示例:为 vSRX 虚拟防火墙配置 NAT
此示例说明如何将 vSRX 虚拟防火墙配置为 Amazon 虚拟私有云 (Amazon VPC) vSRX 虚拟防火墙实例背后的所有主机 NAT,以连接到不信任区域上的 vSRX 虚拟防火墙出口接口的 IP 地址。此配置允许云网络中 vSRX 虚拟防火墙背后的主机访问互联网。
开始之前
确保您在 Amazon VPC 中安装和启动 vSRX 虚拟防火墙实例。
概述
常见的云配置包括要授予访问互联网权限的主机,但不希望云外部的任何人访问您的主机。您可以从公共互联网使用 Amazon VPC 中的 vSRX 虚拟防火墙到 Amazon VPC 内的 NAT 流量。
配置
配置 NAT
程序
逐步过程
要配置 vSRX 虚拟防火墙实例上的 NAT:
在配置编辑模式下登录到 vSRX 虚拟防火墙控制台(请参阅 使用 CLI 配置 vSRX。
设置 vSRX 虚拟防火墙收入接口的 IP 地址。
set interfaces ge-0/0/0 unit 0 family inet address 10.0.10.197/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.20.1/24
设置不信任安全区域。
set security zones security-zone untrust host-inbound-traffic system-services https set security zones security-zone untrust host-inbound-traffic system-services ssh set security zones security-zone untrust interfaces ge-0/0/0.0
设置信任安全区域。
set security zones security-zone trust host-inbound-traffic system-services https set security zones security-zone trust host-inbound-traffic system-services ssh set security zones security-zone trust host-inbound-traffic system-services ping set security zones security-zone trust interfaces ge-0/0/1.0
设置安全策略。
set security policies from-zone trust to-zone untrust policy test match source-address any set security policies from-zone trust to-zone untrust policy test match destination-address any set security policies from-zone trust to-zone untrust policy test match application any set security policies from-zone trust to-zone untrust policy test then permit
配置 NAT。
set security nat source rule-set SNAT_RuleSet from zone trust set security nat source rule-set SNAT_RuleSet to zone untrust set security nat source rule-set SNAT_RuleSet rule SNAT_Rule match source-address 0.0.0.0/0 set security nat source rule-set SNAT_RuleSet rule SNAT_Rule then source-nat interface commit