文档名称文档密级防火墙透明模式下做双向NAT典型配置一、组网需求如下图所示:某市银行通过外联路由器连接国税,地税等外联单位,通过骨干路由器连接银行骨干网
为了保证内网的安全,在外联单位和内网之间部署了一台USG防火墙,通过严格的规则限制内网和外联单位之间的互相访问
具体需求如下:防火墙采用透明模式接入,不影响原有的网络结构和地址规划
G0/0/0连接内网核心交换,TRUST区域,G0/0/1连接外联路由器,UNTRUST区域
业务访问需求:外联单位只能够访问内网的业务前置机的特定端口
内网的业务前置机和某些终端可以访问外联单位的业务主机
对外联单位发布一个业务前置机的虚地址,对内网用户发布一个外联单位业务主机的虚地址
外联单位业务主机只允许固定的某个地址可以访问
为了保证内网安全,不能在内网的核心三层交换机上配置到到外联单位的路由
为了保证路由器性能,外联路由器只做路由转发,通过防火墙做NAT策略
二、IP地址,NAT地址规划:2024-12-28华赛机密,未经许可不得扩散第1页,共6页文档名称文档密级项目数据备注接口编号:G/0/0/0接口编号:G/0/0/1接口加入VLAN10Ip地址;无防火墙透明模式下可以使用额外的接口配置地址进行管理
也可以配置VLAN地址,来进行管理安全区域Trust:GigabitEthernet0/0/0Untrust:GigabitEthernet0/0/1业务前置机真实地址:10
1/24对外发布地址:9
10/24外联国税服务器只允许源地址为9
10的地址访问外联单位服务器(国税)真实地址:9
1/24对内发布地址:10
1/24内部用户通过访问10
1来访问外联单位国税服务器三、配置思路配置USG的工作模式,并将接口加入相应安全区域
