安全策略配置

Web方式：外网用户通过外网地址访问内网服务器典型配置（策略NAT）

使用版本

本举例是在F5000-AI-55-G的E9900版本上进行配置和验证的。

组网需求

如下图所示，公司内部部署了四台服务器，分别对外提供Web、FTP和SMTP服务。公司内部网络为10.110.10.0/24，并拥有202.38.1.1、202.38.1.2和202.38.1.3三个公网IP地址。选用202.38.1.1作为公司对外提供服务的IP地址，其中Web服务器1对外采用80端口，Web服务器2对外采用8080端口，FTP服务器对外采用21端口，SMTP服务器对外采用25端口。通过配置策略NAT目的地址转换功能，外网主机可以利用公网地址访问公司内部的服务器。

图-1 外网用户通过外网地址访问内网服务器配置组网图

注意事项

本特性不支持与接口NAT特性混用。

配置步骤

Device配置

1. 配置接口的IP地址和安全域

   # 选择“网络 > 接口与VRF > 接口”，进入接口配置页面。

   # 单击接口GE1/0/2右侧的<编辑>按钮，配置如下。

   • 安全域：Untrust

   • 选择“IPv4地址”页签，配置IP地址/掩码：202.38.1.1/24

   • 其他配置项使用缺省值

   # 单击<确定>按钮，完成接口IP地址和安全域的配置。

   # 按照同样的步骤配置接口GE1/0/1，配置如下。

   • 安全域：Trust

   • 选择“IPv4地址”页签，配置IP地址/掩码：10.110.10.10/24

   • 其他配置项使用缺省值

   # 单击<确定>按钮，完成接口IP地址和安全域的配置。

2. 配置安全策略

   # 选择“策略 > 安全策略 > 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

   # 新建安全策略，并进行如下配置：

   • 名称：Secpolicy

   • 源安全域：Untrust

   • 目的安全域：Trust

   • 类型：IPv4

   • 动作：允许

   • 目的IPv4地址：10.110.10.1、10.110.10.2、10.110.10.3、10.110.10.4

   • 其他配置项使用缺省值

   # 单击<确定>按钮，完成安全策略的配置。

3. 配置策略NAT规则（以Web Server 1为例）

   # 选择“策略 > 策略NAT”，进入策略NAT配置界面。

   # 单击<新建目的地址转换>按钮，新建策略NAT规则，选择规则类型为NAT44，参数配置如下图所示。

   图-2 新建策略NAT规则

   

   

   # 单击<确定>按钮，完成策略NAT规则配置。

验证配置

Host主机可以经由地址202.38.1.1访问内部网络的Web服务器。

命令行

web界面里这个功能叫NAT服务器，但是大部分都没有，需要用命令行敲

不过下面这种可以用web界面来做，效果一样