SANGFOR_AC_v11.0_2016年度渠道初级认证培训04_防火墙

防火墙功能培训,防火墙基本功能介绍,NAT代理上网,深信服公司简介,SANGFORAC&SG,端口映射,防火墙基本功能介绍,防火墙基本功能介绍,HTTP,HTTPS,防火墙规则,防火墙规则是控制设备各个网口转发数据的开关。这里设置的规则可基于IP和端口进行数据包的转发控制，和传统的四层防火墙相似。,防火墙过滤规则,配置思路：,NAT代理上网,代理上网基本功能介绍,IP1,IP4,SNAT,NAT代理上网功能即SNAT，用来设置对数据包源IP地址进行转换的规则。一般在公网出口的设备做SNAT，来实现把私有地址转换成公网地址。,代理上网典型应用案例及配置,某客户新建一个工厂，需要规划网络和建设机房，购买了一台SANGFORAC设备部署在公网出口，代理内网上网，同时做上网控制。工厂内部上网的电脑全都在/24网段，服务器都在/24网段。,客户案例：,代理上网典型应用案例及配置,1.在本案例中，必须配置路由模式。（路由配置本PPT不做详细说明）2.由于AC和内网跨三层网段，需在三层交换机上配置缺省路由指向AC设备的LAN口，AC设备同样需配置到内网网段的回指路由，下一跳指向三层交换机。（回指路由配置此PPT不做详细说明）3.AC设备上配置代理上网规则，代理/24和/24这两个网段上网。如下图所示。,配置思路：,代理上网典型应用案例及配置,端口映射,端口映射基本功能介绍,IP2,IP4,DNAT,端口映射即DNAT，用来设置对数据包目标IP地址进行转换的规则。常用来实现客户内网有服务器需要发布到公网，或者内网用户需要通过公网地址访问内部服务器的需求。,IP4,IP2,端口映射典型应用案例及配置,客户案例：,该客户已经通过配置实现了AC代理内网用户和服务器上公网。内网有一台OA服务器，地址是50，使用的服务端口是TCP80。客户希望将此OA服务器发布到公网，外网和工厂内网的用户均通过5:8000的方式访问到服务器。,端口映射典型应用案例及配置,1.设置端口映射规则，即把目标IP为5,且目标端口为TCP8000的数据转换目标IP为50，目标端口为TCP80。,配置思路：,3.勾选发布服务器，允许内网用户以外网IP访问内网服务器。,2.勾选防火墙自动放行数据。,端口映射典型应用案例及配置,端口映射应用案例配置步骤：,服务器在AC的LAN口下，转换源IP就选择LAN1口地址。启用此选项，是为了实现内网用户通过访问wan口地址也能访问到内网服务器，如果无此需求，可以不启用,端口映射典型应用案例及配置,端口映射规则设置注意事项：,1.在配置端口映射规则时，建议勾选“防火墙自动放行数据”。如果这个选项不勾选，那么也必须通过手动配置放通防火墙规则，否则端口映射会不成功。,2.只有当内网用户也需要用公网地址访问内部服务器时，才需要勾选“发布服务器”。若不勾选，仅允许公网用户通过公网地址访问到内网服务器。,动动手,某客户网络拓扑如右图所示，客户内网有台邮件服务器，申请的域名是，该域名绑定了WAN口的两个公网IP地址。请配置实现公网和内网用户均可通过这个域名