USG 방화벽의 NAT 구성

USG방화벽 NAT구성

학습 목적

• USG 방화벽에서 NATServer를 구성하는 방법을 익히세요

• USG 방화벽에서 NATEasy IP를 구성하는 방법을 익히세요

토폴로지 그림

                                                                           ~ 미소를 지으며, 회사는 네트워크 방화벽을 사용하여 세 개의 영역으로 분리됩니다. 이제 DMZ 영역의 서버(IP 주소: 10.0.3.3)에서 제공하는 텔넷 서비스를 공개해야 합니다. 공용 주소는 10.0.10.20 및 24입니다. 그리고 내부 네트워크 Trust 영역의 사용자는 외부에서 Easy-IP를 통해 액세스합니다. 영역. 다른 방향에서의 접근은 금지되어 있습니다.

                  G0/0/1 및 G0/0/21 인터페이스를 vlan11에 정의하고, G0/0/2 및 G0/0/22 인터페이스를 vlan12에 정의하고, G0/0/3 및 G0/0/ 인터페이스를 정의합니다. 23은 vlan13에 정의되어 있으며 각각 3개의 네트워크 세그먼트가 계획되어 있습니다.

Learn학습 작업

1단계.

기본 구성 및 IPAddressing

먼저 3개의 라우터에 대한 주소 정보를 구성합니다. [Huawei]sysname R1[R1]interface g0/0/1

[R1-GigabitEthernet0/0/1]ip add 10.0.10.124

[R1-GigabitEthernet0/0/1]desc 이 포트S1에 연결 -G0/0/1

[R1-GigabitEthernet0/0/1]interfaceloopback0

[R1-LoopBack0]ip add 10.0.1.1 24

[R1-LoopBack0]q

[Huawei]sysname R2

[R2 ]인터페이스 g0/0/1

[R2-GigabitEthernet0/0/1]ip add 10.0.20.224

[R2-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/2

[R2- GigabitEthernet0/0/1]인터페이스loopback0

[R2-LoopBack0]ip 추가 10.0.2.2 24

[R2-LoopBack0]q

[Huawei]sysname R3

[R3]인터페이스 g0/0/1

[R3 -GigabitEthernet0/0/1]ip add 10.0.30.324

[R3-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/3

[R3-GigabitEthernet0/0/1]interfaceloopback0

[R3 -LoopBack0]ip add 10.0.3.3 24

[R3-LoopBack0]q

방화벽 주소 구성 시 G0/0/1은 10.0.20.254/24로 구성됩니다.

[SRG]sysname FW

13:06: 03 2014/07/08

[FW]인터페이스 g0/0/1

13:06:30 2014/07/08

[FW-GigabitEthernet0/0/1]ip 추가 10.0.20.25424

13:07 :01 2014/07/08

[FW-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/22

13:07:52 2014/07/08

[FW- GigabitEthernet0/0/ 1]인터페이스 g0/0/0

13:08:23 2014/07/08

[FW-GigabitEthernet0/0/0]dis this

13:08:31 2014/07/08

#

인터페이스 GigabitEthernet0/0/0

별칭 GE0/MGMT

ipaddress 192.168.0.1 255.255.255.0

dhcpselect 인터페이스

dhcpserver 게이트웨이 목록 192.168.0.1

#

return

[FW-GigabitEthernet0 /0/0 ]undo ip add

13:08:42 2014/07/08

정보: 이 인터페이스의 DHCP 서버 구성이 삭제됩니다.

[FW-GigabitEthernet0/0/0]display this

13:08:46 2014/07/08

#

interface GigabitEthernet0/0/0

별칭 GE0/MGMT

#

return

[FW-GigabitEthernet0/0/0]ip add 10.0.10.25424

13:09: 29 2014/07/08

[FW-GigabitEthernet0/0/0]desc this portconnect to S1-G0/0/21

13:10:05 2014/07/08

[FW- GigabitEthernet0/0/0 ] 인터페이스 G0/0/2

13:10:15 2014/07/08

[FW-GigabitEthernet0/0/2]ip 추가 10.0.30.25424

13:10:28 2014/07 /08

[ FW-GigabitEthernet0/0/2]desc 이 포트를 S1-G0/0/23

13:10:53 2014/07/08

[FW-GigabitEthernet0/0/2]q

스위치의 요구 사항을 따라야 합니다. vlan 정의

[Huawei]sysname S1

[S1]vlan 배치 11 ~ 13

정보: 이 작업은 몇 초 정도 걸릴 수 있습니다...완료되었습니다.

