目录
Ⅰ 地址映射(1对1 IP映射)
Ⅱ 端口映射(1对多 端口映射)
Ⅰ 地址映射(1对1 IP映射)
一、组网需求
如下图所示,用户已完成了防火墙基础配置,现在需要将内网的一台web服务器(192.168.1.2)需要全映射到外网口的地址(202.1.1.11),让外网的用户能访问到此服务器。
同时内网用户也可以用公网地址访问服务器。
二、网络拓扑
三、配置要点
1、基础上网配置
2、配置虚拟ip(DNAT)
3、配置安全策略
注意:
四、操作步骤
1、基础上网配置
配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:
接口IP配置如下:
路由配置如下:
2、配置虚拟IP(DNAT)
进入菜单:防火墙--虚拟IP--虚拟IP,点击“新建”。
配置虚拟IP:名称为webserver,用于wan1口的
说明:"外部的ip地址或范围"和"映射的IP地址或范围"数量是对应,一对一映射,起始框和结束框都得填写,映射ip只需要填写第一个框,后面框会根据数量对应关系 自动填写。
比如202.1.1.3-202.1.1.10,内部映射起始IP是192.168.1.2,结束ip必须是192.168.1.9(自动填写),对应映射关系也是对应的,
202.1.1.3对应192.168.1.2;202.1.14对应192.168.1.3,依此类推。
注意: 如果外网线是拨号线路,那么客户需要将【外部的ip地址或范围】设置为0.0.0.0-0.0.0.0
3、配置安全策略
进入 防火墙--策略--策略,点击 新建,按如下方式添加策略
源接口/区:wan1 //如内网用户也需通过虚拟IP访问.,需将此处设置为any
源地址:all
目的接口/区: internal
目的地址选择: webserver //定义好的虚拟IP映射对象
服务: http // 只允许进行http服务访问
注意:如内网用户也需通过虚拟IP访问,有2种方式可实现:1. 需将原策略的【源接口/区】设置为any;
2.或者添加一条【源接口/区】为internal的内到内策略
源接口/区:internal
源地址:all
目的接口/区: internal
目的地址选择: webserver //定义好的虚拟IP映射对象
服务: http //只允许进行http服务访问
4、允许内网访问VIP的公网地址
允许内部用户通过公网的映射ip地址访问内部的web服务器,只需要添加一条允许内网访问外网的的策略即可。按如下方式添加策略。
五、验证效果
从外部进行访问http://202.1.1.11, 如果需要测试刚映射是否有效可以在策略的服务临时添加 ping服务进行测试。
Ⅱ 端口映射(1对多 端口映射)
一、组网需求
如下图所示,用户已完成了防火墙基础配置。
现在需要将内网的一台web服务器(192.168.1.2)的80端口映射到外网口的地址(202.1.1.11)的8080端口(内网端口与外网映射端口不一致);
将内网的一台smtp服务器(192.168.1.3)的25端口映射到外网口的地址(202.1.1.11)的25端口。
案例意义:掌握全新NGFW的关键功能处理模块的匹配顺序;DNAT>>路由>>安全策略>>源NAT
二、网络拓扑
三、配置要点
1、基础上网配置
2、配置虚拟ip(DNAT)
3、配置安全策略
四、操作步骤
1、基础上网配置
配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:
接口IP如下:
路由配置如下:
2、配置虚拟IP(DNAT)
进入菜单:防火墙--虚拟IP--虚拟IP, 创建新的VIP。
创建虚拟IP1:webserver:80,对http服务器进行映射
创建虚拟IP2:smtpserver:25,对smtp服务器进行映射
说明:"外部的ip地址或范围"和"映射的IP地址或范围"数量是对应,一对一映射,起始框和结束框都得填写,映射ip只需要填写第一个框,后面框会根据数量对应关系自动填写。
比如202.1.1.3-202.1.1.10,内部映射起始IP是192.168.1.2,结束ip必须是192.168.1.9(自动填写),对应映射关系也是对应的,
202.1.1.3对应192.168.1.2;202.1.14对应192.168.1.3,依此类推
3、配置安全策略
菜单: 防火墙--策略--策略, 点击 "新建"
在新建窗口内,按如下的方式,添加一条策略:
点击”目的地址“右面的 ”多个“按钮,选择将定义好的2个虚拟IP:
点击”服务“右面的 ”多个“按钮,添加http和smtp服务
源接口/区:wan1 //如内网用户也需通过虚拟IP访问需将此处设置为any
源地址:all
目的接口/区: internal
目的地址选择: webserver:80 , smtpserver:25
服务: http,smtp
注意:如内网用户也需通过虚拟IP访问,有2种方式可实现:1. 需将原策略的【源接口/区】设置为any;
2.或者添加一条【源接口/区】为internal的内到内策略
源接口/区:internal
源地址:all
目的接口/区: internal
目的地址选择: webserver:80 , smtpserver:25
服务: http,smtp
重点说明:由于全新NGFW数据流会先匹配DNAT(虚拟IP)后再匹配防火墙策略;所以本案例中webserver外网端口8080经过DNAT(虚拟IP)转换后变为80,所以在防火墙策略中应该放行的是HTTP服务(80端口)。
策略配置结果如下:
五、验证效果
从外部进行访问http://202.1.1.11, 如果需要测试刚映射是否有效可以在策略的服务临时添加 ping服务进行测试。 文章来源:https://www.toymoban.com/news/detail-764792.html
进行邮件测试。文章来源地址https://www.toymoban.com/news/detail-764792.html
到了这里,关于锐捷防火墙(WEB)——地址映射(1对1 IP映射)、端口映射(1对多 端口映射)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
