通過配置源NAT策略和服務(wù)器靜態(tài)映射功能,實現(xiàn)私網(wǎng)用戶使用公網(wǎng)地址訪問內(nèi)部服務(wù)器�。
組網(wǎng)需求
某公司在網(wǎng)絡(luò)邊界處部署了NGFW作為安全網(wǎng)關(guān)�。為了使私網(wǎng)Web服務(wù)器和FTP服務(wù)器能夠?qū)ν馓峁┓?wù),需要在NGFW上配置服務(wù)器靜態(tài)映射功能。另外����,和兩臺服務(wù)器同在一個安全區(qū)域���,并且IP地址同在一個網(wǎng)段的PC也需要訪問這兩臺服務(wù)器�。由于公司希望PC可以使用公網(wǎng)地址訪問內(nèi)部服務(wù)器,因此還需要在NGFW上配置源NAT功能����。
除了公網(wǎng)接口的IP地址外,公司還向ISP申請了兩個公網(wǎng)IP地址�����,其中1.1.1.10作為內(nèi)網(wǎng)服務(wù)器對外提供服務(wù)的地址��,1.1.1.11作為PC地址轉(zhuǎn)換后的公網(wǎng)地址���。網(wǎng)絡(luò)環(huán)境如圖1所示���,其中Router是ISP提供的接入網(wǎng)關(guān)。
圖1 靜態(tài)映射+源NAT策略組網(wǎng)圖
數(shù)據(jù)規(guī)劃
項目 | 數(shù)據(jù) | 說明 |
GigabitEthernet 1/0/1 | IP地址:1.1.1.1/24 安全區(qū)域:Untrust | 實際配置時需要按照ISP的要求進(jìn)行配置���。 |
GigabitEthernet 1/0/2 | IP地址:10.2.0.1/24 安全區(qū)域:DMZ | 內(nèi)網(wǎng)服務(wù)器需要將10.2.0.1配置為默認(rèn)網(wǎng)關(guān)����。 |
服務(wù)器映射 | 名稱:policy_nat_web 公網(wǎng)地址:1.1.1.10 私網(wǎng)地址:10.2.0.7 公網(wǎng)端口:8080 私網(wǎng)端口:80 | 通過該映射�����,使用外網(wǎng)用戶能夠訪問1.1.1.10,且端口號為8080的流量能夠送給內(nèi)網(wǎng)的Web服務(wù)器�����。 Web服務(wù)器的私網(wǎng)地址為10.2.0.7�,私網(wǎng)端口號為80。 |
名稱:policy_nat_ftp 公網(wǎng)地址:1.1.1.10 私網(wǎng)地址:10.2.0.8 公網(wǎng)端口:21 私網(wǎng)端口:21 | 通過該映射�,使用外網(wǎng)用戶能夠訪問1.1.1.10,且端口號為21的流量能夠送給內(nèi)網(wǎng)的FTP服務(wù)器�����。 FTP服務(wù)器的私網(wǎng)地址為10.2.0.8����,私網(wǎng)端口號為21�����。 |
源NAT策略 | 名稱:policy_nat_1 允許訪問公網(wǎng)地址的私網(wǎng)地址:10.2.0.6 NAT地址池地址:1.1.1.11 | - |
路由 | 缺省路由 | 目的地址:0.0.0.0 下一跳:1.1.1.254 | 為了內(nèi)網(wǎng)服務(wù)器對外提供的服務(wù)流量可以正常轉(zhuǎn)發(fā)至ISP的路由器�,可以在NGFW上配置去往Internet的缺省路由。 |
黑洞路由 | 目的地址:1.1.1.10~1.1.1.11 下一跳:NULL 0 | 為了避免外網(wǎng)用戶訪問公網(wǎng)地址但沒有匹配到Server-Map的報文�����,或者外網(wǎng)主動訪問地址池地址,在NGFW和Router之間形成路由環(huán)路�����。 |
配置思路
1. 配置接口IP地址和安全區(qū)域���,完成網(wǎng)絡(luò)基本參數(shù)配置�。
2. 配置安全策略�,允許外部網(wǎng)絡(luò)用戶訪問內(nèi)部服務(wù)器。
3. 配置服務(wù)器映射功能�����,創(chuàng)建兩條靜態(tài)映射����,分別映射內(nèi)網(wǎng)Web服務(wù)器和FTP服務(wù)器。
4. 配置源NAT策略使PC可以訪問服務(wù)器的公網(wǎng)地址�。
5. 在NGFW上配置缺省路由,使內(nèi)網(wǎng)服務(wù)器對外提供的服務(wù)流量可以正常轉(zhuǎn)發(fā)至ISP的路由器���。
6. 在NGFW上配置黑洞路由����,避免NGFW與Router之間產(chǎn)生路由環(huán)路。
7. 在Router上配置到服務(wù)器映射的公網(wǎng)地址的靜態(tài)路由�����。
操作步驟
1. 配置接口IP地址和安全區(qū)域��,完成網(wǎng)絡(luò)基本參數(shù)配置�。
a. 選擇“網(wǎng)絡(luò) > 接口”。
b. 單擊GE1/0/1�,按如下參數(shù)配置。
安全區(qū)域 | untrust |
IPv4 |
IP地址 | 1.1.1.1/24 |
c. 單擊“確定”�����。
d. 參考上述步驟按如下參數(shù)配置GE1/0/2接口�。
安全區(qū)域 | dmz |
IPv4 |
IP地址 | 10.2.0.1/24 |
2. 配置安全策略,允許外部網(wǎng)絡(luò)用戶訪問內(nèi)部服務(wù)器����。
a. 選擇“策略 > 安全策略”�。
b. 單擊“新建”,按如下參數(shù)配置���。
名稱 | policy_sec_1 |
源安全區(qū)域 | untrust |
目的安全區(qū)域 | dmz |
源地址/地區(qū) | any |
目的地址/地區(qū) | 10.2.0.0/24 |
動作 | 允許 |
c. 單擊“確定”���。
d. 單擊“確定”��。
3. 配置服務(wù)器映射功能�,創(chuàng)建兩條靜態(tài)映射�,分別映射內(nèi)網(wǎng)Web服務(wù)器和FTP服務(wù)器。
