2024年10月15日 星期二
通知

SANGFOR AF 6.3设置设备作为网关(路由模式)

以下教程的作用就是:在防火墙上设置公网IP映射到内网服务器IP上,域名解析到外网IP,通过NAT转换到内网IP服务器上,达到访问效果。

防火墙作为网络出口,需配置路由模式,保证内网正常运行,一般用作初始化安装

1.物理接口
1)将接口类型配置成路由接口
2)根据输入的外网线路选择对应的物理接口配置外网接口
2.区域管理
1)根据安全级别不同将已配置好的接口划分到不同的区域
3.IP组管理
1)根据安全要求不同将内网地址划分成不同IP组,也可配置相应的安全策略
4.静态路由
1)保证设备可以正常通信
5.地址转换
1)新建源地址转换,源地址可以为外网口地址,保证内网用户可以访问网络
2)新建目的地址转换,保证内网服务器可以被外网访问

第一步-登录

以HTTPS打开深信服防火墙界面,进行登录
2018031608010657.png

第二步-设置WAN口和LAN

进入主界面,点击左侧导航菜单第二个网络配置接口/区域 —- 物理接口
2018031608010781.png

看到4个网口物理名称,eth0这个物理端口是管理端口我们不需要动它。点击eth1进行编辑物理端口,并设置为WAN口且为静态IP,按照如下实际情况进行编辑,最后点击启用

WAN口设置完毕,启用后网口状态为绿色的。
2018031608010850.png

进入主界面,点击左侧导航菜单第二个网络配置接口/区域 —- 区域 –设置WAN和LAN的区域
2018031608011147.png2018031608011627.png

下面点击eth2进行编辑并设置为LAN口,按照如下图进行设置,然后确定。
2018031608011064.png

说下我为什么没用DHCP连接类型,我这个防火墙是用在WEB防护的,所有的服务器ip都是静态的,如果弄成动态的IP,就没法做NAT了。
第三步-设置下一跳

点击左侧导航菜单第二个网络配置接口/区域 —- 路由 —- IPv4 —- 新增 —- 单个静态路由
2018031608011295.png

填写完点击保存,状态显示为有效。

第四步-设置IP范围和Web放行的端口

点击左侧导航菜单第五个对象定义 — IP组 —- 新增 —- 新增IPv4 IP如图根据实际情况填写即可,然后点击保存
2018031608011226.png

点击左侧导航菜单第五个对象定义新增 —- 内网服务器 —- 添加服务器 如图所示
2018031608011374.png

然后点击提交即可

第五步 — 防火墙设置地址转换

点击左侧导航菜单第七个地址转换 — IPv4地址转换 — 新增 — 添加源地址地址转换也就是端口之间的转换,如图所示
2018031608011321.png

下面就是外网IP与内网IP地址协议的转换,访问外网IP时通过NAT协议转换到内网服务器IP上,多个内网服务器的时候在这里添加多个目的地地址转换
2018031608011457.png
2018031608011539.png

最后做个应用控制策略放行就可以了,不然默认是上不网的。

源:

IP组/用户:IP组>全部,

区域:非信任区【内网端口】,

端口:全部,

目的:

IP组>全部,

区域>信任区【外网端口】,

服务/应用:

服务/应用:服务>any,

生效时间>全天,

动作>允许。

到这里设置基本OK了,如果教程有什么不对的,请给予及时反馈,我将及时修改。
下来就剩下安全方面设置了

原创文章,转载请注明: 转载自荣耀博客
本文链接地址: SANGFOR AF 6.3设置设备作为网关(路由模式)

关于 荣耀博客

好记性,不如烂笔头。

发表回复