一、实验目的
1. 根据网络规划为防火墙(USG)分配接口,并将接口加入相应的安全区域。 2. 创建ACL,并配置ACL规则。
3. 配置域间NAT和内部服务器。
二、组网需求
如图所示,某公司内部网络通过防火墙(USG)与Internet进行连接,网络环境描述如下:
1、 内部用户属于Trust区域,通过接口GigabitEthernet 0/0/0与防火墙(USG)连接。
2、 FTP和Web服务器属于DMZ区域,对外提供FTP和Web服务,通过接口GigabitEthernet 0/0/1与USG连接。
3、 防火墙(USG)的接口GigabitEthernet 5/0/0与Internet连接,属于Untrust区域。多哈会议
配置NAT和内部服务器,完成以下需求:
∙ 需求1
该公司Trust区域的广州木偶艺术中心
192.168.0.0/24网段的用户可以访问Internet,提供的访问外部网络的合法IP地址范围为200.1.8.3~200.1.8.13。由于公有地址不多,需要使用NAPT(Network Address Port Translation)功能进行地址复用。 ∙ 需求2
提供FTP和Web服务器供外部网络用户访问。Web Server的内部IP地址为192.168.1.200,端口为8080,其中FTP Server的内部IP地址为192.168.1.201。两者对外公布的地址均为200.1.8.14,对外使用的端口号均为缺省值。
三、设备和数据准备
设备一台防火墙(USG2200)、两台交换机、主机3-4台、直通双绞线若干、交叉双绞线、翻转配线;
为完成此配置例,需准备如下的数据:
∙ ACL相关参数。
∙ 统一安全网关各接口的IP地址。
∙ FTP Server和Web Server的内部、以及提供给外部网络访问的IP地址和端口号。
四、操作步骤
大功率激光发射器
1. 完成腐蚀速率USG的基本配置。
# 配置接口GigabitEthernet 0/0/0的IP地址。
<USG> system-view
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet 0/0/0] ip address 192.168.0.1 24
[USG-GigabitEthernet 0/0/0] quit
# 配置接口GigabitEthernet 5/0/0的IP地址。
[USG] interface GigabitEthernet 5/0/0
[USG-GigabitEthernet 5/0/0] ip address 200.1.8.2 27
[USG-GigabitEthernet 5/0/0] quit
# 配置接口GigabitEthernet 0/0/1的IP地址。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet 0/0/1] ip address 192.168.1.0 24
[USG-GigabitEthernet 0/0/1] quit
# 将接口GigabitEthernet 0/0/0加入Trust区域。
[USG] firewall zone trust
[USG-zone-trust] add interface GigabitEthernet 0/0/0
[USG-zone-trust] quit
# 将接口GigabitEthernet 5/0/0加入Untrust区域。
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 5/0/0
[USG-zone-untrust] quit
# 将接口GigabitEthernet 0/0/1加入DMZ区域。
[USG] firewall zone dmz
[USG-zone-dmz] add interface GigabitEthernet 0/0/1
[USG-zone-dmz] quit
2. 配置NAT,完成需求1。
# 创建基本ACL 2000,配置源地址为192.168.0.0/24的规则。
[USG] acl 2000
[USG-acl-basic-2000] rule permit source 192.168.0.0 0.0.0.255
[USG-acl-basic-2000] quit
# 配置NAT地址池。
[USG] nat address-group 1 200.1.8.3 200.1.8.13
# 配置Trust区域和Untrust区域的域间包过滤规则。
[USG] firewall interzone trust untrust
[USG-interzone-trust-untrust] packet-filter 2000 outbound
# 配置Trust区域和Untrust区域的NAT,将地址池和ACL关联,不使用no-pat参数。
[USG-interzone-trust-untrust] nat outbound 2000 address-group 1
[USG-interzone-trust-untrust] quit
# 配置内部服务器。
[USG] nat server protocol tcp global 200.1.8.14 www inside 192.168.1.200 8080
[USG] nat server protocol tcp global 200.1.8.14 ftp inside 192.168.1.201 20
3. 配置内部服务器,完成需求2。
# 创建高级ACL 3000,配置目的地址为192.168.1.200和殷保华近况192.168.1.201的规则。
[USG] acl 3000
[USG-acl-adv-3000] rule permit tcp destination 192.168.1.200 0 destination-port eq 8080
[USG-acl-adv-3000] rule permit tcp destination 192.168.1.201 0 destination-port eq 20
[USG-acl-adv-3000] quit
# 配置DMZ区域和Untrust区域的域间包过滤规则。
[USG] firewall interzone dmz untrust
[USG-interzone-dmz-untrust] packet-filter 3000 inbound
# 配置DMZ区域和Untrust区域的域间开启FTP和HTTP协议的ASPF功能。
[USG-interzone-dmz-untrust] detect ftp //基于状态的报文检测
[USG-interzone-dmz-untrust] detect http
[USG-interzone-dmz-untrust] quit
4. 完成需求,验收
1内网192.168.1.0可以访问外网和DMZ区域;
2外网不能访问内网;
3外网200.1.8.1允许访问dmz扶余县教育局区域的web和ftp服务。