Day1-7-目的NAT配置指导(FW)课件.docx

序号配置功能配置目的1组网配置配置物理接口的参数信息，用于设备管理及业务转发2安全域将设备接口（物理/逻辑）加入到指定安全域，根据域优先级进行安全隔离，实现数据访问控制3静态路由数据报文根据手工配置的目的网段信息，进行路由转发4地址池将可用的公网地址添加到地址池中，在源?NAT?策略引用后，内应用防火墙典型配置案例公开1.1.1?目的?NAT?配置指导?功能简介出于安全考虑，大部分私网主机通常并不希望被公网用户访问。但在某些实际应用中，需要给公网用户提供一个访问私网服务器的机会。而在源?NAT?方式下，由于由公网用户发起的访问无法动态建立?NAT?表项，因此公网用户无法访问私网主机。目的?NAT（映射内部服务器）方式就可以解决这个问题——通过目的?NAT?配置“公网?IP?地址＋端口号”与“私网?IP?地址＋端口号”间的映射关系，NAT?设备可以将公网地址“反向”转换成私网地址。?网络拓扑某互联网主机，通过?Internet?网络访问某企业内网的一台对外提供服务的服务器（Web?Server），通过部署在企业网出口的一台防火墙做目的?NAT?转换，防火墙出接口?IP（地址）+Port（端口）映射企业内网的服务器。②Src:5:XXXXDst::8080①Src:5:XXXXDst::8888InternetGige0_2/24Gige0_3/24/24GW:5/24GW:③Src::8080Dst:5:XXXX④Src::8888Dst:5:XXXX?配置概览第?1?页网主机可将源?IP?地址转换为地址池?IP?访问互联网5目的?NAT互联网主机访问内网服务器，设备将数据报文的目的?IP?地址转换为内网服务器地址6包过滤策略通过配置安全域、地址对象/组、服务对象/组、生效时间等参数，对指定数据报文进行“通过”、“丢包”及“高级安全业务”的处理7会话日志通过记录?NAT?日志，可查询?NAT?前、后的地址及端口信息，便于溯源查询；通过记录会话日志，可查询防火墙设备所建立的会话信息，便于问题排查及数据分析应用防火墙典型配置案例??????????????????????????????????????????????????????????????????????????公开?详细配置(1)?访问：基本??网络管理??接口管理??组网配置，配置接口参数(2)?访问：基本??网络管理??网络对象??安全域，配置安全域(3)?访问：基本??网络管理??单播?IPv4?路由??静态路由（配置静态路由），配置静态路由第?2?页应用防火墙典型配置案例公开(4)?访问：基本??防火墙??NAT（地址池），配置?NAT?地址池(5)?访问：基本??防火墙??NAT（目的?NAT），配置目的?NAT??说明：目的?NAT?可对公网?IP?及服务（端口）、内网?IP?地址及服务（端口）进行精细化配置，若无特殊需求，使用默认配置即可；当高级配置参数为“缺省配置”，即与公网?IP?的服务端口一致。??注意：如果防火墙部署在?VRRP?环境下，须开启“关联?VRRP”，以确保备防火墙设备的目的?NAT?功能为禁用状态，且其地址池中的地址不发送?ARP?报文。(6)?访问：基本??防火墙?包过滤策略（配置包过滤策略），配置包过滤策略。??说明：报文匹配包过滤策略的顺序是从上往下依次匹配，可添加?Untrust?至?Trust?全部放行策略，也可根据地址、服务、生效时间等选项进行精细化控制。??注意：如果在包过滤策略中对目的地址进行精细化控制，此地址应为服务器私网?IP。第?3?页应用防火墙典型配置案例公开(7)?访问：基本??防火墙??会话管理（会话日志配置），配置?NAT/会话日志??说明：1、Syslog?日志类型适用于?Syslog?服务器，流日志类型（报文内容加密）适用于?UMC?服务器，以上配置基于?UMC?统一管理中心；2、负载分担方式是根据权重设置分担比例，将包过滤日志发送到多台日志服务器，全部发送方式是将所有包过滤日志发送到指定服务器；3、日志源?IP?为设备本地接口地址（物理/逻辑），且可达日志服务器；日志源端口为大于?1024且不与设备本地端口冲突。?功能验证外网?Host?主机（5）可访问公司内网?Server?服务器（），并在防火墙会话列表中查询到目的?NAT?转换过程（Web?Server?真实开放的端口号为?8080，对外网映射的端口号为?8888）在使用?UMC?情况下，可查询会话日志第?4?页序号问题描述1外网用户无法通过目的?NAT?映射策略访问内网服务器2当主机与服务器同处内网时，内网主机无法通过公网映射地址访问服务器3当主机与服务器同处内网时，内网主机无法通过域名访问服务器应用防火墙典型配置案例公开?常见问题-----