您當(dāng)前位置: 主頁(yè) > IT服務(wù) > 網(wǎng)絡(luò)服務(wù) >
網(wǎng)絡(luò)運(yùn)維|防火墻的NAT典型應(yīng)用案例
2020-06-01 19:54 作者:艾銻無(wú)限 瀏覽量:
大家好,我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師,今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容,今天就和大家聊一聊防火墻的負(fù)載均衡。簡(jiǎn)單網(wǎng)絡(luò)安全運(yùn)維,從防火墻學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。
網(wǎng)絡(luò)維護(hù)是一種日常維護(hù),包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī),服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁,系統(tǒng)升級(jí))、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無(wú)限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù),北京網(wǎng)絡(luò)維護(hù)信息查詢,同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù),北京網(wǎng)絡(luò)維護(hù)服務(wù),北京網(wǎng)絡(luò)維護(hù)信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在網(wǎng)絡(luò)維護(hù)+
+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽(yáng)豐臺(tái)北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息
舉例:地址池方式源NAT+虛擬服務(wù)器
本舉例介紹企業(yè)申請(qǐng)了多個(gè)公網(wǎng)IP地址用于訪問(wèn)Internet,企業(yè)在對(duì)外提供FTP服務(wù)和Web服務(wù)的同時(shí),還有部分員工需要通過(guò)NAT訪問(wèn)Internet的場(chǎng)景和配置過(guò)程。組網(wǎng)需求
如圖7-75所示,某企業(yè)內(nèi)部網(wǎng)絡(luò)通過(guò)USG與Internet進(jìn)行連接,將內(nèi)網(wǎng)用戶劃分到Trust區(qū)域,兩臺(tái)服務(wù)器劃分到DMZ區(qū)域,將Internet劃分到Untrust區(qū)域。該企業(yè)申請(qǐng)了4個(gè)公網(wǎng)IP地址用于內(nèi)部用戶訪問(wèn)Internet。
· 需求1
企業(yè)Trust區(qū)域的192.168.1.0/24網(wǎng)段的用戶可以訪問(wèn)Internet,該安全區(qū)域的其它網(wǎng)段用戶不能訪問(wèn)。用于訪問(wèn)外部網(wǎng)絡(luò)的合法IP地址范圍為1.1.1.3~1.1.1.6。
· 需求2
提供FTP和Web服務(wù)器供外部網(wǎng)絡(luò)用戶訪問(wèn)。其中FTP Server的內(nèi)部IP地址為10.1.1.2,端口號(hào)為缺省值21,Web Server的內(nèi)部IP地址為10.1.1.3,端口為8080。兩者對(duì)外公布的地址均為1.1.1.2,對(duì)外使用的端口號(hào)均為缺省值,即21和80。
配置思路
1. 由于有4個(gè)公網(wǎng)地址,因此采用地址池方式,不采用接口IP地址方式。由于需要上網(wǎng)的用戶數(shù)遠(yuǎn)大于用于上網(wǎng)的公網(wǎng)IP地址數(shù),因此需要使用NAPT(Network Address Port Translation)功能進(jìn)行地址復(fù)用。配置源NAT的菜單路徑為:“防火墻 > NAT > 源NAT”。
2. 配置虛擬服務(wù)器時(shí),F(xiàn)TP服務(wù)器的內(nèi)部端口和外部端口相同,Web服務(wù)器的內(nèi)部端口和外部端口不同。
配置虛擬服務(wù)器的菜單路徑為:“防火墻 > NAT > 目的NAT > 虛擬服務(wù)器”。
操作步驟
1. 配置接口基本參數(shù)。a. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。
b. 在“接口列表”中單擊GE0/0/2對(duì)應(yīng)的
。c. 配置接口GigabitEthernet 0/0/2。
GigabitEthernet 0/0/2的相關(guān)參數(shù)如下,其他參數(shù)使用默認(rèn)值:
· 安全區(qū)域:trust
· 模式:路由
· 連接類型:靜態(tài)IP
· IP地址:192.168.1.1
· 子網(wǎng)掩碼:255.255.255.0
d. 單擊“應(yīng)用”。
e. 重復(fù)上述步驟配置接口GigabitEthernet 0/0/3和GigabitEthernet 0/0/4。
GigabitEthernet 0/0/3的相關(guān)參數(shù)如下,其他參數(shù)使用默認(rèn)值:
· 安全區(qū)域:dmz
· 模式:路由
· 連接類型:靜態(tài)IP
· IP地址:10.1.1.1
· 子網(wǎng)掩碼:255.255.255.0
GigabitEthernet 0/0/4的相關(guān)參數(shù)如下,其他參數(shù)使用默認(rèn)值:
