防火牆的配置及方法（一文讀懂網絡防火牆基本設置）

2023-09-16 23:16:39

介紹如何配置SNAT規則。SNAT規則能夠使內網用戶訪問網際網路

如下圖所示，通過SNAT轉換後，多個內網用戶可以同時使用221.224.30.131/20公網地址訪問Internet

配置接口

1.配置連接內網用戶的接口。

選擇「網絡 > 接口」，雙擊ethernet0/1接口。

綁定安全域：三層安全域

安全域：trust

類型：靜態IP

IP位址：192.168.1.1

網絡掩碼：24

2.配置連接Internet的接口。

選擇「網絡 > 接口」，雙擊ethernet0/3接口。

綁定安全域：三層安全域

安全域：untrust

類型：靜態IP

IP位址：221.224.30.131

網絡掩碼：20

配置安全策略

配置允許內網用戶訪問Internet的安全策略。

選擇「策略 > 安全策略」，點擊「添加」。

名稱：trust_untrust

源信息

安全域：trust

地址：Any

目的信息

安全域：untrust

地址：Any

其他信息

行為：允許

配置地址簿

配置內網用戶的地址範圍。

選擇「對象 > 地址簿」，點擊「新建」。

名稱：sNAT_IP

成員 : 選擇「IP/掩碼」，文本框依次輸入

「192.168.1.0」 、「24」 ，並點擊「添加」按鈕

配置源NAT規則

選擇「策略 > NAT > 源NAT」，點擊「新建」。

當IP位址符合以下條件時：

源地址：「地址條目」、「snat_IP」

（說明：配置為內網用戶的地址。）

將地址轉換為：

轉換為：「指定IP」

地址：「IP位址」、「221.224.30.130」

（說明：配置為公網地址。）

模式：「動態埠(多對一轉換)」

（可選）點擊標籤頁。

選中「啟用」複選框開啟該源NAT規則的日誌功能。

配置默認路由

選擇「網絡 > 路由 > 目的路由」，並點擊「新建」。

目的地：0.0.0.0

子網掩碼：0

下一跳：網關

網關：221.224.30.130

驗證網絡是否互通

完成以上配置步驟後，內網用戶通過ping外網中的地址

221.224.30.131，可ping通，說明內網用戶可以訪問Internet。

驗證源NAT規則是否生效

點擊「監控 > 日誌 > 日誌管理」，選擇標籤

頁，選中「啟用」複選框開啟NAT日誌功能。

然後點擊「監控> 日誌 > NAT日誌信息」。

通過查看NAT日誌，可以看到源IP位址192.168.1.2已轉換

為221.224.30.130。