资源描述
网络地址翻译方法总结和实验
目录
一、 前言 1
二、 Netscreen防火墙各种地址翻译方法的特点总结 1
三、 地址翻译方法实验 5
1. Netscreen防火墙的地址翻译实验环境 5
2. Netscreen防火墙的策略地址翻译实验 6
3.1 由外向内的地址翻译 6
3.2 由内向外的地址翻译 15
3. Netscreen防火墙的接口地址翻译实验 20
4.1 MIP地址翻译 20
4.2 VIP地址翻译 23
4. 将MIP和VIP用策略地址翻译替代实验 26
5.1 MIP地址翻译的替代 26
5.2 VIP地址翻译的替代 30
正文
一、 前言
企业网络需要和上下级单位及各种合作伙伴进行互联,其中需要涉及到在边界网关防火墙处进行地址翻译和路由,由于许多企业内部应用程序对地址和端口进行了绑定,外部合作伙伴对网络地址和端口的要求也是多种多样,并且网络不断改造调整,造成了地址翻译和路由要求异常复杂多变。
希望通过本文对Netscreen防火墙的各种地址翻译功能进行归纳总结,帮助企业网管人员理解如何将Netscreen的各种地址翻译功能和企业网络的具体实践有效结合,提出适合企业网络管理的地址翻译解决方案。
二、 Netscreen防火墙各种地址翻译方法的特点总结
Netscreen防火墙的地址翻译主要包括五类:
l NAT-src
l NAT-dst
l Mapped IP (MIP)
l Virtual IP (VIP)
l Untrust口的源地址翻译
这五类地址翻译可以从两个角度分类:
一、 是源地址翻译还是目的地址翻译?
l NAT-src和Untrust口的源地址翻译是源地址翻译。
l NAT-dst和VIP是目的地址翻译。
l MIP是双向地址翻译。
二、 是基于策略的地址翻译还是基于接口的地址翻译?
l NAT-src和NAT-dst是基于策略的地址翻译。
l Untrust口的源地址翻译、MIP和VIP是基于接口的地址翻译。
也就是说,NAT-src和NAT-dst是在制订的防火墙Policy的基础之上,即规定了源地址、目的地址、源端口、目的端口等之后,对符合这条策略的信息流进行NAT-src和NAT-dst方式的地址和端口翻译。而另外三种地址翻译都是和接口进行了绑定,而和Policy策略无关。
因此,这几种地址翻译方法总结来说具有以下应用特点:
l NAT-src和NAT-dst可以完全覆盖另外三种地址翻译方法,也就是说另外三种地址翻译方法可以完全翻译成具有相同效果的NAT-src和NAT-dst,反之则不行。
l NAT-src和NAT-dst由于是基于Policy进行地址翻译,具有更好的信息流控制粒度。
l NAT-src和NAT-dst可以在任意两个安全域(zone)之间进行设置。
l NAT-src和NAT-dst可以在一条Policy中同时设置执行,对源和目的地址同时翻译,但是仅仅是单向的地址翻译。
l 单向翻译可以提供更好的控制与安全性能。
l Untrust口的源地址翻译只能在Untrust口实现。尽管可以将绑定到任意第 3 层区段的接口的操作模式定义为 NAT,但是,安全设备只对通过该接口传递到 Untrust 区段的信息流执行 NAT。对于通往 Untrust 区段之外的其它任意区段的信息流,ScreenOS 不执行 NAT。还要注意,ScreenOS 允许您将 Untrust 区段接口设置为 NAT 模式,但是这样做并不会激活任何 NAT 操作。
l VIP只能在Untrust口实现。
l MIP和VIP一般需要与所配置的接口处于同一网段,但是为 Untrust 区段中接口定义的 MIP 例外。该 MIP 可以在不同于 Untrust 区段接口IP 地址的子网中。但是,如果真是这样,就必须在外部路由器上添加一条路由,指向 Untrust 区段接口,以便内向信息流能到达 MIP。此外,必须在与 MIP 相关的防火墙上定义一个静态路由。
另外这几种策略发生冲突重叠时具有以下规律:
l 入口接口处于“路由”或 NAT 模式时,可以使用基于策略的 NAT-src。如果配置策略以应用 NAT-src,且入口接口处于 NAT 模式下,则基于策略的 NAT-src 设置会覆盖基于接口的 NAT。
l 不支持同时将基于策略的 NAT-dst 与 MIP、VIP 配合使用。如果您配置了 MIP 或 VIP,安全设备会在应用了基于策略的 NAT-dst 的任何信息流上应用MIP 或 VIP。换言之,如果安全设备偶然将 MIP 和 VIP 应用于同一信息流,则MIP 和 VIP 将禁用基于策略的 NAT-dst。
l 应该避免将接口IP地址、MIP、VIP、DIP设置重复,否则会不可设置或引起冲突。
通过实际调查,可以发现很多网管人员习惯于使用MIP、VIP和Untrust口的源地址翻译来进行地址翻译,这主要是因为:
l 这三种地址翻译方法是目前大多数防火墙普遍采用的地址翻译方法,网管人员不需要学习就已经掌握。
l 一对一的静态地址映射便于理解,也是目前大多数防火墙普遍采用的地址翻译方法。
l 如果从其它防火墙迁移到Netscreen防火墙,这种配置迁移便于一对一的翻译。
但是,以MIP为主的地址翻译也存在着一些问题:
l MIP和VIP属于Global区段,这一点容易让一些网管人员在理解上产生偏差,而不能正确配置。
l 从不同区段到达MIP需要配置两条策略,也容易产生配置错误。