[S1]인터페이스 g0/0/ 1

[S1-GigabitEthernet0/0/1]포트 링크 유형 액세스

[S1-GigabitEthernet0/0/1]포트 기본 vlan11

[S1]인터페이스 g0/0/2

[S1-GigabitEthernet0/0/2]포트 링크 유형 액세스

[S1-GigabitEthernet0/0/2]포트 기본 vlan12

[S1-GigabitEthernet0/0/2]인터페이스 g0/0/3

[S1 -GigabitEthernet0/0/3]포트 링크 -typeaccess

[S1-GigabitEthernet0/0/3]포트 기본 vlan13

[S1-GigabitEthernet0/0/3]인터페이스 g0/0/21

[S1-GigabitEthernet0/0 /21]포트 링크 유형액세스

[S1-GigabitEthernet0/0/21]포트 기본 vlan11

[S1-GigabitEthernet0/0/21]인터페이스 g0/0/22

[S1-GigabitEthernet0/0/22]포트 링크 유형 액세스

[S1-GigabitEthernet0 /0/22]포트 기본 vlan12

[S1-GigabitEthernet0/0/22]인터페이스 g0/0/23

[S1-GigabitEthernet0/0/23]포트 링크 유형 액세스

[S1-GigabitEthernet0/0/23 ]포트 기본 vlan13

2단계.

인터페이스를 보안 영역으로 구성

방화벽에는 기본적으로 "local", "trust", "untrust" 및 "dmz"의 네 가지 영역이 있습니다. “실험에서는 "Trust", 'Untrust', 'DMZ'의 세 가지 영역을 사용했습니다. G0/0/0을 Untrust 영역으로 구성하고, G0/0/0/2를 DMZ 영역, G0/0으로 구성했습니다. G0/0 /0/1은

[FW]방화벽 영역 신뢰

13:45:31 2014/07/08

[FW-zone-trust]이

13:45로 구성되었습니다. :35 2014/07 /08

#

firewall zone trust

setpriority 85

addinterface GigabitEthernet0/0/0

#

return

[FW-zone-trust]undo add inter  

[FW- zone-trust] 인터페이스 추가 실행 취소 g0/0/0

13:46:01 2014/07/08

[FW-zone-trust] 인터페이스 추가 g0/0/1

13:46:22 2014/07 /08

[ FW-zone-trust] 방화벽 영역 untrust

[FW-zone-untrust] 인터페이스 추가 g0/0/0

13:47:24 2014/07/08

[[FW-zone- untrust] 방화벽 영역 dmz

13:48:06 2014/07/08

[FW-zone-dmz] 인터페이스 추가 g0/0/2

13:48:13 2014/07/08

[FW- zone-dmz]q

기본적으로 방화벽은 로컬 영역 이외의 다른 영역 간의 통신을 허용하지 않습니다. 구성의 정확성을 보장하기 위해 모든 영역 간 통신을 허용하도록 기본 방화벽 필터링 규칙을 구성합니다.

