USG ファイアウォールの NAT 構成

USGファイアウォール NAT構成

学習目的

• #USG ファイアウォールで NATServer を構成する方法をマスターする

• USG ファイアウォールで NATEasy IP を構成する方法をマスターする

#トポロジ図

#:

あなたは会社のネットワーク管理者です。会社はネットワーク ファイアウォールを使用して 3 つのゾーンに分離されています。ここで、サーバー (IP アドレス: 10.0.3.3) が提供する Telnet サービスを DMZ エリアに公開する必要があります。パブリック アドレスは 10.0.10.20 と 24 です。また、内部ネットワーク Trust エリア内のユーザーは、Easy-IP 経由でアクセスします。外部エリア。それ以外の方向からのアクセスは禁止です。

G0/0/1 および G0/0/21 インターフェイスを vlan11 に定義し、G0/0/2 および G0/0/22 インターフェイスを vlan12 に定義し、G0/0/3 およびG0/0/23 インターフェースは vlan13 に定義されており、それぞれ 3 つのネットワークセグメントが計画されています。

#学習

学習タスク

ステップ 1.

基本構成と IPアドレッシング まず、3 台のルーターのアドレス情報を設定します。

#[Huawei]sysname R1

[R1]interface g0/0/1

[R1-GigabitEthernet0/0/1]ip add 10.0.10.124

[R1-GigabitEthernet0/0/1]desc このポートは S1-G0/0/1 に接続します

[R1-GigabitEthernet0/0/1]interfaceloopback0

[R1-LoopBack0]ip 10.0.1.1 を追加 24

[R1-LoopBack0]q

[Huawei]sysname R2

[R2]インターフェイス g0/0/1

[ R2-GigabitEthernet0/0/1]ip add 10.0.20.224

[R2-GigabitEthernet0/0/1]desc このポートを S1-G0/0/2

[R2-GigabitEthernet0/ 0/1]interfaceloopback0

[R2-LoopBack0]ip add 10.0.2.2 24

[R2-LoopBack0]q

[Huawei]sysname R3

[R3]interface g0/0/1

[R3-GigabitEthernet0/0/1]ip add 10.0.30.324

[R3-GigabitEthernet0/0/1]desc このポートを S1 に接続します-G0/0/3

[R3-GigabitEthernet0/0/1]interfaceloopback0

[R3-LoopBack0]ip add 10.0.3.3 24

[R3-LoopBack0] q

ファイアウォールのアドレスを構成する場合、G0/0/1 は 10.0.20.254/24.