l 对于策略配置中何时使用MIP,何时使用服务器的真实IP,经常容易搞错。
l 当涉及到多个安全区段都存在MIP时,并且这些MIP地址有可能引起各种地址段重合的现象时,配置更加复杂和难于理解,甚至无法实现。
l 这些传统的地址翻译方法粒度太粗,可控性不强,不能实现最大程度的安全性和灵活性。
l 一对一的地址映射在实践中无法满足企业用户复杂的网络需求,如实现一对多、多对一的翻译,实现源地址和目的地址的同时翻译,等等。
因此,考虑到企业业务的实践,建议尽可能采用NAT-src和NAT-dst来实现业务需要,理由如下:
l NAT-src和NAT-dst可以完全覆盖另外三种地址翻译方法。
l NAT-src和NAT-dst由于是基于Policy进行地址翻译,具有更好的信息流控制粒度。
l NAT-src和NAT-dst可以在任意两个安全域(zone)之间进行设置。另外三种地址翻译方法都有一些安全域限制,无法实现任意方向的地址翻译。
l NAT-src和NAT-dst可以在一条Policy中同时设置执行,对源和目的地址同时翻译。
l 单向翻译可以提供更好的控制与安全性能。如果需要双向翻译可以在反方向单独再定义一条策略。
l 基于策略的NAT-src和NAT-dst容易理解和配置。
l 可以更好地将地址翻译和策略管理结合起来,更加方便企业的日常策略维护工作。
当然,另外三种翻译方法在实现从其它防火墙向Netscreen防火墙的策略迁移,适应不同管理员的配置习惯,适应特定的网络环境等方面具有自己的优点。
以下将结合企业网络的常见需求来看看如何通过NAT-src和NAT-dst来实现地址翻译,并且如何取代其它三种地址翻译方法。
三、 地址翻译方法实验
1. Netscreen防火墙的地址翻译实验环境
为了帮助理解地址翻译的实践,以下各节配置均采用下图所示的实验环境:
2. Netscreen防火墙的策略地址翻译实验
3.1 由外向内的地址翻译
分以下几种情况(注意:其中需要在防火墙和路由器上添加路由的部分都省略,请自行添加路由):
一、合作伙伴服务器(2.2.2.2)需要访问企业服务器(192.168.1.2),访问的映射地址是(3.3.3.2),同时源地址(2.2.2.2)在Trust区域可以路由,不需要做源地址转换。
配置如下:
WebUI
1. 接口
Network > Interfaces > Edit ( 对于 ethernet1): 输入以下内容,然后单击Apply:
Zone Name: Trust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 10.1.1.1/24
选择以下内容,然后单击 OK:
Network > Interfaces > Edit ( 对于 ethernet3): 输入以下内容,然后单击 OK:
Zone Name: Untrust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 1.1.1.1/24
2. 策略
Policies > (From: Untrust, To:Trust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), 2.2.2.2/32(假设我们先前定义了此地址对象)
Destination Address:
Address Book Entry: ( 选择), 3.3.3.2/32(假设我们先前定义了此地址对象)
Service: HTTP
Action: Permit
> Advanced: 输入以下内容,然后单击 Return,设置高级选项并返回基本配置页:
NAT:
Destination Translation: ( 选择)
Translate to IP: ( 选择), 192.168.1.2
CLI
1. Interface
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet1 route
2. Address List
set address Trust "3.3.3.2/32" 3.3.3.2 255.255.255.255
set address Untrust "2.2.2.2/32" 2.2.2.2 255.255.255.255
3. Policy
set policy id 1 from "Untrust" to "Trust" "2.2.2.2/32" "3.3.3.2/32" "HTTP" nat dst ip 192.168.1.2 permit
save
二、合作伙伴服务器(2.2.2.2)需要访问企业服务器(192.168.1.2),访问的映射地址是(3.3.3.2),同时源地址(2.2.2.2)在Trust区域不可路由,需要做源地址转换,将其转换为内部可以路由的地址(100.2.2.2)。
配置如下:
WebUI
1. 接口
Network > Interfaces > Edit ( 对于 ethernet1): 输入以下内容,然后单击Apply:
Zone Name: Trust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 10.1.1.1/24
选择以下内容,然后单击 OK:
