一文讀懂網路防火牆基本設定

防火牆如何設定

介紹如何配置SNAT規則。SNAT規則能夠使內網使用者訪問網際網路

如下圖所示，透過SNAT轉換後，多個內網使用者可以同時使用221。224。30。131/20公網地址訪問Internet

配置介面

1。配置連線內網使用者的介面。

選擇“網路 > 介面”，雙擊ethernet0/1介面。

繫結安全域：三層安全域

安全域：trust

型別：靜態IP

IP地址：192。168。1。1

網路掩碼：24

2。配置連線Internet的介面。

選擇“網路 > 介面”，雙擊ethernet0/3介面。

繫結安全域：三層安全域

安全域：untrust

型別：靜態IP

IP地址：221。224。30。131

網路掩碼：20

配置安全策略

配置允許內網使用者訪問Internet的安全策略。

選擇“策略 > 安全策略”，點選“新增”。

名稱：trust_untrust

源資訊

安全域：trust

地址：Any

目的資訊

安全域：untrust

地址：Any

其他資訊

行為：允許

配置地址簿

配置內網使用者的地址範圍。

選擇“物件 > 地址簿”，點選“新建”。

名稱：snat_IP

成員 ： 選擇“IP/掩碼”，文字框依次輸入

“192。168。1。0” 、“24” ，並點選“新增”按鈕

配置源NAT規則

選擇“策略 > NAT > 源NAT”，點選“新建”。

當IP地址符合以下條件時：

源地址：“地址條目”、“snat_IP”

（說明：配置為內網使用者的地址。）

將地址轉換為：

轉換為：“指定IP”

地址：“IP地址”、“221。224。30。130”

（說明：配置為公網地址。）

模式：“動態埠（多對一轉換）”

（可選）點選<更多配置>標籤頁。

選中“啟用”複選框開啟該源NAT規則的日誌功能。

配置預設路由

選擇“網路 > 路由 > 目的路由”，並點選“新建”。

目的地：0。0。0。0

子網掩碼：0

下一跳：閘道器

閘道器：221。224。30。130

驗證網路是否互通

完成以上配置步驟後，內網使用者透過ping外網中的地址

221。224。30。131，可ping通，說明內網使用者可以訪問Internet。

驗證源NAT規則是否生效

點選“監控 > 日誌 > 日誌管理”，選擇標籤

頁，選中“啟用”複選框開啟NAT日誌功能。

然後點選“監控> 日誌 > NAT日誌資訊”。

透過檢視NAT日誌，可以看到源IP地址192。168。1。2已轉換

為221。224。30。130。