现在还有好多人不知道深信服防火墙端口镜像,接下来我们小编就来分享一下。
深信服防火墙端口镜像
上一篇文章是关于沈心服务路由器的配置,这篇文章是关于沈心防火墙的配置。两篇文章相互关联,拓扑图是同一个。防火墙采用路由方式,特此说明。
1.运营网络的接入端口配置:通过管理端口的默认IP(eth 0):10 . 251 . 251 . 251/24登录设备,在电脑上配置同一网段的任意IP地址,然后通过https登录防火墙;
Eth1配置为WAN口,输入IP地址和下一跳地址,即上层路由器的Lan接口IP;该区域属于:L3 _ untrust _ a;相比华为防火墙,深以为然的是L2区和B区更多,更复杂。
2.配置相应的局域网接入端口。局域网接口必须是L3_trust_A区域。还要配置静态IP,并允许WEB管理和ping。
3.配置默认路由。即使第一步配置中指定了网关,也无法生成默认路由,仍然需要手动配置,否则无法上网;
地址指的是互联网,IP/ mask当然是0.0.0/0。下一跳地址是上一级路由器的局域网接口IP,物理接口是路由器的端口。
4.配置静态路由。这是到LAN的回程路由。由于客户的内部规划问题,不得不写入许多回程路由,并且不能将掩码长度更改为缩写为一条路由。
简单来说,一个不规则的VLAN只能是一个回程路线的VLAN;如果是192 . 168 . 8 . 0/24-192 . 168 . 11 . 0/24 VLAN,那么只能写一条回程路由,192 . 168 . 8 . 0/22;
如果VLAN很多,但是相对跳跃,只要都是192.168开头,而且要写成一个,那么192.168.0.0/16。
如果VLAN策划的不好,那就一个一个写吧。删除、更改或删除也很方便。
5.配置地址转换,即上网的源NAT转换类型:snat来源:当然是局域网的L3 _ Trust _ A;目的地区:自然是L3_untrust_A,目的地址是0 . 0 . 0 . 0/0;服务:任意;;Snat是:出口地址。
6.配置安全策略。如果是路由器,配置好NAT后,就可以上网了。但是,防火墙毕竟更注重安全问题,所以你需要配置相应的安全策略,释放刚才的NAT,才能上网。
源区域、源地址、目的区域、目的地址和服务都与源NAT的相同。在这里,只有多一个行动选项。选择“允许”意味着互联网数据包被释放。
7.配置端口映射和路由器一样,端口映射也是防火墙最基本的配置之一。标准服务端口基本内置,可以直接选择。如果非标准端口需要映射,可以先定制一个服务。源端口为任意端口,目的端口为非标准自定义端口;
在深度防火墙中,没有单独的“端口映射”模块,而是直接放在地址转换模块中。放在哪里,叫什么名字都无所谓,只要功能符合要求就行。
原始包的源区域是L3 _ untrust _ a;源地址:all地址:是防火墙接口IP;服务:刚才定义的服务;
对于转换后的数据包,将目的地址转换为需要映射端口的内部服务器的IP地址,并将端口转换为服务器提供的服务对应的端口号;
注意“后台释放ACL”在释放策略中是默认勾选的,也就是说防火墙会自动释放这个NAT,不需要手动创建安全策略;当然你也可以选择“手动配置ACL”,所以你得在“应用控制策略”中手动配置相应的安全策略。
我确信深度防火墙的基本配置大概就是这样。其他功能,以后有机会再写文章。
关于深信服防火墙端口镜像的内容到此结束,希望对大家有所帮助。安防网往后会继续推荐深信服防火墙端口镜像相关内容。
