DCFW1800GES路由模式做nat的配置步骤张向东.docx
- 文档编号:10575963
- 上传时间:2023-02-21
- 格式:DOCX
- 页数:20
- 大小:1.05MB
DCFW1800GES路由模式做nat的配置步骤张向东.docx
《DCFW1800GES路由模式做nat的配置步骤张向东.docx》由会员分享,可在线阅读,更多相关《DCFW1800GES路由模式做nat的配置步骤张向东.docx(20页珍藏版)》请在冰豆网上搜索。
DCFW1800GES路由模式做nat的配置步骤张向东
撰写人员
张向东
撰写时间
2004-7-19
产品名称
DCFW-1800G/E/S
产品版本
2.8及以上版本
简单描述
DCFW-1800G/E/S路由模式下做NAT的配置步骤及方法。
限制范围
无
DCFW-1800G/E/S路由模式(做NAT)配置步骤
1800E/S路由模式的配置步骤(作NAT)
(本部分内容适用于:
DCFW-1800E和DCFW-1800S系列防火墙)
在本章节我们来介绍一下1800E和1800S防火墙路由模式的配置方法以及步骤。
本部分内容涉及:
安全规则,地址转换,更改防火墙网络属性(IP以及网关)等功能的配置
网络结构:
要求:
将防火墙内网接口地址更改为192.168.10.1255.255.255.0
将外网接口地址更改为:
10.1.157.131255.255.255.0
将DMZ口地址更改为:
192.168.20.1255.255.255.0
防火墙的默认网关为:
10.1.157.2
DMZ内的服务器(pc2)地址为:
192.168.20.2
管理主机地址:
192.168.10.2
规则要求:
要求内网网段192.168.1.0能够访问互联网,并且能够访问pc2的web,ftp,ping服务,要求外网能够访问pc2上的web,ftp服务。
将内网网段(192.168.10.0)转换成防火墙外网口地址
将dmz区内的服务器(192.168.20.2)转换成合法地址:
10.1.157.61
按照上面的描述,我们需要更改防火墙的网络地址和在防火墙上添加相应的安全规则,并作动态地址转换和静态地址转换。
实验步骤:
说明:
防火墙的网络地址的默认配置:
内网口192.168.1.1,外网口192.168.0.1,DMZ口192.168.3.1
系统管理员的名称:
admin密码:
admin.
一根据需求更改防火墙IP地址,添加管理主机,然后进入web管理界面
1.1进入超级终端,添加管理防火墙的IP地址:
在此处输入系统管理员的名称:
admin
(超级终端的配置)
点击确定,然后按数下回车,进入到1800E/S防火墙的超级终端配置界面:
1.2根据网络环境更改防火墙的IP地址的配置
说明:
if0为防火墙的外网口;if1为防火墙的内网口;if2为防火墙的DMZ口
#ifconfigif1192.168.10.1/24(此命令目的:
将内网口地址改为192.168.10.1)
#ifconfigif010.1.157.131/24(此命令目的:
将外网口地址改为10.1.157.131)
#ifconfigif2192.168.20.1/24(此命令目的:
将DMZ口地址改为192.168.20.1)
#routeadddefault10.1.157.2(此命令目的:
添加默认网关)
#adminhostadd192.168.10.2(为了能够在管理主机上通过web方式管理防火墙,必须添加管理主机的地址---即:
通过浏览器管理防火墙的那台pc机器的地址)
#ifconfigservicesif1pingon(防火墙默认是禁止ping的,必须添加此命令才能ping通内网口)
#save(此命令目的:
保存我们所作的修改)
#apply(此命令目的:
使我们修改后的配置生效,切记!
切记!