[SRG]sysname FW

13:06 で構成されます。 03 2014/07 /08

[FW]インターフェース g0/0/1

13:06:30 2014/07/08

[FW-GigabitEthernet0/0/ 1]ip add 10.0.20.25424

13:07:01 2014/07/08

[FW-GigabitEthernet0/0/1]desc このポートを S1-G0/0/22# に接続します

# #13:07:52 2014/07/08

[FW-GigabitEthernet0/0/1]インターフェイス g0/0/0

13:08:23 2014/07 /08

[FW-GigabitEthernet0/0/0] はこれです

13:08:31 2014/07/08

インターフェイス GigabitEthernet0 /0/0

エイリアス GE0/MGMT

ipaddress 192.168.0.1 255.255.255.0

dhcpselect インターフェイス

dhcpserver ゲートウェイ リスト 192.168.0.1

#return

[FW-GigabitEthernet0/0/0]ip addを元に戻す

13:08:42 2014/07/08

情報: このインターフェイスの DHCP サーバー構成は削除されます。

[FW-GigabitEthernet0/0/0]これを表示

13:08:46 2014/07/08

#インターフェイス GigabitEthernet0/0/0

エイリアス GE0/MGMT

return

[FW-GigabitEthernet0 /0/0 ]ip add 10.0.10.25424

13:09:29 2014/07/08

[FW-GigabitEthernet0/0/0]desc このポートを S1-G0/0 に接続します/21

13:10:05 2014/07/08

[FW-GigabitEthernet0/0/0]インターフェイス G0/0/2

13:10:15 2014/07/ 08

[FW-GigabitEthernet0/0/2]ip 追加 10.0.30.25424

13:10:28 2014/07/08

[FW- GigabitEthernet0/0/ 2]desc このポートを S1-G0/0/23 に接続します

13:10:53 2014/07/08

[FW-GigabitEthernet0/0/2]q

Vlan は要件に従ってスイッチ上で定義する必要があります

[Huawei]sysname S1

[S1]vlanバッチ11から13

情報: これ操作には数秒かかる場合があります。しばらくお待ちください...完了。

[S1]インターフェイス g0/0/1

[S1-GigabitEthernet0/0/1]ポート リンク- typeaccess

[S1 -GigabitEthernet0/0/1]ポートデフォルト vlan11

[S1]インターフェイス g0/0/2

[S1-GigabitEthernet0/0/2]ポートlink-typeaccess

[S1-GigabitEthernet0/0/2]ポートデフォルト vlan12

[S1-GigabitEthernet0/0/2]インターフェイス g0/0/3

[S1 -GigabitEthernet0/0/3]ポート リンク -typeaccess

[S1-GigabitEthernet0/0/3]ポート デフォルト vlan13

[S1-GigabitEthernet0/0/3]インターフェイス g0/0/21

[S1-GigabitEthernet0/0/21]ポートリンクタイプアクセス

[S1-GigabitEthernet0/0/21]ポートデフォルトvlan11

[S1-GigabitEthernet0/0/ 21]インターフェイス g0/0/22

[S1-GigabitEthernet0/0/22]ポート リンク タイプ アクセス

##[S1-GigabitEthernet0/0/22]ポート デフォルト vlan12

[S1-GigabitEthernet0/0/22 ]interface g0/0/23

[S1-GigabitEthernet0/0/23]port link-typeaccess

[S1-GigabitEthernet0/0/23]ポートのデフォルト vlan13

ステップ 2.

セキュリティ ゾーンへのインターフェイスを構成する

ファイアウォールには、デフォルトで「local」、「trust」、「untrust」、「dmz」という 4 つのゾーンがあります。

実験では、「trust」、「untrust」、「dmz」の 3 つのゾーンを使用しました。G0/0/0 を untrust ゾーンに設定し、G0/0/0/2 を dmz に設定します。 G0/0/0/1 を信頼ゾーンに設定します。

[FW]ファイアウォール ゾーン信頼

13:45:31 2014/07/08

[ FW-zone-trust] これはこれです

13:45:35 2014/07/08

#ファイアウォール ゾーンの信頼

setpriority 85

addinterface GigabitEthernet0/0/0

#return

[FW-zone-trust]interface の追加を取り消します ]interface の追加を取り消します g0/0/0

13:46:01 2014/07/08

##[FW-zone-trust] インターフェース g0/0/1

13:46:22 2014/07/ 08

[FW-zone-trust]ファイアウォール ゾーン untrust

[FW-zone-untrust]インターフェイス g0/0/0

を追加します

13:47:24 2014/ 07/08

[[FW-zone-untrust]ファイアウォール ゾーン dmz

13:48:06 2014/07/08

[FW-zone-dmz]追加インターフェイス g0/0/2

13:48:13 2014/07/08

[FW-zone-dmz]q

デフォルトでは、ファイアウォールは許可しませんローカル エリア外の他のエリア間の通信。設定の正確性を確保するために、すべてのエリア間の通信を許可するようにデフォルトのファイアウォール フィルタリング ルールを設定します。設定が完了したら、FW デバイスの接続をテストします。

[FW]ファイアウォール パケット フィルタのデフォルトの許可すべて

13:51:19 2014/07/08

警告:デフォルトのパケット フィルタリングを許可に設定すると、セキュリティ リスクが生じます。 ##実際のデータ フローに基づいてセキュリティ ポリシーを構成することをお勧めします。

