發布時間:2024-04-10 文章來源:深度系統下載 瀏覽:
上一節我們配置了內網用戶訪問DMZ區域,今天我們來配置一下內網用戶訪問互聯網! ![]() 首先配置好各接口IP地址,并將接口加入到相應的安全區域內 ![]() ![]() 配置Trust用戶訪問互聯網UnTrust1、創建地址池[FW1]nat address-group 1 10.1.1.20 10.1.1.21//配置NAT轉換公網地址池; 2、配置NAT策略[FW1]nat-policy interzone trust untrust outbound [FW1-nat-policy-interzone-trust-untrust-outbound]policy 10 [FW1-nat-policy-interzone-trust-untrust-outbound-10]action source-nat //配置源NAT轉換,也可以配置no-pat模式; [ [ [FW1-policy-interzone-trust-untrust-outbound-20]policy destination any 3、配置源NAT地址轉換[ 4、No-Pat地址轉換[ 5、配置Trust到untrust安全策略并放行[FW1]policy interzone trust untrust outbound [FW1-policy-interzone-trust-untrust-outbound]policy 20 [ [FW1-policy-interzone-trust-untrust-outbound-20]policy service service-set icmp//不配置表示允許所有; [FW1-policy-interzone-trust-untrust-outbound-20]action permit [FW1-policy-interzone-trust-untrust-outbound-20]q [FW1-policy-interzone-trust-untrust-outbound]q [FW1] 注意:按照數據包到防火的轉發流程,先匹配安全策略,策略通過的話,再匹配源NAT。 6、檢測配置![]() 查看NAT策略 [FW1]display nat-policy all [FW1]display nat-policy interzone trust untrust outbound ![]() 這個只有流量通過后,才能有數據; [FW1]display firewall session table ![]() 檢查安全策略 <FW1>display policy all 7、創建防火墻路由[FW1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.11 <FW1>display ip routing-table protocol static ![]() 8、測試內部終端到公網PC![]() ![]() 9、查看會話表<FW1>display firewall session table ![]() 10、查看會話表詳細信息<FW1>display firewall session table verbose ![]() [FW1]display firewall packet-filter default all ![]() |
上一篇: