防火墙 NAT 实验
实验拓扑
注:此实验务必按照拓扑所示接口连接线缆,且运行前置环境中的 Win7-1、Windows Server 2008、Windows Server 2003 三台虚拟机。防火墙内存务必配置为 2G 以上。实验步骤中防火墙的配置可在 “Web 控制台配置方法” 和 “命令行配置方法” 中任选一种。
实验需求
- 按照图示配置网络,使内网路由互通。
- 在防火墙上配置策略 NAT,使 Win7-1 的 PC 可以访问互联网。
- 在防火墙上配置策略 NAT 发布 Win2008 的 Web 服务,使互联网上的用户可以访问其网站。
- 配置对应的安全策略放通流量。
其他设备基础配置
配置交换机。
步骤 1:在 SW 上创建 VLAN10、VLAN20 和 VLAN30,将连接 Win7-1 虚拟机接口加入 VLAN10,连接 Win2008 虚拟机的接口加入 VLAN20,连接防火墙的接口加入 VLAN30
[SW]vlan 10 [SW-vlan10]port g1/0/2 [SW-vlan10]vlan 20 [SW-vlan20]port g1/0/3 [SW-vlan20]vlan 30 [SW-vlan30]port g1/0/1步骤 2:在 SW 上为 VLAN10、VLAN20、VLAN30 创建三层接口并配置 IP 地址。
[SW]interface vlan 10 [SW-Vlan-interface10]ip address 192.168.101.254 24 [SW]interface vlan 20 [SW-Vlan-interface20]ip address 192.168.102.254 24 [SW]interface vlan 30 [SW-Vlan-interface30]ip address 10.1.1.2 30步骤 3:在 SW 上配置缺省路由,下一跳指向防火墙。
[SW]ip route-static 0.0.0.0 0 10.1.1.1*在 Windows Server 2008 上部署 Web 服务,配置方法自行查阅。
防火墙 Web 控制台配置方法
配置防火墙接口,将 G1/0/1 加入 Trust 区域,将 G1/0/2 加入 Untrust 区域,并按照图示配置 IP 地址。步骤略
在防火墙上配置去往 VLAN10 和 VLAN20 的静态路由,下一跳指向 10.1.1.2,配置缺省路由,下一跳指向 100.1.1.1。步骤略
在防火墙上配置策略 NAT,使 Win7-1 的 PC 可以访问互联网。
步骤 1:创建 VLAN10 的 IPv4 地址对象组。
图 1-2 步骤 2:点击
策略-策略 NAT。
图 1-3 步骤 3:点击新建源地址转换,源安全域选择 Trust,目的安全域选择 Untrust,源地址选择 VLAN10 的地址对象组,目的地址不设置。地址转换选择为接口 IP 地址,并钩选自动生成安全策略。
图 1-4 在防火墙上配置策略 NAT 发布 Win2008 的 Web 服务,使互联网上的用户可以访问其网站。
步骤 1:创建 Win2008 和防火墙公网地址的 IPv4 地址对象组。
图 1-5 
图 1-6 步骤 2:在策略 NAT 界面新建目的地址转换。
图 1-7 步骤 3:源区域选择 Untrust。源地址不设置,目的地址选择防火墙公网地址对象组。服务选择 http,转换地址选择 Win2008 的地址对象组,端口为 80。钩选自动生成安全策略。
图 1-8 效果测试。Win7-1 虚拟机可以上网。任意将一台虚拟机的网卡模式桥接到 VMnet15,IP 地址配置为 200.2.2.2,网关设置为 200.2.2.1(模拟公网上的 PC)。该虚拟机上可以通过防火墙的公网地址访问 Win2008 上的网站。
图 1-9 
图 1-10 
图 1-11 
图 1-12
防火墙命令行配置方法
配置防火墙接口,将 G1/0/1 加入 Trust 区域,将 G1/0/2 加入 Untrust 区域,并按照图示配置 IP 地址。步骤略
在防火墙上配置去往 VLAN10 和 VLAN20 的静态路由,下一跳指向 10.1.1.2,配置缺省路由,下一跳指向 100.1.1.1。步骤略
在防火墙上配置策略 NAT,使 Win7-1 的 PC 可以访问互联网。
步骤 1:创建 VLAN10 的 IPv4 地址对象组。
[FW]object-group ip address VLAN10 [FW-obj-grp-ip-VLAN10]network subnet 192.168.101.0 24步骤 2:创建源地址转换策略 NAT,源安全域为 Trust,目的安全域为 Untrust,源地址为 VLAN10 的地址对象组。动作为 snat easy-ip。