[FW]방화벽 패킷 필터 기본 허용

13:51:19 2014/07/08

경고: 기본 패킷 필터링을 허용으로 설정하면 보안 위험이 발생할 수 있습니다

. 실제 데이터 흐름을 기반으로 하는 보안 정책입니다. 정말

계속하시겠습니까?[Y/N]y

[FW]ping -c 1 10.0.10.1

13:51:56 2014/07/08

PING 10.0.10.1: 56 데이터 바이트, 중단하려면 CTRL_C를 누르세요

10.0.10.1에서 응답: bytes=56 Sequence=1 ttl=255 time=90 ms

---10.0.10.1 핑 통계 ---

1패킷 (들) 전송

1패킷 수신

0.00% 패킷 손실

왕복 최소/평균/최대 = 90/90/90 ms

[FW]ping -c 1 10.0.20.2

13: 52:08 2014/07/08

PING 10.0.20.2: 56 데이터 바이트, 중단하려면 CTRL_C를 누르세요

10.0.20.2에서 응답: bytes=56 Sequence=1 ttl=255 time=400 ms

-- -10.0 .20.2 핑 통계 ---

1패킷 전송됨

1패킷 수신됨

0.00% 패킷 손실

왕복 최소/평균/최대 = 400/400/400ms

[FW ]핑 -c 1 10.0.30.3

13:52:18 2014/07/08

PING 10.0.30.3: 56 데이터 바이트, 중단하려면 CTRL_C를 누르세요

10.0.30.3에서 응답: bytes=56 Sequence=1 ttl =255 시간=410ms

---10.0.30.3 핑 통계 ---

1패킷 전송됨

1패킷 수신됨

0.00% 패킷 손실

왕복 최소/평균/최대 = 410/ 410/410ms

3단계. 네트워크 연결을 달성하기 위한 정적 라우팅 구성

        R2 및 R3에서 기본 경로를 구성하고, 3개의 loopback0 인터페이스 간 통신을 달성하기 위해 FW에서 명확한 정적 경로를 구성합니다. R1은 인터넷 장치이므로 내부 및 DMZ 영역의 사설망 정보를 알 필요가 없으므로 기본 경로를 정의할 필요가 없습니다.

[R2] IP 경로 정적 0.0.0.0 0 10.0.20.254

[R3] IP 경로 정적 0.0.0.0 0 10.0.30.254

[FW] IP 경로 정적 10.0.1.0 24 10.0.10.1

13:58:26 2014/07/08

[FW]ip 경로 고정 10.0.2.0 24 10.0.20.2

13:58:40 2014/07/08

[FW]ip 경로 고정 10.0.3.0 24 10.0.30.3

13:58:52 2014/07/08

                          방화벽에서 10.0.1.0, 10.0.2.0, 10.0.3.0과의 연결을 테스트합니다.

[FW]ping -c 1 10.0.1.1

14:00:18 2014/07/08

PING 10.0.1.1: 56 데이터 바이트, 중단하려면 CTRL_C를 누르세요

10.0.1.1에서 응답: bytes=56 시퀀스=1 ttl=255 시간=80ms

---10.0.1.1 핑 통계 ---

1패킷 전송

1패킷 수신

0.00% 패킷 손실

왕복 분/ 평균/최대 = 80/80/80 ms

[FW]ping -c 1 10.0.2.2

14:00:25 2014/07/08

PING 10.0.2.2: 56 데이터 바이트, 중단하려면 CTRL_C를 누르세요

10.0.2.2의 응답: bytes=56 Sequence=1 ttl=255 time=170 ms

---10.0.2.2 ping 통계 ---

1패킷 전송

1패킷 수신

0.0 0% 패킷 손실

왕복 최소/평균/최대 = 170/170/170ms

[FW]ping -c 1 10.0.3.3

14:00:29 2014/07/08

PING 10.0.3.3: 56 데이터 바이트, 중단하려면 CTRL_C를 누르세요

10.0.3.3에서 응답: bytes=56 Sequence=1 ttl=255 time=110 ms

---10.0.3.3 ping 통계 ---

1패킷 전송됨

1패킷 수신됨

0.00% 패킷 손실

왕복 최소/평균/최대 = 110/110/110ms

현재 구성에서는 모든 영역이 통신 가능하며 차단되지 않습니다. 조사하다. NAT가 아직 정의되지 않았기 때문에 내부 및 DMZ 영역은 외부 영역과 통신할 수 없습니다.

4단계. 영역 간 보안 필터링 구성

                                                                         는 신뢰 영역의 일부 네트워크 세그먼트 10.0.2.3에서 신뢰되지 않는 영역으로 데이터 패킷을 보내도록 허용할 수 있습니다. Untrust 영역에서 DMZ 대상 서버 10.0.3.3으로 전송된 Telnet 요청이 통과되도록 허용되었습니다.