)
1.3为了验证我们刚才的配置,可以在超级终端中运行如下的命令:
1.4完成上面的配置后,我们就可以在管理主机上(也就是IP地址为192.168.10.2的那台机器上)通过WEB的方式来管理防火墙了
首先将管理主机的pc机的IP地址更改为:
192.168.10.2
然后打开浏览器,进入到防火墙的web管理界面模式,如下图:
进入web管理页面后我们就可以在图形界面下对防火墙进行其他复杂的操作了。
二添加包过滤规则
说明:
进lan只对外网访问内网时起作用
出wan只对内网访问外网时起作用
进dmz:
内网访问dmz服务器,外网访问dmz服务器时起作用
出dmz:
dmz内的机器访问外网或内网的机器时起作用
所以lan访问外网的规则要在出wan处设置
lan和外网访问dmz的规则要在进dmz处设置
外网访问lan的规则要在进lan处设置
dmz访问外网和访问内网的规则要在出dmz处设置
2.1.1添加内网访问外网的tcp,udp,ping的服务(注意:
此规则在出wan处添加)
2.1.2点击新增添加如下的规则
源网络:
anyinternal(任何内网)
目的网络:
anyexternal(任何外网)
服务:
anytcp
2.1.3然后按照上述的方法添加udp,ping的放行规则:
源网络:
anyinternal(任何内网)
目的网络:
anyexternal(任何外网)
服务:
anyudp
2.1.4添加ping的放行规则
源网络:
anyinternal(任何内网)
目的网络:
anyexternal(任何外网)
服务:
ping
2.2.1添加内网访问dmz服务器的http,ftp的服务(注意:
此规则在进dmz处添加)
2.2.2点击新增添加如下的规则
源网络:
anyinternal(任何内网)
目的网络:
anydmz(任何dmz内主机)
服务:
http
2.2.3然后按照上述的方法添加ftp的放行规则:
源网络:
anyinternal(任何内网)
目的网络:
anydmz(任何dmz内主机)
服务:
ftp
为了让内网主机ping通dmz服务器我们可以按照上述的方法添加ping等其他服务。
2.3.1添加外网访问dmz服务器的http,ftp等服务的安全规则(注意:
此规则在进dmz处添加)
源网络:
anyexternal(任何外网)
目的网络:
anydmz(任何dmz内主机)
服务:
http
2.3.2添加外网访问dmz服务器ftp服务的放行规则(注意:
此规则在进dmz处添加)
源网络:
anyexternal(任何外网)
目的网络:
anydmz(任何dmz内主机)
服务:
ftp
2.4.1添加dmz主机访问外网的规则(注意:
此规则在出dmz处设置)
2.4.2添加dmz主机访问外网tcp的规则
源网络:
anydmz(任何dmz内主机)
目的网络:
anyexternal(任何外网)
服务:
tcp、
2.4.3添加dmz主机访问外网的udp规则
源网络:
anydmz(任何dmz内主机)
目的网络:
anyexternal(任何外网)
服务:
udp
2.5.1添加dmz主机访问内网的tcp规则(注意:
dmz访问内网的规则在出dmz处添加)
源网络:
anydmz(任何dmz内主机)
目的网络:
anyinternal(任何内网)
服务:
tcp
2.5.2添加dmz主机访问内网的udp服务
源网络:
anydmz(任何dmz内主机)
目的网络:
anyinternal(任何内网)
服务:
udp
2.5.3
为了保证dmz主机能ping通内网必须添加访问内网的ping规则
源网络:
anydmz(任何dmz内主机)
目的网络:
anyinternal(任何内网)
服务:
ping
三完成规则配置后一定要注意保存,并应用,否则规则不能生效切记!
先点保存
然后在下图点击应用
四添加地址转换的规则
4.1为了让内网用户能够访问外网我们还必须添加动态地址转换的规则(将内网网段转换成防火墙外网口地址)
注意:
1800s防火墙的这里有两个选项:
[指定转换地址范围]和[转换成外网地址]
1800E中只有[指定转换地址范围]
如果是1800E防火墙,将内网网段转换成外网口ip地址,可以选择[指定转换地址范围]在起始地址处输入防火墙的外网口ip地址就可以,终止地址不用填写。
如果是1800s防火墙,并用adsl拨号方式或者通过dhcp方式获得地址,那么在作动态地址转换的时候,此处一定要选择[转换成外网地址];
对于1800s防火墙来说,如果外网口时固定ip地址,将内网网段转换成外网口ip地址时,也可以直接选择[转换成外网地址]
4.1.2添加将内网网段转换成外网口ip地址的动态地址转换规则
4.2为了让外网和内网用户能通过合法地址访问DMZ中的服务器,必须作静态地址转换,将DMZ内的服务器的内部地址(192.168.20.2)转换成外网合法地址(10.1.157.61)
添加方法如下:
一定要选择静态地址转换
五完成规则配置后一定要注意保存,并应用,否则规则不能生效切记!
这样新的规则就会生效,完成上述配置后就能够达到我们的要求
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DCFW1800GES 路由 模式 nat 配置 步骤 向东