学习目标
·了解DMZ区域的作用
·理解DNAT的原理
·掌握DNAT的配置方法
任务引言
在当前的网络结构中,设置外网对内网的安全访问已不可避免,特别是外网访问内网的各种服务,如DNS、WWW、E-mail等。
知识引入
目的地址转换(Destination Network Address Translation,DNAT)是在用外网IP地址访问内网服务时,将外网IP地址转换为指定的内网IP地址。这既能使外网正常访问内网服务,又能保护内网结构安全。
工作任务——DNAT配置
【工作任务背景】
企业A总公司在防火墙的DMZ区域放置服务器,提供Web、E-mail、DNS等服务。为了使外网能正常并安全地访问这些服务,需要在防火墙上做目的地址转换配置。拓扑如图5-3-1所示。
图5-3-1 公司网络DNAT配置
【工作任务分析】
PC1和PC2分别模拟总公司内部客户端和Internet客户端,Server1和Server2分别模拟总公司内部服务器和Internet服务器。当配置成功后,PC2能通过公共网络访问总公司DMZ区域的服务器资源。参数要求见表5-3-1和表5-3-2。
表5-3-1 网络设备信息
续表
表5-3-2 PC信息
【任务实现】
1.根据所学知识,完成拓扑中网络设备的主机名、网络地址的设定。
3.初始化在Server1上的Web和DNS服务。
(1)在Server1上打开网络连接控制面板,修改主机的IP地址和DNS服务器地址,如图5-3-2所示。
图5-3-2 Server1网络设置
(2)打开Server1服务区管理器仪表盘,单击右上角的“管理”菜单,选择“添加角色和功能”,如图5-3-3所示。
图5-3-3 服务器管理器仪表盘
(3)根据提示单击“下一步”按钮,在“选择服务器角色”面板中选择“DNS服务器”和“Web服务器”进行安装,如图5-3-4所示。
(4)安装成功后,使用指令“dnsmgmt.msc”打开“DNS管理器”页面,右击“正向查找区域”,选择“新建区域”,如图5-3-5所示。
(www.xing528.com)
图5-3-4 安装DNS和W eb服务
图5-3-5 新建DNS正向区域
(5)选择“主要区域”,单击“下一步”按钮,如图5-3-6所示。在区域名称中输入“example.com”,如图5-3-7所示。单击“下一步”按钮,单击“完成”按钮。
图5-3-6 创建主要区域
图5-3-7 创建examp le.com解析区域
(6)创建好正向区域后,单击“example.com”正向解析文件,在空白处右击,选择“新建主机(A或AAAA)”,如图5-3-8所示。新建主机解析A记录,输入名称为“www”,解析的地址为“100.1.1.2”,如图5-3-9所示。
图5-3-8 创建A记录
图5-3-9 指定解析明细
4.在Edgefw上部署DNAT。
5.在Edgefw上放行Internet端访问DMZ服务器上的DNS和HTTP流量。
6.在PC2上进行域名解析和Web访问测试,如图5-3-10和图5-3-11所示。
图5-3-10 PC2域名解析测试
图5-3-11 PC2W eb访问测试
7.在Edgefw上查看NAT转换状态。
问题探究
1.简述DNAT的应用。
2.简述防火墙ACL的放行规则。
知识拓展
防火墙安全级别:默认情况下,同一个安全级别的接口不能相互通信,并且数据包无法进入和退出同一接口。
inter-interface:同一安全等级的接口之间可以通信。
intra-interface:启用连接同一接口的主机之间的通信。
项目拓展
在企业A总公司的Server1服务器上部署FTP服务,利用目的地址转换实现公共网络对服务的安全访问。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
