拓扑图
配置过程
PC分配IP
PC1:192.168.1.1/24
PC2:192.168.1.2/24
防火墙分配IP
防火墙需要登陆,默认账号:admin,密码:Admin@123
g1/0/2:192.168.1.254/24,允许ping
g1/0/0:192.168.2.254/24
g1/0/1:100.1.1.1/24
服务器配置IP
ip:192.168.2.100
网关:192.168.2.254
Internet分配IP
g0/0/0:100.1.1.2 /24
防火墙安全域划分
把相应的接口划入相应的区域
trust:g1/0/2
untrust:g1/0/1
dmz:g1/0/0
创建安全策略
安全策略名:trust_to_untrust
源区域:trust
目的区域:untrust
源地址(可设可不设)1.0网段:192.168.1.0 24
目的地址(可设可不设)所有:any
动作:允许
配置NAT
策略建好了但是访问不到互联网,没有做nat
地址池名称:addressgroup1
模式:pat
公网地址:100.1.1.10-100.1.1.20
NAT策略
策略名称:nat1
源区域:trust
目的区域:untrust
源地址:192.168.1.0 /24
目的地址:any
动作:基于源地址nat,使用addressgroup1地址池
这时候用PC去ping互联网,已经通了
可以查看一下session表,ping停止后过段时间会消失,先ping一下再查看session表
到这里拓扑图里面的4点要求都已经实现
访问服务器配置
拓扑图里面还有个dmz区域没做任何配置,此时内部PC是访问不了服务器的
实现PC访问服务器,和trust访问untrust一样,放行trust到dmz区域的流量即可,配置如下
安全策略
创建个trust到dmz的策略
这个时候去ping 服务器可以通了
NAT Server配置
再来实现一下nat server 端口映射,把内网web服务器映射到公网地址,允许公网访问服务器
nat server 映射,www换成80 也是一样的
映射后公网还是访问不了服务器,没有放行untrust到dmz的流量,所以再建条安全策略
放行后去Internet上使用Telnet模拟访问服务器
通过服务器的日志信息可以看到访问成功了
也可以到防火墙上查看session表,可以看到公网地址100.1.1.2访问服务器映射的公网地址100.1.1.100,实际内网地址192.168.2.100的80端口
评论区
Preview: