Hillstone SG-6000防火墙公网IP及端口映射操作步骤
前提条件:外网防火墙已进行了基础设置,能正常工作。
下面分别就公网IP到内网IP的NAT转换、公网IP+端口到内网IP+端口NAT转换操作过程进行讲解,希望可以帮助到有需要的朋友。
一. 公网IP到内网IP的NAT转换
通过浏览器,以WEB的方式,访问Hillstone 管理页面。
1 新建安全策略
-
点击策略==》安全策略==》新建
-
填写有意义的名称,在设置NAT时需要。
-
在源信息区域:
安全域:untrust
地址:any
用户:保持为空。
- 目的区域:
安全域:trust
地址:点击下拉列表框,选择IP/掩码,输入公网IP及32位掩码。
服务:any
应用:保持为空
- 操作:选择为允许,点击确认。
2. 设置目的NAT
NAT选择策略==》NAT==》目的NAT
在目的NAT配置表中,最重要的两个栏目要填写正确。
- 目的地址:公网IP地址。
- 将地址转换为:选择IP/掩码,输入正确的内网IP地址。
- 动作:选择转换,点击确认。
这里再强调一下:仅涉及公网IP和服务器IP的地址一对一转换时,“策略配置”中的目的服务和“目的NAT配置”中的源地址都选any。
二. 公网IP+端口到内网IP+端口NAT转换
公网IP相对稀缺,人们往往通过公网IP+端口号的形式,通过NAT转换映射到内网的IP及端口。
譬如通过公网IP,端口号是5122,通过SSH来访问内网的服务器(内网地址是:10.31.100.113:22),步骤如下:
1. 新建服务簿
- 对象==》服务簿==》服务名称
- 点击新建
- 填写服务名称tcp5122,规则描述中点击新建,类型选择TCP,目的端口:最小=5122,然后点击确定。
2. 添加安全策略
- 点击策略==》安全策略==》新建。
- 进行策略配置
- 填写一个有意义的名字,目的地址栏填写正确的公网IP,服务栏目是上面新建的服务名称,操作选择允许,按确定保存。
3. 新建目的NAT
- 点击策略==》NAT==》目的NAT。
- 新建==》高级配置
- 目的地址栏选择IP/掩码,输入公网IP,服务栏选择在服务薄中定义的服务名称。将地址转换为内网的IP,将服务端口转换为22并启用,点击确认完成。
三. 一个公网IP映射给多个内部服务器IP,但不做端口转换
1. 新建服务,一般是连续的一段端口号
2. 添加安全策略。
3. 针对每台内网服务器,配置一个目的NAT
公网IP的端口和内网IP的端口是相同的。
以上就是通过WEB方式进行防火墙公网IP及端口映射操作步骤。
2021-12-10