Network > Interfaces > Edit ( 对于 ethernet3): 输入以下内容,然后单击 OK:
Zone Name: Untrust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 1.1.1.1/24
2. DIP
Network > Interfaces > Edit ( 对于 ethernet1) > DIP > New: 输入以下内容,然后单击 OK:
ID: 6
IP Address Range: ( 选择), 10.2.2.2 ~ 10.2.2.2
Port Translation: ( 清除)(假设合作伙伴服务器访问企业服务器需要特定源端口,基于此原因,必须禁用 DIP 池 6 的 PAT)
In the same subnet as the extended IP: ( 选择),10.2.2.1/24
3. 策略
Policies > (From: Untrust, To:Trust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), 2.2.2.2/32(假设我们先前定义了此地址对象)
Destination Address:
Address Book Entry: ( 选择), 3.3.3.2/32(假设我们先前定义了此地址对象)
Service: HTTP
Action: Permit
> Advanced: 输入以下内容,然后单击 Return,设置高级选项并返回基本配置页:
NAT:
Source Translation: ( 选择)
DIP on: ( 选择), 6 (10.2.2.2 – 10.2.2.2)/fix-port
Destination Translation: ( 选择)
Translate to IP: ( 选择), 192.168.1.2
CLI
1. Interface
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet1 route
2.DIP
set interface ethernet1 ext ip 10.2.2.1 255.255.255.0 dip 6 10.2.2.2 10.2.2.2 fix-port
3. Address List
set address Trust "3.3.3.2/32" 3.3.3.2 255.255.255.255
set address Untrust "2.2.2.2/32" 2.2.2.2 255.255.255.255
4. Policy
set policy id 1 from "Untrust" to "Trust" "2.2.2.2/32" "3.3.3.2/32" "HTTP" nat src dip-id 6 dst ip 192.168.1.2 permit
save
三、合作伙伴服务器(2.2.2.2)和(4.4.4.2)需要访问企业服务器(192.168.1.2),访问的映射地址分别是(3.3.3.2)和(5.5.5.2),同时源地址(2.2.2.2)和(4.4.4.2)在Trust区域不可路由,将两个源地址都翻译成防火墙E1口地址。
配置如下:
WebUI
1. 接口
Network > Interfaces > Edit ( 对于 ethernet1): 输入以下内容,然后单击Apply:
Zone Name: Trust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 10.1.1.1/24
选择以下内容,然后单击 OK:
Network > Interfaces > Edit ( 对于 ethernet3): 输入以下内容,然后单击 OK:
Zone Name: Untrust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 1.1.1.1/24
2. 策略
Policies > (From: Untrust, To:Trust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), 2.2.2.2/32(假设我们先前定义了此地址对象)
Destination Address:
Address Book Entry: ( 选择), 3.3.3.2/32(假设我们先前定义了此地址对象)
Service: HTTP
Action: Permit
> Advanced: 输入以下内容,然后单击 Return,设置高级选项并返回基本配置页:
NAT:
Source Translation: ( 选择)
DIP on: ( 选择), None (Use Egress Interface IP)
Destination Translation: ( 选择)
Translate to IP: ( 选择), 192.168.1.2
Policies > (From: Untrust, To:Trust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), 4.4.4.2/32(假设我们先前定义了此地址对象)
Destination Address:
Address Book Entry: ( 选择), 5.5.5.2/32(假设我们先前定义了此地址对象)