##続行してもよろしいですか?[Y/N]y

[FW]ping -c 1 10.0。 10.1

13:51:56 2014/07/08

PING 10.0.10.1: 56 データ バイト、ブレークするには CTRL_C を押してください

10.0.10.1 からの返信: bytes= 56 シーケンス=1 ttl=255 時間=90 ms

---10.0.10.1 ping 統計 ---

1 パケット送信

1 パケット受信

0.00% パケット損失

往復最小/平均/最大 = 90/90/90 ミリ秒

[FW ]ping -c 1 10.0.20.2

13:52:08 2014/07/08

PING 10.0.20.2: 56 データ バイト、ブレークするには CTRL_C を押してください

10.0.20.2 からの返信: バイト = 56 シーケンス = 1 ttl=255 time=400 ms

---10.0.20.2 ping 統計 ---

1 パケット送信

1 パケット受信

0.00% パケット損失

往復最小/平均/最大 = 400/400/400 ミリ秒

[FW]ping -c 1 10.0.30.3

13 :52:18 2014/07/08

PING 10.0.30.3: 56 データ バイト、ブレークするには CTRL_C を押してください

10.0.30.3 からの返信: バイト = 56 シーケンス = 1 ttl = 255 時間=410 ms

---10.0.30.3 ping 統計 ---

1 パケット送信

1 パケット受信

0.00%パケット損失

ラウンドトリップ最小/平均/最大 = 410/410/410 ミリ秒

ステップ 3. ネットワーク セキュリティを実現するために静的ルーティングを構成する 接続

デフォルト ルートを構成するR2 と R3、および FW 上でクリア スタティック ルートを設定し、3 つのループバック 0 インターフェイス間の通信を実装します。 R1 はインターネット デバイスであり、内部ゾーンおよび DMZ ゾーンのプライベート ネットワーク情報を知る必要がないため、デフォルト ルートを定義する必要はありません。

[R2]ip ルート静的 0.0.0.0 0 10.0.20.254

[R3]ip ルート静的 0.0.0.0 0 10.0.30.254

[FW]ipルート静的 10.0.1.0 24 10.0.10.1

13:58:26 2014/07/08

[FW]ip ルート静的 10.0.2.0 24 10.0.20.2

13:58:40 2014/07/08

[FW]ip ルート静的 10.0.3.0 24 10.0.30.3

13:58:52 2014/07/08

ファイアウォール上の 10.0.1.0、10.0.2.0、10.0.3.0 への接続をテストします。

[FW]ping -c 1 10.0.1.1

14:00:18 2014/07/08

PING 10.0.1.1: 56 データ バイト、CTRL_C を押してBreak

10.0.1.1 からの応答: bytes=56 Sequence=1 ttl=255 time=80 ms

---10.0.1.1 ping 統計 ---

1packet送信数

# 1 パケット受信数

# 0.00% パケット損失

# 往復最小/平均/最大 = 80/80/80 ミリ秒

[FW]ping -c 1 10.0.2.2

14:00:25 2014/07/08

PING 10.0.2.2: 56 データ バイト、ブレークするには CTRL_C を押してください

10.0.2.2 からの応答: bytes=56 Sequence=1 ttl=255 time=170 ms

---10.0.2.2 ping 統計 ---

1 パケット送信

1 パケットを受信しました

0.00% パケット損失

往復最小/平均/最大 = 170/170/170 ミリ秒

[FW ]ping -c 1 10.0.3.3

14:00:29 2014/07/08

PING 10.0.3.3: 56 データ バイト、CTRL_C を押して中断します

10.0.3.3 からの返信: バイト=56 シーケンス=1 ttl=255 時間=110 ms

--- 10.0.3.3 ping 統計 ---

1 パケット送信

1 パケット受信

0.00% パケット損失

往復最小/avg/max = 110/110/110 ms

現在の構成では、すべてのエリアがチェックなしで通信できます。 NAT がまだ定義されていないため、内部ゾーンと DMZ ゾーンは外部ゾーンと通信できません。

ステップ 4.ゾーン間セキュリティ フィルタリングの構成

トラスト ゾーン内のネットワーク セグメント 10.0.2.3 の一部から送信されるデータを構成します。 Untrust ゾーン パッケージがリリースされます。 Untrust ゾーンから DMZ ターゲット サーバー 10.0.3.3 に送信された Telnet リクエストは通過を許可されました。

[FW]ファイアウォール セッションのリンク状態チェック

[FW]ポリシー ゾーン間信頼 untrust アウトバウンド

[FW-policy-interzone-trust-untrust-outbound]policy0

14:06:57 2014/07/08

[FW-policy-interzone-trust-untrust-outbound-0]policysource 10.0.2.0 0.0.0.255

14 :07:18 2014/07/08

[FW-policy-interzone-trust-untrust-outbound-0]アクション許可

14:07:31 2014/07/08

[FW-policy-interzone-trust-untrust-outbound-0]q

14:07:40 2014/07/08

[FW-policy-interzone-trust- untrust-outbound]q

14:07:40 2014/07/08

]ポリシー ゾーン間 dmz untrustbound

14:09:01 2014/07/08

[FW-policy-interzone-dmz-untrust-inbound]policy0

14:09:08 2014/07/08

[FW-policy-interzone-dmz- untrust-inbound-0]policydestination 10.0.3.3 0

14:09:37 2014/07/08

[FW-policy-interzone-dmz-untrust-inbound-0]policyservice サービス-set telnet

[FW-policy-interzone-dmz-untrust-inbound-0]actionpermit

14:09:55 2014/07/08

[FW- [policy-interzone-dmz-untrust-inbound-0]q

14:09:55 2014/07/08

ステップ 5. ConfigureEasy-Ip、Trust ゾーンを Untrust ゾーンに実装しますアクセス。

NAT 送信元アドレス変換を実行するように Easy-IP を構成します。そして、NAT をインターフェイスにバインドします。

[FW-nat-policy-interzone-trust-untrust-outbound]policy0

14:14:00 2014/07/08

[FW-nat-policy -interzone-trust-untrust-outbound-0]policysource 10.0.2.0 0.0.0.2

55

14:14:26 2014/07/08

[FW- nat-policy-interzone-trust-untrust-outbound-0]actionsource-nat

14:14:37 2014/07/08

[FW-nat-policy-interzone-trust- untrust-outbound-0]easy-ipg0/0/0

14:14:51 2014/07/08

[FW-nat-policy-interzone-trust-untrust-outbound- 0]q

構成が完了したら、Trust ゾーンと Untrust ゾーン間のアクセスが正常であるかどうかを確認します。

ping 10.0.1.1

PING 10.0.1.1: 56 データ バイト、ブレークするには CTRL_C を押してください

リクエスト タイムアウト

リクエスト時間out

リクエスト タイムアウト

リクエスト タイムアウト

リクエスト タイムアウト

---10.0.1.1 ping 統計 ---

5 パケット送信

# 0 パケット受信

# 100.00% パケット損失

#ping -a 10.0.2.2 10.0.1.1

PING 10.0.1.1: 56 data bytes,press CTRL_C to Break

10.0.1.1 からの返信: bytes=56 Sequence=1 ttl=254 time=220 ms

10.0 からの返信。 1.1: bytes=56 Sequence=2 ttl=254 time=100 ms

10.0.1.1 からの返信: bytes=56 Sequence=3 ttl=254 time=100 ms

10.0 からの返信。 1.1: bytes=56 Sequence=4 ttl=254 time=120 ms

10.0.1.1 からの返信: bytes=56 Sequence=5 ttl=254 time=440 ms

---10.0 .1.1 ping 統計 ---

5 パケット送信

5 パケット受信

0.00% パケット損失

往復最小/ AVG/MAX = 100/196/440 ミリ秒

ここでのテストと 10.0.1.1 の間の接続は不合理であることに注意してください。パケットの送信時に送信元アドレス 10.0.2.2 が指定されたため、拡張 ping は正常に接続を確立します。その理由は、データ パケットを 10.0.1.1 に直接送信する場合、データ パケットの送信元アドレスが 10.0.1.1 に達すると、データ パケットの送信元アドレスは 10.0.20.2 となり、10.0.20.2 のクライアント アドレス範囲に属さないためです。 NAT変換。

ステップ 6. イントラネット サーバー 10.0.3.3

イントラネット サーバー 10.0.3.3 の Telnet サービスを構成し、アドレス 10.0.10.20

[FW] にマッピングします。 ] nat サーバー プロトコル tcp global10.0.10.20 telnet inside 10.0.3.3 telnet

R3 で Telnet 機能を有効にし、R1 でテストします。テストするときは、外部アドレスが 10.0.10.20 であるため、R1 が 10.0.3.3 にアクセスすると、アクセスされるターゲット アドレスは 10.0.10.20 になることに注意してください。

[R3]user-interface vty 0 4

[R3-ui-vty0-4]認証モードパスワード

ログインパスワードを設定してください(最大長16) :16

[R3-ui-vty0-4]set 認証パスワード ?

cipher 暗号文でパスワードを設定します

[R3-ui-vty0-4]set認証パスワード cip

[R3-ui-vty0-4]認証パスワード暗号を設定 Huawei

[R3-ui-vty0-4]ユーザー権限レベル 3

[R3-ui] - vty0-4]q

telnet 10.0.10.20

CTRL_] を押して Telnet モードを終了してください

10.0.10.20 を試行しています ...

10.0.10.20 に接続しました ...

ログイン認証

パスワード:

以上がUSG ファイアウォールの NAT 構成の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。