公开公司内部服务器(PAT)

本事例为:使用RTX系列产品安全地使用互联网。同时将安装于自己公司网络内部的服务器公开到互联网。RTX1200上配有三个以太网接口。这种网络结构用一台设备就可以构建WAN、LAN、DMZ三种环境。

公开自己公司的服务器时的结构图图(RTX1100时)

高速互联网访问功能

为了应对FTTH(光纤)等持续高速化的宽带环境,配备了高速数据包处理技术的“快速路径”。实现了高速吞吐量(※)。由于能够高效处理数据包,从而能够充分地运用带宽。

(※) SmartBits方式的本公司测量值(双向)

策略过滤方式的防火墙

配备了公认的雅马哈路由器的策略过滤方式的防火墙。 使用非法访问检测功能,从41种分类中监测通过网络的数据包,如IP头、IP选项、ICMP、UDP、TCP、FTP以及SMTP等。 发现非法的访问尝试后,防止侵入或者数据的泄漏、篡改于未然。 而且,还能够根据设置抛弃数据包,确保更高的安全性。

配备独立的3个以太网接口

RTX1200中能够分别独立设置多个以太网接口,因此能够同时运用WAN在内的互联网、LAN以及DMZ。 能够通过防火墙功能保护LAN网段,同时在DMZ网段公开服务器。

■RTX系列的设置例

能够只导出下述的设置部分。

ConfigDownload

LAN的
接口的设置
(使用LAN1端口)
ip lan1 address 192.168.0.1/24
DMZ的
接口的设置
(使用LAN3端口)
ip lan3 address 192.168.10.1/24
WAN的
接口的设置
(使用LAN2端口)
ip lan2 address (ISP提供的IP地址)
ip lan2 nat descriptor 1
ip route default gateway (ISP提供的网关地址)
ip lan2 intrusion detection in on #注释1
NAT的设置 nat descriptor type 1 masquerade
nat descriptor address outer 1 (ISP提供的IP地址)
nat descriptor masquerade static 1 1 192.168.10.2 tcp www # 注释2
nat descriptor masquerade static 1 2 192.168.10.3 tcp 21 # 注释3
DHCP的设置 dhcp service server
dhcp scope 1 192.168.0.2-192.168.0.100/24
dhcp server rfc2131 compliant except remain-silent
DNS的设置 dns server (ISP所指定的DNS服务器的IP地址)
dns private address spoof on
Inbound过滤的设置 ip filter source-route on
ip filter directed-broadcast on
ip inbound filter 1001 reject-nolog * * tcp,udp * 135
ip inbound filter 1002 reject-nolog * * tcp,udp 135 *
ip inbound filter 1003 reject-nolog * * tcp,udp * netbios_ns-netbios_ssn
ip inbound filter 1004 reject-nolog * * tcp,udp netbios_ns-netbios_ssn *
ip inbound filter 1005 reject-nolog * * tcp,udp * 445
ip inbound filter 1006 reject-nolog * * tcp,udp 445 *
ip inbound filter 1007 reject-nolog 192.168.0.0/24 * * * *
ip inbound filter 1008 pass-nolog * * * * *
ip lan2 inbound filter list 1001 1002 1003 1004 1005 1006 1007 1008
策略过滤的设置 ip policy interface group 101 name=Private local lan1
ip policy address group 101 name=Private 192.168.0.0/24
ip policy address group 102 name=Any *
ip policy service group 101 name="Open Services"
ip policy service group 102 name=General dns
ip policy service group 103 name=Mail pop3 smtp
ip policy service group 104 name=IPsec ike esp
ip policy filter 1 reject-nolog lan3 * * * *
ip policy filter 2 pass-nolog * lan3 * 192.168.10.2 www
ip policy filter 3 pass-nolog * lan3 * 192.168.10.2-192.168.10.3 telnet #注释4
ip policy filter 4 static-pass-nolog * lan3 * * *
ip policy filter 5 pass-nolog * lan3 * * *
ip policy filter 6 pass-nolog * * * 192.168.10.3 ftp
ip policy filter 7 static-pass-nolog * local * * *
ip policy filter 1100 reject-nolog lan1 * * * *
ip policy filter 1110 pass-nolog * * * * 102
ip policy filter 1122 static-pass-nolog * lan1 * * *
ip policy filter 1123 static-pass-nolog * local * * *
ip policy filter 1130 pass-nolog * tunnel* * * *
ip policy filter 2300 reject-nolog tunnel* * * * *
ip policy filter 2330 pass-nolog * tunnel* * * *
ip policy filter 2340 pass-nolog * local * * *
ip policy filter 2350 pass-nolog * lan1 * * *
ip policy filter 2360 reject-nolog * lan2 * * *
ip policy filter 2400 pass-nolog local * * * *
ip policy filter 2410 static-pass-nolog * lan1 * * *
ip policy filter 2430 static-pass-nolog * lan2 * * 104
ip policy filter 2600 pass-nolog * lan2 * * *
ip policy filter 2650 reject-nolog lan2 * * * *
ip policy filter 2660 static-pass-nolog * local * * 104
ip policy filter 2670 pass-log * lan1 * * 101
ip policy filter 3000 reject-nolog * * * * *
ip policy filter set 101 name="Internet Access" 1100 [1110 1123 1122 2600 3 1130] 2650 [2670 2 6 2660] 1 [7] 2300 [2340 2350 2360 5 2330] 2400 [2410 2430 4] 3000
ip policy filter set enable 101
[注释的说明]

注释1:
WAN的接口中启用非法访问检测功能。检测的结果能够用show ip intrustion detection命令进行确认。

注释2:
由于NAT的影响,外部无法直接访问内部服务器,因此需要做端口映射以访问WWW服务器。

注释3:
与注释2相同,做端口映射以访问FTP服务器。

注释4:
本过滤用于维护WWW服务器和FTP服务器的telnet的通信。

返回顶部