NAT配置举例

本节提供一个NAT配置实例。

公司通过Hillstone安全网关设备将网络划分为三个域：Trust域、DMZ域和Untrust域。员工工作网段处于Trust域，分配私网地址10.1.1.0/24，并且具有最高安全级别；WWW服务器和FTP服务器处于DMZ域，分配私网地址10.1.2.0/24，并且能够被内部员工和外部用户访问；外部网络处于Untrust域。

组网图如下：

现有以下两个需求：

需求1：要求公司Trust域的10.1.1.0/24网段用户可以访问Internet，而该域其它网段的PC机不能访问Internet。提供的访问外部网络的合法IP地址范围从202.1.1.3到202.1.1.5。由于公网地址不多，需要使用NAT功能进行地址复用。

需求2：提供两个内部服务器供外部网络用户访问，其中，FTP服务器的内部IP地址为10.1.2.2，端口为21，WWW服务器的内部IP地址为10.1.2.3，端口为80；对外映射的IP地址为202.1.1.6。

请按照以下步骤进行配置：

第一步：将安全网关各接口分配安全域并配置IP地址。

1. 从页面左侧导航树选择并点击“配置网络网络连接”，进入网络连接页面。
2. 选中接口列表中“ethernet0/1”对应的复选框，点击接口列表左上方的『编辑』按钮，系统弹出<接口配置>对话框。具体配置信息如下：
• 绑定安全域：三层安全域
• 安全域：从下拉菜单中选中“trust”
• 类型：静态IP
• IP地址：10.1.1.1
• 网络掩码：24
  

3. 点击『确定』按钮保存所做配置并返回网络连接页面。
4. 选中接口列表中“ethernet0/2”对应的复选框，点击接口列表左上方的『编辑』按钮，系统弹出<接口配置>对话框。具体配置信息如下：
• 绑定安全域：三层安全域
• 安全域：从下拉菜单中选中“untrust”
• 类型：静态IP
• IP地址：202.1.1.2
• 网络掩码：29
  

5. 点击『确定』按钮保存所做配置并返回网络连接页面。
6. 选中接口列表中“ethernet0/3”对应的复选框，点击接口列表左上方的『编辑』按钮，系统弹出<接口配置>对话框。具体配置信息如下：
• 绑定安全域：三层安全域
• 安全域：从下拉菜单中选中“dmz”
• 类型：静态IP
• IP地址：10.1.2.1
• 网络掩码：24
  

7. 点击『确定』按钮保存所做配置并返回网络连接页面。

第二步：配置地址条目。

1. 从工具栏的<对象用户>下拉菜单选择『地址簿』，弹出<地址簿>对话框。
2. 点击『新建』按钮，弹出<配置地址簿>对话框。具体配置信息如下：
• 名称：addr1
• 成员：分别选中并输入“IP/掩码”、“10.1.1.1”、“24”，点击『添加』按钮

3. 点击『确定』按钮并返回<地址簿>对话框。
4. 使用同样步骤创建地址条目“addr2”，成员为“IP范围”“202.1.1.3 - 202.1.1.5”。
5. 使用同样步骤创建地址条目“test1”，成员为“IP/掩码”“202.1.1.6”“32”。
6. 使用同样步骤创建地址条目“test2”，成员为“IP/掩码”“10.1.2.2”“32”。
7. 使用同样步骤创建地址条目“test3”，成员为“IP/掩码”“10.1.2.3”“32”。

第三步：配置安全策略规则。

1. 从页面左侧导航树选择并点击“配置安全策略”，进入策略页面。
2. 点击策略列表左上方的『新建』按钮，弹出<策略配置>对话框，显示策略基本配置选项。具体配置信息如下：
• 源安全域：trust
• 目的安全域：untrust
• 源地址：addr1
• 目的地址：Any
• 服务簿：Any
• 行为：允许

3. 点击『确定』按钮保存所做配置并返回策略页面。系统生成ID为1的策略规则。
4. 点击策略列表左上方的『新建』按钮，弹出<策略配置>对话框。具体配置信息如下：
• 源安全域：trust
• 目的安全域：dmz
• 源地址：Any
• 目的地址：Any
• 服务簿：Any
• 行为：允许

5. 点击『确定』按钮保存所做配置并返回策略页面。系统生成ID为2的策略规则。
6. 点击策略列表左上方的『新建』按钮，弹出<策略配置>对话框。具体配置信息如下：
• 源安全域：untrust
• 目的安全域：dmz
• 源地址：Any
• 目的地址：Any
• 服务簿：HTTP
• 行为：允许

7. 点击『确定』按钮保存所做配置并返回策略页面。系统生成ID为3的策略规则。
8. 点击策略列表左上方的『新建』按钮，弹出<策略配置>对话框。具体配置信息如下：
• 源安全域：untrust
• 目的安全域：dmz
• 源地址：Any
• 目的地址：Any
• 服务簿：FTP
• 行为：允许

7. 点击『确定』按钮保存所做配置并返回策略页面。系统生成ID为4的策略规则。

第四步：配置NAT规则。

1. 从页面左侧导航树选择并点击“配置网络NAT”，进入源NAT页面。
2. 点击源NAT列表中的『新建』按钮，弹出<新建源NAT>对话框。具体配置信息如下：
• 虚拟路由器：trust-vr
• 源地址：依次选择“地址簿”、“addr1”
• 目的地址：依次选择“地址簿”、“Any”
• 出流量：依次选择“出接口”、“ehternet0/2”
• 转换为：指定IP
• 地址：依次选择“地址簿”、“addr2”
• 指定IP高级配置：在 弹出的<指定IP高级配置>对话框中选择“动态端口”单选按钮，并选中Sticky后的<启用>复选框，然后点击『确定』按钮

3. 点击『确定』按钮保存所做配置。系统生成ID为1的源NAT规则并返回源NAT列表页面。
4. 点击『目的NAT』标签，进入目的NAT页面。
5. 点击目的NAT列表中的『新建』按钮并在弹出的下拉菜单中选择『端口映射』，弹出<新建端口映射>对话框。具体配置信息如下：
• 虚拟路由器：trust-vr
• 目的地址：依次选择“地址簿”、“test1”
• 服务：FTP
• 映射到地址：依次选择“地址簿”、“test2”
• 转换到端口：21

6. 点击『确定』按钮保存所做配置。系统生成ID为2的目的NAT规则并返回目的NAT列表页面。
7. 点击目的NAT列表中的『新建』按钮并在弹出的下拉菜单中选择『端口映射』，弹出<新建端口映射>对话框。具体配置信息如下：
• 虚拟路由器：trust-vr
• 目的地址：依次选择“地址簿”、“test1”
• 服务：HTTP
• 映射到地址：依次选择“地址簿”、“test3”
• 转换到端口：80

8. 点击『确定』按钮保存所做配置。系统生成ID为8的目的NAT规则并返回目的NAT列表页面。