H3C SecPath F100-S-G防火墙简介: H3C SecPath F100-S-G是H3C公司推出的新一代防火墙产品,能够满足中小企业不断变化的网络环境和日益丰富网络应用的需要。SecPath F100-S-G继承H3C一贯的高性能、高可靠硬件平台,能够为用户提供线速、稳定的应用体验。SecPath F100-S-G不但可以提供传统的基础安全功能,如状态检测、NAT、VPN、链路负载均衡等;同时通过统一的软件平台和处理引擎,SecPath F100-S-G有效整合防火墙、入侵防御、应用层流量识别与控制、防病毒功能,为用户提供一体化的应用安全防护。 H3C SecPath F100-S-G不仅能够通过H3C SecCenter安全管理中心进行设备管理和维护,同时还支持SNMP和TR-069网管方式,最大化减少设备运营成本和维护复杂性。
组网需求: 公网连接在防火墙0/4口,防火墙0/0口连接交换机,交换机连接两台服务器及内网终端,其中内网的web服务器的ip地址为192.168.0.2,要求外网能访问内网的web服务器,内部网址为192.168.0.0/24,希望通过配置NAT使得仅内部网络中的用户可以访问Internet。
公网IP:218.93.195.190 子网掩码:255.255.255.252 网关:218.93.195.189
内网IP:192.168.0.0/24 内网web服务器:192.168.0.2
配置防火墙:
一、配置服务管理
设备管理——服务管理——HTTP——启用——端口号(建议设置为:8080)
二、配置接口IP地址
设备管理——接口管理
三、配置0/0和0/4端口加入management安全域
设备管理——安全域——management
勾选0/0和0/4端口
注:缺省情况下,ROOT虚拟防火墙有以下几个安全域:Management、Local、Trust(内网) 、DMZ、Untrust(外网)
四、配置静态(缺省)路由
网络管理——路由管理——静态路由——新建
如果目的IP地址和掩码都是0.0.0.0,则该路由为缺省路由,在没有找到匹配的路由表项时,将使用缺省路由进行报文转发。
目的IP地址:0.0.0.0
掩码:0.0.0.0
协议:static
优先级:60
下一跳:218.93.195.189(外网网关)
五、配置ACL规则
防火墙——ACL——新建
我们需要创建一个访问控制列表,在此我们使用的ID是3100。
访问控制列表ID:3100
类型:高级
访问控制列表的范围不同,所能实现的功能也不相同。2000-2999 被称为基本访问控制列表。3000-3999称为高级访问控制列表。而4000-4999则被称为二层访问控制列表。接下来需要设置ACL3100所对应的规则,如下图所示:
操作:permit(允许)
源IP地址:192.168.0.0
源地址通配符:0.0.0.255
时间段:无限制
六、配置动态地址转换
启用动态地址转换功能,则对匹配的报文直接使用接口的IP地址作为转换后的地址。
防火墙——NAT——动态地址转换
接口:0/4
ACL:3100
地址转换方式:Easy IP
Easy IP方式NAT功能简述 地址转换时,利用访问控制列表控制哪些内部地址可以进行地址转换。并直接使用接口的公有IP地址作为转换后的源地址。
PAT方式NAT功能简述 防火墙使用地址池IP地址对数据报文进行地址转换,源端口改变。
七、配置内部服务器
防火墙提供的内部服务器功能,就是通过静态配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系,实现公网IP地址到私网IP地址的“反向”转换。
防火墙——NAT——内部服务器
接口:0/4
外部IP:218.93.195.190
端口:80
内部IP:192.168.0.2(内网web服务器IP)
端口:80
|