内网中向外网供应拜访服务的关名师归纳总结 - - - - - - -第 6 页,共 14 页精选学习资料 - - - - - - - - - 名师精编 精品教案键设备进行有效爱护；采纳目的地址NAT 可以有效地将内部网络地址对外隐匿；图 22 基于 IP 地址的目的地址转换示意图图中：公网 Internet 用户需要通过防火墙拜访WEB 服务器,为了隐匿服务器在内网中的真实地址 172.16.1.2,使用公网地址 202.99.27.201 作为用户的拜访地址；配置要点定义区域资源： area_eth1；定义 WEB 服务器真实地址对应地址资源；定义 WEB 服务器的公网虚拟 IP 地址资源；定义地址转换策略；WebUI 配置步骤1）挑选资源治理> 区域,点击“ 添加” ,定义区域资源；设置内网区域 area_eth0 与属性 eth0 绑定且禁止拜访；外网区域2〕 定义 WEB 服务器的内网真实地址资源；area_eth1 与属性 eth1 绑定且答应拜访挑选 资源治理 > 地址,挑选“ 主机” 页签,点击“ 添加” ,系统显现添加主机资源的页面,如下图所示；3）定义 WEB 服务器的公网 IP 地址资源挑选 资源治理 > 地址,挑选“ 主机” 页签,点击“ 添加” ,系统显现添加主机资源的页面,如下图所示；名师归纳总结 - - - - - - -第 7 页,共 14 页精选学习资料 - - - - - - - - - 名师精编 精品教案4）定义目的地址转换策略在导航菜单挑选防火墙> 地址转换,进入地址转换规章列表界面,点击“ 添加” 进入NAT 规章配置界面,如下图所示,挑选“ 目的转换” 选项设定目的地址转换策略；a）挑选“ 源” 页签,打开“ 高级” 属性设置按钮,添加NAT 规章的源,在“ 挑选源AREA ” 中挑选源区域为 area_eth1；b）挑选“ 目的” 页签添加 NAT 规章的目的, WEB 服务器的公网 IP 地址资源： MAP_IP ；名师归纳总结 - - - - - - -第 8 页,共 14 页精选学习资料 - - - - - - - - - c）挑选“ 服务” 页签,挑选服务名师精编精品教案HTTP （TCP：80）；d）设置目的地址转换规章；定义目的地址转换为固定地址的转换规章：设置转换后 的地址为 WEB_server 如下图所示；“ 启用规章” 处挑选启用,此为默认选项；“ 目的地址转换为” 中挑选WEB_server ；80 端口向外网供应WEB 服务,因此挑选“ 不作转“ 目的端口转换为” 由于内网WEB 服务器。