防火牆的配置及方法(一文讀懂網絡防火牆基本設置)
2023-09-16 23:16:39
介紹如何配置SNAT規則。SNAT規則能夠使內網用戶訪問網際網路
如下圖所示,通過SNAT轉換後,多個內網用戶可以同時使用221.224.30.131/20公網地址訪問Internet
配置接口
1.配置連接內網用戶的接口。
選擇「網絡 > 接口」,雙擊ethernet0/1接口。
綁定安全域:三層安全域
安全域:trust
類型:靜態IP
IP位址:192.168.1.1
網絡掩碼:24
2.配置連接Internet的接口。
選擇「網絡 > 接口」,雙擊ethernet0/3接口。
綁定安全域:三層安全域
安全域:untrust
類型:靜態IP
IP位址:221.224.30.131
網絡掩碼:20
配置安全策略
配置允許內網用戶訪問Internet的安全策略。
選擇「策略 > 安全策略」,點擊「添加」。
名稱:trust_untrust
源信息
安全域:trust
地址:Any
目的信息
安全域:untrust
地址:Any
其他信息
行為:允許
配置地址簿
配置內網用戶的地址範圍。
選擇「對象 > 地址簿」,點擊「新建」。
名稱:sNAT_IP
成員 : 選擇「IP/掩碼」,文本框依次輸入
「192.168.1.0」 、「24」 ,並點擊「添加」按鈕
配置源NAT規則
選擇「策略 > NAT > 源NAT」,點擊「新建」。
當IP位址符合以下條件時:
源地址:「地址條目」、「snat_IP」
(說明:配置為內網用戶的地址。)
將地址轉換為:
轉換為:「指定IP」
地址:「IP位址」、「221.224.30.130」
(說明:配置為公網地址。)
模式:「動態埠(多對一轉換)」
(可選)點擊標籤頁。
選中「啟用」複選框開啟該源NAT規則的日誌功能。
配置默認路由
選擇「網絡 > 路由 > 目的路由」,並點擊「新建」。
目的地:0.0.0.0
子網掩碼:0
下一跳:網關
網關:221.224.30.130
驗證網絡是否互通
完成以上配置步驟後,內網用戶通過ping外網中的地址
221.224.30.131,可ping通,說明內網用戶可以訪問Internet。
驗證源NAT規則是否生效
點擊「監控 > 日誌 > 日誌管理」,選擇標籤
頁,選中「啟用」複選框開啟NAT日誌功能。
然後點擊「監控> 日誌 > NAT日誌信息」。
通過查看NAT日誌,可以看到源IP位址192.168.1.2已轉換
為221.224.30.130。
,