eNSP之防火墙简单实验(三) — 内外网访问FTP
实验拓扑
实验步骤
1、配置基础信息
配置所有IP信息
防火墙的G0/0/0上配置:service-type all permit
2、配置防火墙区域
3、配置Easy IP,使Client1通过地址转换ping通Client2
1)配置安全策略
命令配置
[FW]security-policy
rule name out
source-zone trust
destination-zone untrust
action permit
web界面配置
2)配置Easy IP
命令配置
[FW]nat-policy
rule name in-to-out
source-zone trust
destination-zone untrust
action source-nat easy-ip
web界面配置
3)ping测试
4、配置服务器发布使Client2可以访问FTP服务器
1)配置安全策略
命令配置
[FW]security-policy
rule name out-to-in
source-zone untrust
destination-zone trust
action permit
web界面配置
2)配置服务器映射
3)Client2访问FTP服务
5、配置服务器发布使Client1能够通过公网地址访问FTP服务
针对该需求,通常都是内部通过NAT访问外部,或是,外部用户访问内部服务器,而现在要求内部用户使用公网地址访问内部的服务器。所以在设置服务器映射时,要明确源区域与目的区域,该需求源和目的都是Trust。
1)配置NAT策略
命令配置方式
[FW]nat-policy
rule name in-to-ftp
source-zone trust
destination-zone trust
action source-nat easy-ip
web界面配置方式
2)配置服务器映射
命令配置方式
[FW]nat server in-to-ftp zone trust protocol tcp global 200.1.1.10 ftp inside 192.168.1.10 ftp no-reverse
WEB界面配置方式
3)访问测试
第一个数据包由主机192.168.1.1发给200.1.1.10,当防火墙收到该数据包后,识别出目的地址为200.1.1.10,此时防火墙进行地址转换后,发现200.1.1.10映射到内部的地址为192.168.1.10,于是根据路由表将该数据包从192.168.1.254的接口转发给FTP服务器等待响应。
因为使用的时Easy IP,数据报文中会存在一个随机端口号,用于识别是哪一台主机发送的数据。
FTP收到该数据包后,根据源地址又将响应信息转发给防火墙,防火墙收到该相应报文后根据端口号将响应消息以源地址为200.1.1.10发送给主机,这样便完成了数据的一次请求与响应。
另外,某些客户会有外网用户和内网用户可以通过公网地址+端口以SSH或者Telnet的远程方式登录防火墙,此时需要在防火墙指定一个回环地址专门作为SSH或者Telnet的登录地址,回环地址默认属于local区域,所以在创建相应安全策略是目的区域要选择local:
然后配置NAT服务映射,映射到内网的Loopback接口地址上: