1 内网用户通过公网地址访问内部服务器配置案例
1.1 适用的产品和版本
表1-1 配置示例使用的产品和版本
设备类型 |
设备型号 |
版本 |
防火墙 |
RG-WALL 1600-Z系列新一代防火墙 |
适用于NGFW_NTOS 1.0R1P2或更高版本 |
1.2 业务需求
某公司在网络边界处部署了防火墙作为安全网关,内网部署了一台Web服务器对外提供服务。现在需要将内网的Web服务器(192.168.2.2)映射到外网口的地址(200.10.10.10),让内外网的用户能访问到此服务器:
l 内网服务器区存在Web服务器(区域:DMZ,IP地址:192.168.2.2,服务:HTTPS)。
l 外网用户通过访问防火墙外网接口地址(区域:untrust,IP地址:200.10.10.10,端口50000)访问Web服务器。
l 内网用户(区域:trust)也能通过访问防火墙外网接口地址(区域:untrust,IP地址:200.10.10.10,端口50000)访问Web服务器,并且访问服务器时的源地址是防火墙的外网接口地址。
1.3 前置条件
在前期网络规划时,路由等相关配置已经完成。
1.4 配置步骤
1.4.1 配置基础上网
(1) 点击[网络配置]>>[接口]>>[物理接口]菜单项。
点击对应接口的编辑按钮,配置IP地址并加入相应的安全域,配置步骤略。
1.4.2 配置自定义服务
(1) 点击[对象配置]>>[服务]>>[自定义服务]菜单项。
(2) 点击<新增>,创建一个自定义服务“服务器映射”(协议TCP,源端口0~65535,目的端口50000)。
(3) 点击<保存>。
1.4.3 配置安全策略
(1) 点击[策略配置]>>[安全策略]>>[安全策略]菜单项,策略配置如下:
1.4.4 为外网用户配置目的NAT转换策略
(1) 点击[策略配置]>>[NAT策略]>>[NAT转换]菜单项。
(2) 点击<新增>。
(3) 在[新增NAT转换]界面,设置目的NAT策略相关配置项。
配置项 |
说明 |
基本信息 |
|
名称 |
策略1 |
启用状态 |
启用 |
原始数据包 |
|
源区域 |
untrust |
源地址 |
any |
目的地址 |
防火墙外网口IP地址(Ge0/3:200.10.10.10) |
服务 |
选择步骤(2)创建的自定义服务“服务器映射” |
转换后数据包 |
|
IP地址 |
DMZ区域Web服务器的IP地址(192.168.2.2/24) |
目的端口转换为 |
443(Web服务器端口) |
(4) 点击<保存>。
1.4.5 为内网用户配置双向NAT转换策略
(1) 点击[策略配置]>>[NAT策略]>>[NAT转换]。
(2) 点击<新增>。
(3) 在[新增NAT转换]界面,设置双向NAT策略相关配置项。
配置项 |
说明 |
基本信息 |
|
名称 |
策略2 |
启用状态 |
启用 |
原始数据包 |
|
源区域 |
trust |
源地址 |
any |
目的地址 |
防火墙外网口IP地址(Ge0/3:200.10.10.10) |
服务 |
选择步骤(2)创建的自定义服务“服务器映射” |
转换后数据包 |
|
源地址转换为 |
指定IP:源地址转换配置指定IP为防火墙外网地址200.10.10.10。 如果防火墙有多个外网地址,可以选择将外网地址配置成地址组对象,然后应用该地址组对象。 说明:配置成出接口地址则会导致源IP被转换成192.168.2.1,不满足需求。 |
指定IP |
防火墙外网口IP地址(Ge0/3:200.10.10.10) |
目的地址转换为 |
DMZ区域Web服务器的IP地址(192.168.2.2) |
目的端口转换为 |
443(Web服务器端口) |
(4) 点击<保存>。
1.5 验证配置结果
l 通过内网访问http://200.10.10.10:50000。
l 通过外网访问http://200.10.10.10:50000。
如果通过内网外均能访问,说明NAT策略配置成功。