Service: HTTP
Action: Permit
> Advanced: 输入以下内容,然后单击 Return,设置高级选项并返回基本配置页:
NAT:
Source Translation: ( 选择)
DIP on: ( 选择), None (Use Egress Interface IP)
Destination Translation: ( 选择)
Translate to IP: ( 选择), 192.168.1.2
CLI
1. Interface
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet1 route
2. Address List
set address Trust "3.3.3.2/32" 3.3.3.2 255.255.255.255
set address Trust "5.5.5.2/32" 5.5.5.2 255.255.255.255
set address Untrust "2.2.2.2/32" 2.2.2.2 255.255.255.255
set address Untrust "4.4.4.2/32" 4.4.4.2 255.255.255.255
3. Policy
set policy id 1 from "Untrust" to "Trust" "2.2.2.2/32" "3.3.3.2/32" "HTTP" nat src dst ip 192.168.1.2 permit
set policy id 2 from "Untrust" to "Trust" "4.4.4.2/32" "5.5.5.2/32" "HTTP" nat src dst ip 192.168.1.2 permit
save
四、合作伙伴服务器(2.2.2.2)需要访问企业服务器(192.168.1.2),访问的映射地址是(3.3.3.2),端口是80,而企业服务器(192.168.1.2)的实际端口是8080,同时源地址(2.2.2.2)在Trust区域可以路由,不需要做源地址转换。
配置如下:
WebUI
1. 接口
Network > Interfaces > Edit ( 对于 ethernet1): 输入以下内容,然后单击Apply:
Zone Name: Trust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 10.1.1.1/24
选择以下内容,然后单击 OK:
Network > Interfaces > Edit ( 对于 ethernet3): 输入以下内容,然后单击 OK:
Zone Name: Untrust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 1.1.1.1/24
2. 策略
Policies > (From: Untrust, To:Trust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), 2.2.2.2/32(假设我们先前定义了此地址对象)
Destination Address:
Address Book Entry: ( 选择), 3.3.3.2/32(假设我们先前定义了此地址对象)
Service: HTTP
Action: Permit
> Advanced: 输入以下内容,然后单击 Return,设置高级选项并返回基本配置页:
NAT:
Destination Translation: ( 选择)
Translate to IP: ( 选择), 192.168.1.2
Map to Port:( 选择), 8080
CLI
1. Interface
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet1 route
2. Address List
set address Trust "3.3.3.2/32" 3.3.3.2 255.255.255.255
set address Untrust "2.2.2.2/32" 2.2.2.2 255.255.255.255
3. Policy
set policy id 1 from "Untrust" to "Trust" "2.2.2.2/32" "3.3.3.2/32" "HTTP" nat dst ip 192.168.1.2 port 8080 permit
save
四、设置步骤总结如下:
1. 定义端口地址。
2. 如果需要对外网的服务器做源地址转换的话,要在Trust口定义DIP。
3. 定义地址对象:可以将策略中用到的源和目的地址均定义为地址对象,这样可以为其取一个便于记忆的名称,方便管理,定义对象时要将该对象放到正确的安全域当中,有时还需要在防火墙和路由器上做路由。
4. 定义Policy:从Untrust到Trust,源是公网服务器地址,目的是“定义的地址对象”,选择服务端口。
5. 目的地址转换:将策略中的“目的地址对象”转换到真实服务器地址,选择是否做端口转换。(IP地址可以实现一对一、多对一、一对多、多对多的转换,端口也可以基于源地址和源端口的组合实现特定的转换)