[FW]방화벽 세션 링크 상태 확인

[FW]정책 영역 간 신뢰 비신뢰 아웃바운드

[FW-policy-interzone-trust-untrust-outbound]policy0

14:06:57 2014/07/08

[FW-policy-interzone-trust-untrust-outbound-0]policysource 10.0.2.0 0.0.0.255

14:07:18 2014/07/08

[FW-policy-interzone-trust-untrust-outbound- 0]actionpermit

14:07:31 2014/07/08

[FW-policy-interzone-trust-untrust-outbound-0]q

14:07:40 2014/07/08

[FW- 정책-interzone-trust-untrust-outbound]q

14:07:40 2014/07/08

]정책 interzone dmz untrust inbound

14:09:01 2014/07/08

[FW-policy- interzone-dmz-untrust-inbound]policy0

14:09:08 2014/07/08

[FW-policy-interzone-dmz-untrust-inbound-0]policydestination 10.0.3.3 0

14:09:37 2014/07/08

[FW-policy-interzone-dmz-untrust-inbound-0]policyservice service-set telnet

[FW-policy-interzone-dmz-untrust-inbound-0]actionpermit

14:09 :55 2014/07/08

[FW-policy-interzone-dmz-untrust-inbound-0]q

14:09:55 2014/07/08

5단계.구성 Easy-Ip을 사용하면 Trust 영역에서 Untrust 영역으로 액세스할 수 있습니다. ㅋㅋ                          NAT 소스 주소 변환에 Easy-IP를 사용하도록 구성할 수 있습니다. 그리고 NAT를 인터페이스에 바인딩합니다.

[FW-nat-policy-interzone-trust-untrust-outbound]policy0

14:14:00 2014/07/08

[FW-nat-policy-interzone-trust-untrust-outbound-0]policysource 10.0.2.0 0.0.0.2

55

14:14:26 2014/07/08

[FW-nat-policy-interzone-trust-untrust-outbound-0]actionsource-nat

14:14:37 2014/07/08

[FW-nat-policy-interzone-trust-untrust-outbound-0]easy-ipg0/0/0

14:14:51 2014/07/08

[FW-nat- policy-interzone-trust-untrust-outbound-0]q

                                                                    구성이 완료된 후 Trust zone과 Untrust zone 간의 접속이 정상적인지 확인합니다.

ping 10.0.1.1

PING 10.0.1.1: 56 데이터 바이트, 중단하려면 CTRL_C를 누르세요

시간 초과 요청

시간 초과 요청

시간 초과 요청

out

시간 초과 요청

---10.0.1.1 핑 통계 ---

5패킷 전송됨

0패킷 수신됨

100.00% 패킷 손실

ping -a 10.0.2.2 10.0.1.1

PING 10.0 .1.1: 56 데이터 바이트, 중단하려면 CTRL_C를 누르세요

10.0.1.1에서 응답: bytes=56 Sequence=1 ttl=254 time=220 ms

10.0.1.1에서 응답: bytes=56 Sequence=2 ttl= 응답 10.0.1.1부터: 바이트=56 시퀀스=5 ttl=254 시간=440ms

---10.0.1.1 핑 통계 ---

5패킷 전송

5패킷 수신

0.00% 패킷 Losso 왕복 최소/평균/최대 = 100/196/440ms

주의하세요. 여기에 테스트와 10.0.1.1 간의 연결이 있는데 표시되지 않습니다. 확장된 ping은 패킷을 보낼 때 소스 주소 10.0.2.2를 지정했기 때문에 연결을 성공적으로 달성했습니다. 그 이유는 데이터 패킷을 10.0.1.1로 직접 보낼 때 데이터 패킷의 소스 주소가 10.0.1.1에 도달하면 데이터 패킷의 소스 주소는 클라이언트 주소 범위에 속하지 않는 10.0.20.2이기 때문입니다. NAT 번역.

6단계. 인트라넷 서버 10.0.3.3 게시

인트라넷 서버 10.0.3.3의 텔넷 서비스를 구성하고 주소 10.0.10.20

[FW]nat 서버 프로토콜 tcp global10.0.10.20 telnet inside에 매핑 10.0 .3.3 텔넷

                                                                                                    R3에서 Telnet 기능을 활성화하고 R1에서 테스트할 때 테스트할 때 외부 주소가 10.0이라는 점에 유의하세요. .10.20이므로 R1이 10.0.3.3에 액세스할 때 액세스되는 대상 주소는 10.0.10.20입니다.

[R3]user-interface vty 0 4

[R3-ui-vty0-4]인증 모드 비밀번호

로그인 비밀번호를 구성하세요(최대 길이 16):16

[R3-ui-vty0-4 ]인증 비밀번호 설정 ?

cipher 암호 텍스트로 비밀번호 설정

[R3-ui-vty0-4]인증 비밀번호 설정cip

[R3-ui-vty0-4]인증 비밀번호 설정cipher Huawei

[R3-ui-vty0 -4]사용자 권한 수준 3

[R3-ui-vty0-4]q

telnet 10.0.10.20

CTRL_]을 눌러 텔넷 모드를 종료하세요

10.0.10.20 시도 중 ...

연결됨 ~ 10.0.10.20 ...

로그인 인증

비밀번호:

위 내용은 USG 방화벽의 NAT 구성의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!