这篇文章主要为大家介绍了如何进行神州数码防火墙配置,需要的朋友可以参考下。

SNAT配置

– 网络拓扑 –

– 需求描述 –

配置防火墙使内网 192.168.1.0/24 网段可以访问 internet。

– 配置步骤 –

第一步：配置接口

首先通过防火墙默认 eth0 接口地址 192.168.1.1 登录到防火墙界面进行接口的配置，通过 Webui 登录防火墙界面如下：

输入缺省用户名 admin，密码 admin 后点击登录，配置外网接口地址。

内口网地址使用缺省 192.168.1.1。

第二步：添加路由

添加到外网的缺省路由，在目的路由中新建路由条目并添加下一条地址。

第三步：添加 SNAT 策略

在网络/NAT/源 NAT 中添加源 NAT 策略。

第四步：添加安全策略

在安全/策略中，选择好源安全域和目的安全域后，新建策略。

DNAT配置

– 网络拓扑 –

– 需求描述 –

1、 使用外网口 IP 为内网 FTP Server 及 WEB ServerA 做端口映射，并允许外网用户访问该Server 的 FTP 和 WEB 服务，其中 Web 服务对外映射的端口为 TCP8000。

2、 允许内网用户通过域名访问 WEB ServerA(即通过合法 IP 访问）。

3、 使用合法 IP218.240.143.220 为 Web ServerB 做 IP 映射，允许内外网用户对该 Server 的Web 访问。

– 配置步骤 –

要求一：外网口 IP 为内网 FTP Server 及 WEB ServerA 做端口映射并允许外网用户访问该Server 的 FTP 和 WEB 服务，其中 Web 服务对外映射的端口为 TCP8000。

第一步：配置准备工作

1、设置对象用户/地址簿，在地址簿中设置服务器地址。

2、 设置服务簿，防火墙出厂自带一些预定义服务，如果我们需要的服务在预定义中不包含 时，需要在对象用户/服务簿中手工定义。

第二步：创建目的 NAT

配置目的 NAT,为 trust 区域 server 映射 FTP(TCP21)和 HTTP(TCP80)端口。

第三步：放行安全策略

创建安全策略，允许 untrust 区域用户访问 trust 区域 server 的 FTP 和 web 应用 关于服务项中我们这里放行的是 ftp 服务和 tcp-8000 服务。

要求二：允许内网用户通过域名访问 WEB ServerA(即通过合法 IP 访问）。

实现这一步所需要做的就是在之前的配置基础上，增加 Trust -> Trust 的安全策略。

要求三：使用合法 IP218.240.143.220 为 Web ServerB 做 IP 映射，允许内外网用户对该

Server 的 Web 访问。

第四步：配置准备工作

1、 将服务器的实际地址使用 web_serverB 来表示。

2、将服务器的公网地址使用 IP_218.240.143.220 来表示。

第五步：配置目的 NAT

创建静态 NAT 条目，在新建处选择 IP 映射。

第六步：放行安全策略

1、 放行 untrust 区域到 dmz 区域的安全策略，使外网可以访问 dmz 区域服务器。

2、 放行 trust 区域到 dmz 区域的安全策略，使内网机器可以公网地址访问 dmz 区域内的服务器。