- 1、本文档共4页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
防火墙划分安全端口和配置域间nat
实验十一 防火墙划分安全端口和配置域间NAT
一、实验目的
根据网络规划为防火墙(USG)分配接口,并将接口加入相应的安全区域。
创建ACL,并配置ACL规则。
配置域间NAT和内部服务器。
二、组网需求
如图所示,某公司内部网络通过防火墙(USG)与Internet进行连接,网络环境描述如下:
内部用户属于Trust区域,通过接口GigabitEthernet 0/0/0与防火墙(USG)连接。
FTP和Web服务器属于DMZ区域,对外提供FTP和Web服务,通过接口GigabitEthernet 0/0/1与USG连接。
防火墙(USG)的接口GigabitEthernet 5/0/0与Internet连接,属于Untrust区域。
配置NAT和内部服务器,完成以下需求:
需求1
该公司Trust区域的/24网段的用户可以访问Internet,提供的访问外部网络的合法IP地址范围为~3。由于公有地址不多,需要使用NAPT(Network Address Port Translation)功能进行地址复用。
需求2
提供FTP和Web服务器供外部网络用户访问。Web Server的内部IP地址为00,端口为8080,其中FTP Server的内部IP地址为01。两者对外公布的地址均为4,对外使用的端口号均为缺省值。
三、设备和数据准备
设备一台防火墙(USG2200)、两台交换机、主机3-4台、直通双绞线若干、交叉双绞线、翻转配线;
为完成此配置例,需准备如下的数据:
ACL相关参数。
统一安全网关各接口的IP地址。
FTP Server和Web Server的内部、以及提供给外部网络访问的IP地址和端口号。
四、操作步骤
完成USG的基本配置。
# 配置接口GigabitEthernet 0/0/0的IP地址。
USG system-view
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet 0/0/0] ip address 24
[USG-GigabitEthernet 0/0/0] quit
# 配置接口GigabitEthernet 5/0/0的IP地址。
[USG] interface GigabitEthernet 5/0/0
[USG-GigabitEthernet 5/0/0] ip address 27
[USG-GigabitEthernet 5/0/0] quit
# 配置接口GigabitEthernet 0/0/1的IP地址。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet 0/0/1] ip address 24
[USG-GigabitEthernet 0/0/1] quit
# 将接口GigabitEthernet 0/0/0加入Trust区域。
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/0
[USG-zone-trust] quit
# 将接口GigabitEthernet 5/0/0加入Untrust区域。
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 5/0/0
[USG-zone-untrust] quit
# 将接口GigabitEthernet 0/0/1加入DMZ区域。
[USG] firewall zone dmz
[USG-zone-dmz] add interface GigabitEthernet 0/0/1
[USG-zone-dmz] quit
配置NAT,完成需求1。
# 创建基本ACL 2000,配置源地址为/24的规则。
[USG] acl 2000
[USG-acl-basic-2000] rule permit source 55
[USG-acl-basic-2000] quit
# 配置NAT地址池。
[USG] nat address-group 1 3
# 配置Trust区域和Untrust区域的域间包过滤规则。
[USG] firewall interzone trust untrust
[USG-interzone-trust-untrust] packet-filter 2000 outbound
# 配置Trust区域和Untrust区域的NAT,将地址池和ACL关联,不使用no-pat参数。
[USG-interzone-trust-untrust] nat
您可能关注的文档
- 地质灾害勘查及地质灾害体治理示范工程设计书..doc
- 第三方涉税信息应用探讨..doc
- 第十二周文化衫的设计制作..doc
- 第三方物流的利弊分析与企业物流模式选择..doc
- 第三方支付平台存在的问题及解决对策.doc
- 第三类医疗技术临床应用能力技术审核申请书..doc
- 第十篇基础工程施工组织与管理..doc
- 第四期《肿瘤疾病治疗与护理新进展》学习班邀请函..doc
- 第五周学习重点材料.doc
- 第一步jdk安装图解.doc
- [焦作]2024年河南焦作市博爱县事业单位招聘146人笔试历年参考题库(频考点试卷)解题思路附带答案.docx
- [湖州]2025年浙江省湖州长兴县县级医疗卫生单位招聘45人笔试历年参考题库(频考点试卷)解题思路附.docx
- [盐城]江苏盐城市卫生健康委直属事业单位招聘卫生类专业技术人员25人笔试历年参考题库(频考点试卷)解.docx
- [湘西]2024年湖南湘西州龙山县中医院招聘15人笔试历年参考题库(频考点试卷)解题思路附带答案详解.docx
- [烟台]2024年山东烟台大学招聘30人笔试历年参考题库(频考点试卷)解题思路附带答案详解.docx
- [湖州]2024年浙江湖州市吴兴区招聘医疗卫生事业单位第二批卫生专业技术人才笔试历年参考题库(频考点.docx
- [湖北]2024年湖北省中医院招聘医疗辅助人员34人笔试历年参考题库(频考点试卷)解题思路附带答案详.docx
- [甘肃]2024年甘肃有色冶金职业技术学院引进人才14人笔试历年参考题库(频考点试卷)解题思路附带答.docx
- [珠海]2024年广东珠海城市职业技术学院招聘事业编制教师14人笔试历年参考题库(频考点试卷)解题思.docx
- [滁州]2024年安徽滁州来安县县级公立医院高层次人才引进6人笔试历年参考题库(频考点试卷)解题思路.docx
文档评论(0)