【网络设备】某防火墙基于IP地址的目的地址转换
由于来自Internet的对政府,企业的网络攻击日益频繁,因此需要对内网中向外网提供访问服务的关键设备进行有效保护。采用目的地址NAT可以有效地将内部网络地址对外隐藏。
图中:公网中Internet用户需要通过安全网管访问web服务器,为了隐藏服务器在内网中的真实IP:192.168.1.55,使用公网地址172.16.1.100作为用户的访问地址,提供HTTP服务的端口为8080。
webUI配置步骤:
1)在左侧导航选择 资源管理>区域,点击“添加”,定义区域资源。设置内网区域inside与属性eth0绑定且禁止访问,如下图所示。
外网区域outside与属性eth1绑定且允许访问,如下图所示:
1)定义WEB服务器的内网真实地址资源
在左侧导航树中选择 资源管理>地址 ,然后激活“主机”页签,点击“添加”,系统出现添加主机资源,如下图所示
1)定义WEB服务器的公网IP地址资源
在左侧导航中选择 资源管理>地址,然后激活“主机”页签,点击“添加”,系统出现添加主机资源的页面,如下图所示。
4)定义目的地址转换策略
在左侧导航树中选择 防火墙>地址转换,进入地址转换规则表界面,点击“添加”进入NAT规则配置界面,如下图所示,选择“目的转换”选项设定目的地址转换策略。
设置完成后,点击【确定】按钮,完成目的NAT规则设置。
注:1。因为防火墙先匹配NAT,再匹配访问控制,所以写的的是outside区域到inside区域的一个地址。否则:防火墙收到数据包会误认为这个数据包是给自己的,所以先匹配NAT。
2定义目的地址转换策略时,只需目的地址,不能指定目的区域或目的VLAN.
效果:
我不相信黑夜将至 因为火把就在我的手中。