· 安全區(qū)域:untrust
· 模式:路由
· 連接類型:靜態(tài)IP
· IP地址:1.1.1.1
· 子網(wǎng)掩碼:255.255.255.0
2. 對(duì)于USG系列,配置域間包過(guò)濾,以保證網(wǎng)絡(luò)基本通信正常。對(duì)于USG BSR/HSR系列,不需要執(zhí)行此步驟。使192.168.1.0/24網(wǎng)段用戶可以訪問(wèn)Internet,使Internet用戶可以訪問(wèn)10.1.1.2的FTP服務(wù)和10.1.1.3的Web服務(wù)。
a. 配置192.168.1.0/24網(wǎng)段用戶可以訪問(wèn)Internet。
. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
i. 選擇“轉(zhuǎn)發(fā)策略”頁(yè)簽。
ii. 在“轉(zhuǎn)發(fā)策略列表”中單擊
。參數(shù)配置如圖7-76所示。圖7-76 配置192.168.1.0/24網(wǎng)段用戶可以訪問(wèn)Internet
a. 配置Internet用戶可以訪問(wèn)10.1.1.2的FTP服務(wù)和10.1.1.3的Web服務(wù)。
i. 在“轉(zhuǎn)發(fā)策略列表”中單擊
。參數(shù)配置如圖7-77所示。圖7-77 配置Internet用戶可以訪問(wèn)10.1.1.2的FTP服務(wù)
iii. 重復(fù)上述步驟配置Internet用戶可以訪問(wèn)10.1.1.3的Web服務(wù)。參數(shù)配置如圖7-78所示。
圖7-78 配置Internet用戶可以訪問(wèn)10.1.1.3的Web服務(wù)
a. 配置NAT地址池。
i. 選擇“防火墻 > NAT > 源NAT”。
ii. 選擇“NAT地址池”頁(yè)簽。
iii. 在“NAT地址池列表”中單擊
。參數(shù)配置如圖7-79所示。圖7-79 配置NAT地址池
說(shuō)明:
· 本舉例中地址池1.1.1.3~1.1.1.6和上網(wǎng)接口GigabitEthernet 0/0/4地址1.1.1.1/24是在同一網(wǎng)段的,如果地址池所在網(wǎng)段與上網(wǎng)接口不在同一個(gè)網(wǎng)段,注意需要在USG的下一跳設(shè)備上配置到地址池的路由。
· 如果上網(wǎng)接口已經(jīng)配置過(guò)接口IP地址方式的NAT轉(zhuǎn)換,必須先刪除已有的接口IP地址NAT配置。
a. 配置源NAT。
. 選擇“源NAT”頁(yè)簽。
i. 在“源NAT策略列表”中單擊
。參數(shù)配置如圖7-80所示。圖7-80 配置源NAT
1. 配置虛擬服務(wù)器,實(shí)現(xiàn)需求2。
a. 配置FTP服務(wù)器的虛擬服務(wù)器。
i. 選擇“防火墻 > NAT > 目的NAT”,單擊“虛擬服務(wù)器”頁(yè)簽。
ii. 在“虛擬服務(wù)器列表”中單擊
。參數(shù)配置如圖7-81所示。圖7-81 配置FTP服務(wù)器的虛擬服務(wù)器
b. 配置Web服務(wù)器的虛擬服務(wù)器。
i. 在“虛擬服務(wù)器列表”中單擊
。參數(shù)配置如圖7-82所示。圖7-82 配置Web服務(wù)器的虛擬服務(wù)器
2. 在USG以及與USG相連的網(wǎng)絡(luò)設(shè)備上正確配置路由協(xié)議,使外網(wǎng)設(shè)備可以正確生成到達(dá)虛擬服務(wù)器的路由信息,使設(shè)備上可以正確生成外網(wǎng)的路由信息。
結(jié)果驗(yàn)證
1. 配置完成后選擇“防火墻 > 監(jiān)控 > ServerMap”,查看FTP虛擬服務(wù)器和Web虛擬服務(wù)器的配置情況。2. 從內(nèi)部網(wǎng)絡(luò)的主機(jī)192.168.1.2可以Ping通Internet地址(如2.2.2.2)。
3. Internet上的用戶(如2.2.2.2)可以通過(guò)公網(wǎng)地址1.1.1.2訪問(wèn)FTP和Web服務(wù)。
4. 選擇“防火墻 > 監(jiān)控 > 會(huì)話表”,查看詳細(xì)會(huì)話表。如圖7-83所示,以從192.168.1.2 ping 2.2.2.2為例:
圖7-83 查看192.168.1.2 ping 2.2.2.2的詳細(xì)會(huì)話表
相關(guān)文章
- [網(wǎng)絡(luò)服務(wù)]保護(hù)無(wú)線網(wǎng)絡(luò)安全的十大
- [網(wǎng)絡(luò)服務(wù)]無(wú)線覆蓋 | 無(wú)線天線對(duì)信
- [網(wǎng)絡(luò)服務(wù)]綜合布線 | 綜合布線發(fā)展
- [數(shù)據(jù)恢復(fù)服務(wù)]電腦運(yùn)維技術(shù)文章:win1
- [服務(wù)器服務(wù)]串口服務(wù)器工作模式-服務(wù)
- [服務(wù)器服務(wù)]串口服務(wù)器的作用-服務(wù)維
- [服務(wù)器服務(wù)]moxa串口服務(wù)器通訊設(shè)置參
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運(yùn)維|如何臨時(shí)關(guān)閉
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運(yùn)維|如何重置IE瀏覽
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運(yùn)維|win10系統(tǒng)升級(jí)后
- [辦公設(shè)備服務(wù)]辦公設(shè)備:VPN簡(jiǎn)介
- [辦公設(shè)備服務(wù)]辦公設(shè)備:VPN技術(shù)的要求
IT電腦維護(hù)外包
關(guān)閉