6. 源地址转换(如果Trust区段没有外网IP地址的路由的话):选择DIP地址池。
3.2 由内向外的地址翻译
分以下几种情况(注意:其中需要在防火墙和路由器上添加路由的部分都省略,请自行添加路由):
一、企业服务器(192.168.1.2)需要访问合作伙伴服务器(2.2.2.2),访问的目标地址(2.2.2.2)在企业内网是可以路由,不需要做地址翻译,源地址(192.168.1.2)在外网是不可以路由的,需要做源地址转换,翻译成可以路由的DIP(100.2.2.2)
配置如下:
WebUI
1. 接口
Network > Interfaces > Edit ( 对于 ethernet1): 输入以下内容,然后单击Apply:
Zone Name: Trust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 10.1.1.1/24
选择以下内容,然后单击 OK:
Network > Interfaces > Edit ( 对于 ethernet3): 输入以下内容,然后单击 OK:
Zone Name: Untrust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 1.1.1.1/24
2. DIP
Network > Interfaces > Edit ( 对于 ethernet3) > DIP > New: 输入以下内容,然后单击 OK:
ID: 5
IP Address Range: ( 选择), 100.2.2.2 ~ 100.2.2.2
Port Translation: ( 清除)(假设企业服务器访问合作伙伴服务器需要特定源端口,基于此原因,必须禁用 DIP 池 5 的 PAT)
In the same subnet as the extended IP: ( 选择),100.2.2.1/24
3. 策略
Policies > (From: Trust, To:Untrust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), 192.168.1.2/32(假设我们先前定义了此地址对象)
Destination Address:
Address Book Entry: ( 选择), 2.2.2.2/32(假设我们先前定义了此地址对象)
Service: Telnet
Action: Permit
> Advanced: 输入以下内容,然后单击 Return,设置高级选项并返回基本配置页:
NAT:
Source Translation: ( 选择)
DIP on: ( 选择), 5 (100.2.2.2 – 100.2.2.2)/fix-port
CLI
1. Interface
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet1 route
2. DIP
set interface ethernet3 ext ip 100.2.2.1 255.255.255.0 dip 5 100.2.2.2 100.2.2.2 fix-port
3. Address List
set address Trust "192.168.1.2/32" 192.168.1.2 255.255.255.255
set address Untrust "2.2.2.2/32" 2.2.2.2 255.255.255.255
4. Policy
set policy id 3 from "Trust" to "Untrust" "192.168.1.2/32" "2.2.2.2/32" "TELNET" nat src dip-id 5 permit
save
二、企业服务器(192.168.1.2)需要访问合作伙伴服务器(2.2.2.2),访问的目标地址(2.2.2.2)在企业内网是不可路由的,需要做地址翻译,翻译成可以路由的内网地址 (192.168.2.2)。源地址(192.168.1.2)在外网是不可以路由的,需要做源地址转换,翻译成可以路由的DIP(100.2.2.2)。另外需要访问的服务是telnet,但是合作伙伴服务器的端口已经改为2323。
配置如下:
WebUI
1. 接口
Network > Interfaces > Edit ( 对于 ethernet1): 输入以下内容,然后单击Apply:
Zone Name: Trust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 10.1.1.1/24
选择以下内容,然后单击 OK:
Network > Interfaces > Edit ( 对于 ethernet3): 输入以下内容,然后单击 OK:
Zone Name: Untrust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 1.1.1.1/24
2. DIP
Network > Interfaces > Edit ( 对于 ethernet3) > DIP > New: 输入以下内容,然后单击 OK:
ID: 5
IP Address Range: ( 选择), 100.2.2.2 ~ 100.2.2.2