[FW]nat global-policy [FW-nat-global-policy]rule name VLAN10_Internet [FW-nat-global-policy-rule-nat44-VLAN10_Internet]source-zone trust [FW-nat-global-policy-rule-nat44-VLAN10_Internet]destination-zone untrust [FW-nat-global-policy-rule-nat44-VLAN10_Internet]source-ip VLAN10 [FW-nat-global-policy-rule-nat44-VLAN10_Internet]action snat easy-ip在防火墙上配置策略 NAT 发布 Win2008 的 Web 服务,使互联网上的用户可以访问其网站。
步骤 1:创建 Win2008 和防火墙公网地址的 IPv4 地址对象组。
[FW]object-group ip address Win2008 [FW-obj-grp-ip-Win2008]network host address 192.168.102.1 [FW]object-group ip address FW_Outside [FW-obj-grp-ip-FW_Outside]network host address 100.1.1.2步骤 2:创建目的地址转换策略 NAT,源安全域为 Untrust,目的地址为防火墙公网口的地址对象组,服务为 http,动作为 dnat,转换为 Win2008 地址对象组的 80 端口。
[FW]nat global-policy [FW-nat-global-policy]rule name Win2008_HTTP_Pub [FW-nat-global-policy-rule-nat44-Win2008_HTTP_Pub]source-zone Untrust [FW-nat-global-policy-rule-nat44-Win2008_HTTP_Pub]destination-ip FW_Outside [FW-nat-global-policy-rule-nat44-Win2008_HTTP_Pub]service http [FW-nat-global-policy-rule-nat44-Win2008_HTTP_Pub]action dnat object-group Win2008 local-port 80创建安全策略,放通对应流量。
步骤 1:创建安全策略规则,源区域 Trust,目的区域 Untrust,源 IP 为 VLAN10 地址对象组,动作为 Pass。
[FW]security-policy ip [FW-security-policy-ip]rule name VLAN10_Internet_SecPolicy [FW-security-policy-ip-0-VLAN10_Internet_SecPolicy]source-ip VLAN10 [FW-security-policy-ip-0-VLAN10_Internet_SecPolicy]source-zone Trust [FW-security-policy-ip-0-VLAN10_Internet_SecPolicy]destination-zone Untrust [FW-security-policy-ip-0-VLAN10_Internet_SecPolicy]action pass步骤 2:创建安全策略规则,源区域 Untrust,目的 IP 为 Win2008 地址对象组,动作为 Pass。
[FW]security-policy ip [FW-security-policy-ip]rule name Win2008_HTTP_Pub_SecPolicy [FW-security-policy-ip-0-Win2008_HTTP_Pub_SecPolicy]source-zone Untrust [FW-security-policy-ip-0-Win2008_HTTP_Pub_SecPolicy]destination-ip Win2008 [FW-security-policy-ip-0-Win2008_HTTP_Pub_SecPolicy]action pass效果测试。Win7-1 虚拟机可以上网。任意将一台虚拟机的网卡模式桥接到 VMnet15,IP 地址配置为 200.2.2.2,网关设置为 200.2.2.1(模拟公网上的 PC)。该虚拟机上可以通过防火墙的公网地址访问 Win2008 上的网站。