DPtech FW1000应用防火墙
内部公开
? 说明:将鼠标放臵IP对象或服务组上,可查看详细配臵。
? 注意:策略先后顺序决定匹配顺序,可通过操作中的?向上复制?、?向下复
制?及?删除?进行控制。 功能验证:
Untrust域PC可访问Trust域PC的HTTP及远程桌面服务。
第 11 页
DPtech FW1000应用防火墙
内部公开
4. 三层转发模式
4.1 概览
通过此实验,您将学习到: 配臵三层网络防火墙 配臵应用层防火墙
4.2 网络拓扑
Trusteth0_010.99.0.1/2410.99.0.4/24GW:10.99.0.1Untrusteth0_120.0.0.20/24Internet20.0.0.1/24Untrusteth0_120.0.0.30/24Trusteth0_010.88.0.1/2420.0.0.5/24GW:20.0.0.110.88.0.4/24GW:10.88.0.1
描述:
此模式下,设备以三层模式接入网络,Trust域PC可通过源NAT访问互联网,Untrust域PC可通过目的NAT访问Trust域PC的HTTP服务。
4.3 配置1:三层防火墙
1)配臵接口参数
访问基本 > 网络管理 > 接口管理 > 组网配臵,配臵接口参数。
第 12 页
DPtech FW1000应用防火墙
内部公开
2)配臵地址对象
访问基本 > 网络管理 > 网络对象 > IP地址(地址对象),添加IP地址,用于包过滤及其他策略引用。
? 说明:多个IP地址对象,可添加到一个IP地址对象组中。 ? 注意:IP地址子网掩码的划分。
3)添加静态路由
访问基本 > 网络管理 > 单播IPv4路由 > 静态路由(配臵静态路由),添加静态路由,用于三层转发。
第 13 页
DPtech FW1000应用防火墙
内部公开
4)配臵安全域
访问基本 > 网络管理 > 网络对象 > 安全域,将接口添加到安全域。
? 说明:高优先级可访问优先级低,反之不可访问;不同域下的相同优先级,
互相不可访问;相同域下的相同优先级,互相可以访问。
5)配臵源NAT
访问基本 > 防火墙 > NAT(源NAT),配臵内网网段借用出接口公网地址做NAT转换。
? 说明:设备提供灵活的NAT复用方式,可以选择借用出接口、NAT地址池、
和特定的流不做NAT功能,部署起来非常灵活,可以满足各种各样的需要。
6)配臵目的NAT
访问基本 > 防火墙 > NAT(目的NAT),借用入接口公网地址映射内网服务器HTTP服务。
? 说明:当外网映射的端口与内网服务器使用的端口一致,高级配臵选择?缺
省配臵?即可;若不同,则需指定服务器内网端口。
第 14 页
DPtech FW1000应用防火墙
内部公开
7)配臵包过滤策略
访问基本 > 防火墙 > 包过滤策略(包过滤策略),添加Untrust 到 trust包过滤策略,点击?确认?进行策略下发。
? 说明:将鼠标放臵IP对象或服务组上,可查看详细配臵。
? 注意:策略先后顺序决定匹配顺序,可通过操作中的?向上复制?、?向下复
制?及?删除?进行控制。
8)配臵NAT日志输出
访问基本 > 防火墙 > 会话管理(会话参数),开启NAT日志开关。
访问基本 > 防火墙 > 会话管理(会话日志配臵),NAT日志输出到日志服务器。
? 说明1:日志源IP是设备IP地址,必须保证设备与日志服务器网络互通。 ? 说明2:日志源端口配臵1024端口以上,0—1024是预留端口。 ? 注意:日志服务器端口是9505,必须勾选?输入日志使能?。 功能验证:
第 15 页