深信服下一代防火墙入门2012年度渠道初级认证培训03防火墙功能介绍20120701.ppt

* * 培训内容 培训目标 地址转换功能介绍 了解源地址转换，目的地址转换，双向地址转换的应用场景，掌握源地址转换，目的地址转换，双向地址转换的设置方法。 DOS/DDOS防护功能介绍 了解DOS和DDOS功能的作用和应用场景，掌握DOS和DDOS功能的推荐配置方法。 其它功能介绍 连接数控制：掌握连接数控制的配置方法 DNS mapping：了解DNS mapping功能的应用场景，掌握设置方法 ARP欺骗防御：了解ARP欺骗防御功能的应用场景和设置方法 地址转换功能介绍 地址转换功能介绍 地址转换(NAT)： 在计算机网络中，网络地址转换（Network Address Translation，简称NAT）是一种在IP数据包通过路由器或防火墙时重写源IP地址/目的IP地址的技术。 源地址转换(SNAT) ： 源地址转换即内网地址访问外网时，将发起访问的内网IP地址转换为指定的IP地址，内网的多台主机可以通过同一个有效的公网IP地址访问外网。 典型应用场景： 设备路由部署在公网出口代理内网用户上网 目的地址转换(DNAT) ： 目的地址转换也称为反向地址转换或地址映射。目的地址转换是一种单向的针对目标地址的地址转换，主要用于内部服务器以公网地址向外网用户提供服务的情况。 典型应用场景： 外网用户访问服务器所在网络出口线路的公网地址时，直接访问到内部服务器。（如WAN-LAN端口映射） 地址转换功能介绍 双向地址转换： 双向地址转换是指在一条地址转换规则中，同时包含源地址和目标地址的转换，匹配规则的数据流将被同时转换源IP地址和目标IP地址 典型应用场景： 内网用户通过公网地址访问内网服务器（如LAN- LAN端口映射） 地址转换功能介绍 源地址转换功能应用举例 需求：客户网络环境如图，AF防火墙部署在网络出口，下接三层交换机，内网有PC和服务器，客户要求： AF防火墙代理内网PC和服务器上网。 解决方案：在AF设备上做源地址转换 步骤一：在【网络配置】的【接口/区域中】定义好接口地址和“区域”，在【对象定义】的【IP组】中定义好 “内网IP组”，该步骤的具体配置请参考“SANGFOR NGAF 初级认证培训_基本网络环境部署.ppt“。 源地址转换功能应用举例 源地址转换功能应用举例 步骤二：在【防火墙】的【地址转换】中新增“源地址转换”规则 定义该条规则的名称 点击选择区域 选择需要进行源地址转换的区域，本案例中配置内网区域代理上网，所以选择“内网区域“。 点击选择IP组 选择需要进行源地址转换的IP组 点击选择目标区域 选择需要进行源地址转换的目标区域，本案例中，目标区域选择为外网区域 点击选择目的IP组，本案例中保持默认“全部”。 点击可设置需要进行源地址转换的协议和端口，本案例保持默认即可 配置转换后的IP，可配置为出接口地址，IP段或某个IP。 配置完成，点击保存 以上步骤完成，即完成了本例中代理上网的所有配置，在【内容安全】的【应用控制策略】中放通相应权限，即可实现AF设备代理内网PC和服务器上网。 目的地址转换功能应用举例 需求：客户网络环境如图，AF防火墙部署在网络出口，内网有WEB服务器。客户需要将WEB服务器发布到公网，让公网所有用户都可以通过访问到该服务器。 解决方案：在AF设备上做端口映射（即目的地址转换） 目的地址转换功能应用举例 步骤一：在【网络配置】的【接口/区域】中定义好接口地址和“区域”，在【对象定义】的【IP组】中定义好 “外网接口IP”，该步骤的具体配置请参考“SANGFOR NGAF 初级认证培训_基本网络环境部署.ppt“。 目的地址转换功能应用举例 步骤二：在【防火墙】的【地址转换】中新增“目的地址转换”规则 自定义名称与描述 源区域选择为外网区域 目的IP可手动填写IP或者选择IP组中配置的外网接口IP 选择协议类型 填写外网用户访问服务器的目的端口 目的地址填写内网服务器的IP 这里配置的是内网服务器提供服务的端口，本案例不需要转换目的端口，选择不转换即可 点击“高级设置“可设置源IP组和源端口，本案例没做特殊要求，默认为所有即可 配置完成，点击保存 以上配置完成，即完成目的地址转换的所有配置，在【应用控制策略】中放通外网区到内网区的HTTP访问权限，外网用户即可通过外网接口IP直接访问内网WEB服务器。 双向地址转换功能应用举例 需求：客户网络环境如图，AF防火墙部署在网络出口，内网有WEB服务器。已经申请了域名指向，客户需要内网所有用户都可以通过访问WEB服务器。 解决方案：在AF设备上做双向地址转换 双向地址转换功能应用举例 步骤一：在【网络配置】的【接口/区域】中定义好接口地址和“区域