1、配置需求或说明

1.1 适用的产品系列 本案例适用于软件平台为 Comware V7 系列防火墙:F100-X-G2、F1000-X-G2、 F100-WiNet、F1000-AK、F10X0 等 注:本案例是在 F100-C-G2 的 Version 7.1.064, Release 9510P08 版本上进行配置和验证的。

1.2 配置需求及实现的效果 防火墙部署在互联网出口,内网有一台 OA 服务器 192.168.1.88 通过防火墙发布了 8081 端口到外网,内网用户使用192.168.1.88 加端口号8081 可以正常访问服务器, 目前需要实现外用用户通过公网地址 202.1.1.100 加端口号 8081 访问 OA 服务器

2、组网图

3、配置步骤

3.1 配置内部服务器映射(端口映射)

#在外网口 GigabitEthernet1/0/1 上配置内部服务器映射:允许外网用户通过公网地址 202.1.1.100、端口 8081 访问内部服务器 192.168.1.88 的 8081 端口;

< H3C > system-view //进入系统视图;

[H3C] interface GigabitEthernet1/0/1 //进入 1 号接口

[H3C-GigabitEthernet1/0/1]ip address 202.1.1.100 255.255.255.248 //配置地址和掩码

[H3C-GigabitEthernet1/0/1]nat server protocol tcp global 202.1.1.100 8081 inside 192.168.1.88 8081 //配置 nat 映射, 将公网地址 202.1.1.100、协议 tcp、端口8081,映射到内部服务器 192.168.1.88 的 8081 端口

[H3C-GigabitEthernet1/0/1] quit //退出当前视图

3.2 安全策略配置 防火墙目前版本存在两套安全策略,请在放通安全策略前确认设备运行那种类型的安全策略?以下配置任选其一。

1、通过命令“display cu | in security-policy”如果查到命令行存在“security-policy disable”或者没有查到任何信息,则使用下面策略配置。

#创建地址对象组,地址对象组名称为 OA 服务器

[H3C]object-group ip address OA 服务器 //创建地址对象组,地址对象组名称为 OA 服务器

[H3C-obj-grp-ip-OA 服务器]network host address 192.168.1.88 //添加主机地址

[H3C-obj-grp-ip-OA 服务器]quit

#创建服务对象组,服务对象组名称为 8081 端口,目的端口 8081

[H3C]object-group service 8081 端口 //创建服务对象组,服务对象组名称为 8081 端口

[H3C-obj-grp-service-8081 端口]service tcp destination eq 8081 //添加基于 tcp 的目的端口 8081

[H3C-obj-grp-service-8081 端口]quit //退出当前视图

#创建 IPv4 对象策略,策略名称为 0A 服务器

[H3C]object-policy ip OA 服务器 //创建 IPv4 对象策略,策略名称为 0A 服务器

[H3C-object-policy-ip-OA 服务器]rule 0 pass destination-ip 0A 服务器 service 8081 端口 //添加规则 0,允许访问目的对象为” 0A 服务器”的” 8081 端口”

#创建安全策略,源安全域为 Untrust 目的安全域为 Trust,放通外网访问 OA 服务器的 8081 端口

[H3C]zone-pair security source Untrust destination Trust //创建安全策略,源安全域为 Untrust 目的安全域为 Trust

[H3C-zone-pair-security-Untrust-Trust]object-policy apply ip OA 服务器 //调用对象组” OA 服务器”,用于放通外网访问 OA 服务器的 8081 端口

[H3C-zone-pair-security-Untrust-Trust]quit //退出当前视图

2、通过命令“display cu | in security-policy”如果查到命令行存在“security-policy ip”并且没有查到“security-policy disable”,则使用下面策略配置。

#创建安全策略并放通源安全域为 Untrust 目的安全域为 Trust,放通外网访问 OA 服务器的 8081 端口策略;

#创建地址对象组,地址对象组名称为 OA 服务器

[H3C]object-group ip address OA 服务器 //创建地址对象组名称为 OA 服务器

[H3C-obj-grp-ip-OA 服务器]network host address 192.168.1.88 //添加服务器主机地址

[H3C-obj-grp-ip-OA 服务器]quit //退出 #创建服务对象组,服务对象组名称为 8081 端口,目的端口 8081

[H3C]object-group service 8081 端口 //创建服务对象组,服务对象组名称为 8081 端口

[H3C-obj-grp-service-8081 端口]service tcp destination eq 8081 //添加允许访问目的对象为” 0A 服务器”的” 8081 端口”

[H3C-obj-grp-service-8081 端口]quit //退出

#创建安全策略并放通 local 到 trust 和 trust 到 local 的安全策略。

[H3C]security-policy ip //创建 ipv4 安全策略

[H3C-security-policy-ip]rule 10 name test //创建规则 10 命名 test

[H3C-security-policy-ip-10-test]action pass //设置动作为允许

[H3C-security-policy-ip-10-test]source-zone Untrust //添加源安全域 Untrust

[H3C-security-policy-ip-10-test]destination-zone Trust // 添加目的安全域 Trust

[H3C-security-policy-ip-10-test]destination-ip OA 服务器 //添加目的地址组” OA 服务器”

[H3C-security-policy-ip-10-test]service 8081 端口 //添加服务对象组” 8081 端口”

[H3C-security-policy-ip-10-test]quit //退出

4、保存配置 [H3C]save force

Copyright © https://yan-jian.com 2023 all right reserved更新时间: 2024-01-05 09:05:16

results matching ""

    No results matching ""