a. 選擇“策略 > NAT策略 > 服務(wù)器映射”�。
b. 單擊“新建”,按如下參數(shù)創(chuàng)建名稱為“policy_nat_web”的靜態(tài)映射策略����,用于映射內(nèi)網(wǎng)Web服務(wù)器。
c. 單擊“確定”�。
d. 參考上述步驟,按如下參數(shù)創(chuàng)建名稱為“policy_nat_ftp”的靜態(tài)映射策略�,用于映射內(nèi)網(wǎng)FTP服務(wù)器。
4. 配置源NAT策略使PC可以訪問服務(wù)器的公網(wǎng)地址���。
a. 配置NAT地址池�。
i. 選擇“策略 > NAT策略 > 源NAT > NAT地址池”�。
ii. 單擊“新建”,按如下參數(shù)配置����。
iii. 單擊“確定”����。
b. 配置源NAT策略���,實現(xiàn)PC訪問公網(wǎng)地址時自動進(jìn)行源地址轉(zhuǎn)換���。
i. 選擇“策略 > NAT策略 > 源NAT策略”。
ii. 單擊“新建”���,按如下參數(shù)配置����。
iii.單擊“確定”���。
5. 在NGFW上配置缺省路由����,使內(nèi)網(wǎng)服務(wù)器對外提供的服務(wù)流量可以正常轉(zhuǎn)發(fā)至ISP的路由器���。
a. 選擇“網(wǎng)路 > 路由 > 靜態(tài)路由”。
b. 單擊“新建”�����,按如下參數(shù)配置。
目的地址/掩碼 | 0.0.0.0/0.0.0.0 |
下一跳 | 1.1.1.254 |
c. 單擊“確定”��。
6. 在NGFW上配置黑洞路由�,避免NGFW與Router之間產(chǎn)生路由環(huán)路。
a. 在“靜態(tài)路由”頁面繼續(xù)單擊“新建”����,按如下參數(shù)配置。
目的地址 | 1.1.1.10 |
掩碼 | 255.255.255.255 |
出接口 | Null0 |
b. 單擊“應(yīng)用”�����。參考上述步驟為1.1.1.11配置黑洞路由����。
7. 配置NAT ALG,使服務(wù)器可以正常提供FTP服務(wù)�。
a. 選擇“策略 > ASPF配置”。
b. 選中“FTP”���,單擊“應(yīng)用”���。
說明:
缺省情況下�����,F(xiàn)TP協(xié)議已開啟NAT ALG功能�。
8. 在Router上配置到服務(wù)器映射的公網(wǎng)地址(1.1.1.10)的靜態(tài)路由���,下一跳為1.1.1.1��,使得去服務(wù)器的流量能夠送往NGFW��。
通常需要聯(lián)系ISP的網(wǎng)絡(luò)管理員來配置此靜態(tài)路由����。
結(jié)果驗證
1. 配置完成后�����,外網(wǎng)用戶能夠正常訪問內(nèi)網(wǎng)服務(wù)器提供的服務(wù)�,表示服務(wù)器映射配置成功。
2. 配置完成后����,PC能夠正常訪問內(nèi)網(wǎng)服務(wù)器提供的服務(wù),表示源NAT策略配置成功。
3. 如果想查看命中NAT策略的命中情況�,可以選擇“策略 > NAT策略 > 源NAT”���,在源NAT策略列表中查看NAT策略的命中次數(shù)�。
4. 如果想查看服務(wù)器映射和源NAT過程中地址和端口的轉(zhuǎn)換信息����,可以選擇“監(jiān)控 > 會話表”,通過搜索找到目的地址為1.1.1.10的表項�,查看詳細(xì)的轉(zhuǎn)換信息。
上圖中藍(lán)框部分為經(jīng)過轉(zhuǎn)換后的源地址和源端口�,源地址為地址池中的地址;紅框部分為經(jīng)過服務(wù)器映射后的目的地址和目的端口���。
配置腳本
NGFW的配置腳本:
#
sysname NGFW
#
nat server policy_nat_web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www no-reverse
nat server policy_nat_ftp protocol tcp global 1.1.1.10 ftp inside 10.2.0.8 ftp no-reverse
#
interface GigabitEthernet1/0/1
ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 10.2.0.1 255.255.255.0
#
interface NULL0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/2
#
firewall interzone dmz untrust
detect ftp
#
nat address-group addressgroup1
section 0 1.1.1.11 1.1.1.11
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
ip route-static 1.1.1.10 255.255.255.255 NULL0
ip route-static 1.1.1.11 255.255.255.255 NULL0
#
security-policy
rule name policy_sec_1
source-zone untrust
destination-zone dmz
destination-address 10.2.0.0 24
action permit
#
nat-policy
rule name policy_nat_1
source-zone dmz
destination-zone dmz
source-address 10.2.0.6 32
action nat address-group addressgroup1
#
return
#以下配置為一次性操作����,不保存在配置文件中
nat-mode pat
021-62279227
發(fā)送郵件
