需求:
1、内网用户能通过防火墙访问Internet,防火墙做NAT
2、Internet上用户能访问内部的Mail应用
3、Internet上用户能通过不同端口访问内部Web服务器
第一步:设置安全区域
WebUI设置安全区
选择Netwrok > Zone >,点击NEW键,可以添加新的安全区.
在Zone name: Intranet ———-安全区的名字
Virtual Router Name:trust ——–用默认的VR
Zone type:Layer 3 —————–ZONE类别为三层
CLI配置方式
set zone name Intranet
在配置防火墙的时候也可以不定义新的安全区域,使用防火墙预定义的安全区,默认的3层安全区有:Trust.UnTrust和DMZ这3个安全区,本文档使用的是防火墙预定义的安全区。
第二步:端口设置
WebUI设置端口
选择Network > Interfaces > trust >Edit
Zone Name:Trust ———-将trust绑定到trust zone
IP Address/Netmask: 10.1.1.254/24 ———-输入IP地址和掩码
选择Network > Interfaces > untrust >Edit
Zone Name:Untrust ———-将untrust绑定到untrust zone
IP Address/Netmask: 220.220.1.1/24 ———-输入IP地址和掩码
CLI配置方式
set interface e1/1 zone trust set interface e1/2 zone untrust set interface e1/1 ip 10.1.1.254/24 set interface e1/2 ip 220.220.1.1/24
第三步:设置路由
WebUI设置路由
Network > Routing > Routing Entries
增加对外的默认路由
Network > Routing > Routing Entries > Trust-vr >New
输入如下内容,单击OK按钮
Network Address / Netmask : 0.0.0.0/0 Gateway: Interface:ethernet2/3 Gateway IP Address: 220.220.1.254 -----网关地址
CLI配置方式
set route 0.0.0.0/0 interface e2/3 gateway 220.220.1.254
第四步:端口的NAT设置
对绑定到Trust Zone的口的工作模式进行设置
Network > Interfaces > trust >Edit ——编辑绑定到Trust Zone的接口
将接口改为NAT模式
CLI配置方式
set infaces e1/1 nat
第五步:设置MIP地址翻译
选择Network > Interface >untrust > Edit —–编辑绑定到untrust zone的接口
点击MIP按钮,进入MIP的设置
输入需要映射的MIP地址
Mapped IP:220.220.1.100 ——-公网Mail服务器地址
Network:255.255.255.255
Host IP Address:10.1.1.100 ——-内网Maile服务器地址
Host Virtual Router Name :trust-vr
点击OK添加
CLI配置方式
set interface “untrust” mip 220.220.1.100 host 10.1.1.100 netmask 255.255.255.255 vrouter “trust-vr”
第六步:设置VIP地址转换
WebUI设置VIP地址转换
选择Network > Interface > untrust > Edit ——编辑绑定untrust zon的接口
请参考MIP地址来进入VIP设置界面
点击VIP进行VIP设置
输入Virtual IP Address:220.220.1.80 ——-公网WEB服务器IP
点击ADD添加
点击New VIP Service按键
输入需要映射的WEB服务器的地址和对外发服务端口
Virtual IP:220.220.1.80 ——公网WEB服务器地址
Virtual Port:80 ————–对外发布的服务端口
Map to service:HTTP(80) ——–内网WEB服务器的真实端口
Map to IP:10.1.1.10 ——–内网WEB服务器的IP地址
输入完毕后点击OK按钮。如果需要输入多个映射端口,重复上面步骤即可。
Virtaul IP :220.220.1.80 ——公网WEB服务器地址
Virtual Port :8080————–对外发布的服务端口
Map to service:HTTP(80)——–内网WEB服务器的真实端口
Map to IP:10.1.1.20——–内网WEB服务器的IP地址
Virtaul IP :220.220.1.80 ——公网WEB服务器地址
Virtual Port :8800————–对外发布的服务端口
Map to service:HTTP(80)——–内网WEB服务器的真实端口
Map to IP:10.1.1.30——–内网WEB服务器的IP地址
命令行配置方式
set interface ethernet2/3 vip 220.220.1.80 80 "HTTP" 10.1.1.10 set interface ethernet2/3 vip 220.220.1.80 + 8080 "HTTP" 10.1.1.20 set interface ethernet2/3 vip 220.220.1.80 + 8800 "HTTP" 10.1.1.30
第七步:设置端口服务
针对WEB服务器对外访问提供的非标准服务端口,需要我们自己定义服务端口。
选择Objects > Services > Custom >NEW 按钮,输入需要创建的服务内容,单击OK按钮。
重复上述步骤来增加其它 的服务:
CLI配置
set service "TCP-8080" protocol tcp src-port 0-65535 dst-port 8080-8080 set service "TCP-8800" protocol tcp src-port 0-65535 dst-port 8800-8800
第八步:定义策略
WebUI 设置从trust到untrust的安全策略
选择Policy,根据需求,为了让内部用户能访问INTERNET,我们需要定义从trust到untrust的Policy;而为了让外部用户能访问内部的服务器,则需要定从untrust到trust的Policy。方法如下:
选择Policy > From Trust > To > Untrust > NEW
输入以下内容,单击OK按钮,创建Policy
Source Address:Address Book Entry:——源地址
Destination Address:Address Book Entry:—–目的地址
Service:——–服务对象
Action:———策略的动作
Logging:——–打开或关闭流量日志
本策略建立一条允许内网(trust)访问外网(untrust)任务服务的策略。
CLI配置方式
set policy from trust to untrust any any any permit
WebUI 设置从ununtrust到trust的安全策略
选择Policy > From UNTrust > To > trust > NEW
Source Address:Address Book Entry:Any——源地址
Destination Address:Address Book Entry:MIP(220.220.1.100)—–目的地址
Service:Mail&POP3——–服务对象
Action:Permit———策略的动作
Logging:——–打开或关闭流量日志
选择Policy > From UNTrust > To > trust > NEW
Source Address:Address Book Entry:Any——源地址
Destination Address:Address Book Entry:VIP(220.220.1.80)—–目的地址
Service:HTTP——–服务对象
Action:Permit———策略的动作
Logging:——–打开或关闭流量日志
选择Policy > From UNTrust > To > trust > NEW
Source Address:Address Book Entry:Any——源地址
Destination Address:Address Book Entry:VIP(220.220.1.80)—–目的地址
Service:TCP-8080——–服务对象
Action:Permit———策略的动作
Logging:——–打开或关闭流量日志
选择Policy > From UNTrust > To > trust > NEW
Source Address:Address Book Entry:Any——源地址
Destination Address:Address Book Entry:VIP(220.220.1.80)—–目的地址
Service:TCP-8800——–服务对象
Action:Permit———策略的动作
Logging:——–打开或关闭流量日志
CLI配置
set policy id 1 from "Untrust" to "Trust" "Any" "MIP(220.220.1.100)" "MALL" permit set policy id 1 set service "POP3" set policy id 2 from "Untrust" to "Trust" "Any" "VIP(220.220.1.80)" "HTTP" permit set policy id 3 from "Untrust" to "Trust" "Any" "VIP(220.220.1.80)" "TCP-8080" permit set policy id 4 from "Untrust" to "Trust" "Any" "VIP(220.220.1.80)" "TCP-8800" permit