网站大量收购闲置独家精品文档,联系QQ:2885784924

防火墙划分安全端口和配置域间nat.doc

  1. 1、本文档共4页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
防火墙划分安全端口和配置域间nat

实验十一 防火墙划分安全端口和配置域间NAT 一、实验目的 根据网络规划为防火墙(USG)分配接口,并将接口加入相应的安全区域。 创建ACL,并配置ACL规则。 配置域间NAT和内部服务器。 二、组网需求 如图所示,某公司内部网络通过防火墙(USG)与Internet进行连接,网络环境描述如下: 内部用户属于Trust区域,通过接口GigabitEthernet 0/0/0与防火墙(USG)连接。 FTP和Web服务器属于DMZ区域,对外提供FTP和Web服务,通过接口GigabitEthernet 0/0/1与USG连接。 防火墙(USG)的接口GigabitEthernet 5/0/0与Internet连接,属于Untrust区域。 配置NAT和内部服务器,完成以下需求: 需求1 该公司Trust区域的/24网段的用户可以访问Internet,提供的访问外部网络的合法IP地址范围为~3。由于公有地址不多,需要使用NAPT(Network Address Port Translation)功能进行地址复用。 需求2 提供FTP和Web服务器供外部网络用户访问。Web Server的内部IP地址为00,端口为8080,其中FTP Server的内部IP地址为01。两者对外公布的地址均为4,对外使用的端口号均为缺省值。 三、设备和数据准备 设备一台防火墙(USG2200)、两台交换机、主机3-4台、直通双绞线若干、交叉双绞线、翻转配线; 为完成此配置例,需准备如下的数据: ACL相关参数。 统一安全网关各接口的IP地址。 FTP Server和Web Server的内部、以及提供给外部网络访问的IP地址和端口号。 四、操作步骤 完成USG的基本配置。 # 配置接口GigabitEthernet 0/0/0的IP地址。 USG system-view [USG] interface GigabitEthernet 0/0/0 [USG-GigabitEthernet 0/0/0] ip address 24 [USG-GigabitEthernet 0/0/0] quit # 配置接口GigabitEthernet 5/0/0的IP地址。 [USG] interface GigabitEthernet 5/0/0 [USG-GigabitEthernet 5/0/0] ip address 27 [USG-GigabitEthernet 5/0/0] quit # 配置接口GigabitEthernet 0/0/1的IP地址。 [USG] interface GigabitEthernet 0/0/1 [USG-GigabitEthernet 0/0/1] ip address 24 [USG-GigabitEthernet 0/0/1] quit # 将接口GigabitEthernet 0/0/0加入Trust区域。 [USG] firewall zone trust [USG-zone-trust] add interface GigabitEthernet 0/0/0 [USG-zone-trust] quit # 将接口GigabitEthernet 5/0/0加入Untrust区域。 [USG] firewall zone untrust [USG-zone-untrust] add interface GigabitEthernet 5/0/0 [USG-zone-untrust] quit # 将接口GigabitEthernet 0/0/1加入DMZ区域。 [USG] firewall zone dmz [USG-zone-dmz] add interface GigabitEthernet 0/0/1 [USG-zone-dmz] quit 配置NAT,完成需求1。 # 创建基本ACL 2000,配置源地址为/24的规则。 [USG] acl 2000 [USG-acl-basic-2000] rule permit source 55 [USG-acl-basic-2000] quit # 配置NAT地址池。 [USG] nat address-group 1 3 # 配置Trust区域和Untrust区域的域间包过滤规则。 [USG] firewall interzone trust untrust [USG-interzone-trust-untrust] packet-filter 2000 outbound # 配置Trust区域和Untrust区域的NAT,将地址池和ACL关联,不使用no-pat参数。 [USG-interzone-trust-untrust] nat

您可能关注的文档

文档评论(0)

shenlan118 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档