Port Translation: ( 清除)(假设企业服务器访问合作伙伴服务器需要特定源端口,基于此原因,必须禁用 DIP 池 5 的 PAT)
In the same subnet as the extended IP: ( 选择),100.2.2.1/24
3. 策略
Policies > (From: Trust, To:Untrust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), 192.168.1.2/32(假设我们先前定义了此地址对象)
Destination Address:
Address Book Entry: ( 选择), 192.168.2.2/32(假设我们先前定义了此地址对象)
Service: Telnet
Action: Permit
> Advanced: 输入以下内容,然后单击 Return,设置高级选项并返回基本配置页:
NAT:
Source Translation: ( 选择)
DIP on: ( 选择), 5 (100.2.2.2 – 100.2.2.2)/fix-port
Destination Translation: ( 选择)
Translate to IP: ( 选择), 2.2.2.2
Map to Port:( 选择), 2323
CLI
1. Interface
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24
set interface ethernet1 route
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface ethernet1 route
2. DIP
set interface ethernet3 ext ip 100.2.2.1 255.255.255.0 dip 5 100.2.2.2 100.2.2.2 fix-port
3. Address List
set address Trust "192.168.1.2/32" 192.168.1.2 255.255.255.255
set address Untrust "192.168.2.2/32" 192.168.2.2 255.255.255.255
4. Policy
set policy id 3 from "Trust" to "Untrust" "192.168.1.2/32" "192.168.2.2/32" "TELNET" nat src dip-id 5 dst ip 2.2.2.2 port 2323 permit
save
三、设置步骤总结如下:
1. 定义端口地址。
2. 如果需要对内网的服务器做源地址转换的话,要在Untrust口定义DIP。
3. 定义地址对象:可以将策略中用到的源和目的地址均定义为地址对象,这样可以为其取一个便于记忆的名称,方便管理,定义对象时要将该对象放到正确的安全域当中,有时还需要在防火墙和路由器上做路由。
4. 定义Policy:从Trust到Untrust,源是企业服务器地址,目的是合作伙伴服务器地址或者该服务器映射的内网地址,选择服务端口。
5. 源地址转换:选择DIP地址池。
6. 目的地址转换(如果需要的话):将策略中的“目的地址对象”转换到真实服务器地址,选择是否做端口转换。(IP地址可以实现一对一、多对一、一对多、多对多的转换,端口也可以基于源地址和源端口的组合实现特定的转换)。
3. Netscreen防火墙的接口地址翻译实验
4.1 MIP地址翻译
合作伙伴服务器(2.2.2.2)需要访问企业服务器(192.168.1.2)的HTTP服务,访问的映射地址是(100.2.2.2),同时企业服务器(192.168.1.2)也可以通过源地址(100.2.2.2)访问合作伙伴服务器(2.2.2.2)的Telnet服务。
配置如下:
WebUI
1. 接口
Network > Interfaces > Edit ( 对于 ethernet1): 输入以下内容,然后单击Apply:
Zone Name: Trust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 10.1.1.1/24
选择以下内容,然后单击 OK:
Network > Interfaces > Edit ( 对于 ethernet3): 输入以下内容,然后单击 OK:
Zone Name: Untrust
Static IP: ( 出现时选择此选项)
IP Address/Netmask: 1.1.1.1/24
2. MIP
Network > Interfaces > Edit ( 对于 ethernet3) > MIP > New: 输入以下内容,然后单击 OK:
Mapped IP: 100.2.2.2
Host IP: 192.168.1.2
3. 策略(根据实际需要可能只需要其中一个方向的策略)
Policies > (From: Untrust, To:Trust) New: 输入以下内容,然后单击 OK:
Source Address:
Address Book Entry: ( 选择), 2.2.2.2/32(假设我们先前定义了此地址对象)
Destination Address:
Address Book Entry: ( 选择), MIP
展开阅读全文