网神 NGFW 三角传输配置

1.    测试拓扑及说明

内网 web 服务器：192.168.3.100/24，网关为 192.168.3.1，映射公网地址为 1.1.1.100

内网客户端：192.168.2.100/24，网关为 192.168.2.1

外网客户端：172.16.1.100/24

NGFW Ge2：192.168.1.1/24   trust 内网口

NGFW Ge3：1.1.1.2/24 untrust 外网口

核心交换机配置默认路由，网关为 192.168.1.1；NGFW 配置一条默认路由，网关为

1.1.1.1；并配置两条静态路由分别到 192.168.2.0/24 和 192.168.3.0/24 网段，下一跳为

192.168.1.2。为简化模拟环境，外网客户端直接配置公网地址 1.1.1.1/24，网关为 1.1.1.2。

在很多客户网络环境中会涉及内网用户通过访问公网地址进而访问内网服务器，如上拓扑图所示，内网服务器 192.168.3.100 映射到公网的地址为 1.1.1.100，内网客户端192.168.2.100 访问 1.1.1.100 时，首先要在 NGFW 的内网口 ge2 做 DNAT，转换后的目的地址即变为内网地址 192.168.3.100，如果 NGFW 不做任何处理直接转发给服务器，服务器收到的终端请求源IP 就为内网地址 192.168.2.100，之后响应包就会直接通过核心交换机路由转发给客户端，不走 NGFW，从而导致流量来回路径不一致，NGFW 状态检测失效。为了解决该问题，我们需要在 NGFW 的内网口做 SNAT，这样访问服务器的源 IP 就会改为防火墙的 IP 地址，保证服务器的响应能正常回包给 NGFW，再转发回客户端。这就是常说的三角传输。

2.   NGFW 配置步骤

2.1    接口配置

2.2    路由配置

2.3  NAT 配置

2.3.1  DNAT 配置

第一条为外网用户访问内网服务器的DNAT，入接口为公网口 ge3，映射的公网地址为1.1.1.100；第二条为内网用户访问内网服务器的DNAT，入接口为内网口 ge2，转换后的IP 地址为 192.168.3.100，DNAT 日志如下：

2.3.2  SNAT 配置

第一条为内网用户访问互联网的 SNAT，出接口为公网口 ge3；第二条为内网用户访问内网的服务器 SNAT，出接口为内网口 ge2，由于这里的 IP 转换方式为 by_route，所以转换后的 IP 地址为出接口地址 192.168.1.1，SNAT 日志如下：

2.4    安全策略配置

安全策略日志如下：