SUR CETTE PAGE
Exemple : configuration de NAT pour le pare-feu virtuel vSRX
Cet exemple montre comment configurer le pare-feu virtuel vSRX pour NAT tous les hôtes derrière l’instance de pare-feu virtuel vSRX dans le cloud privé virtuel Amazon (Amazon VPC) à l’adresse IP de l’interface de sortie du pare-feu virtuel vSRX sur la zone de non confiance. Cette configuration permet aux hôtes derrière le pare-feu virtuel vSRX d’un réseau cloud d’accéder à Internet.
Avant de commencer
Assurez-vous d’avoir installé et lancé une instance de pare-feu virtuel vSRX dans un VPC Amazon.
Aperçu
Une configuration cloud commune comprend des hôtes à qui vous souhaitez accorder l’accès à Internet, mais vous ne voulez pas que quiconque de l’extérieur de votre cloud puisse accéder à vos hôtes. Vous pouvez utiliser le pare-feu virtuel vSRX dans un Amazon VPC vers le trafic NAT à l’intérieur de l’Amazon VPC depuis l’Internet public.
Configuration
Configuration du NAT
Procédure
Procédure étape par étape
Pour configurer NAT sur l’instance de pare-feu virtuel vSRX :
Connectez-vous à la console du pare-feu virtuel vSRX en mode de modification de configuration (voir Configurer vSRX à l’aide de la CLI.
Définissez les adresses IP des interfaces de revenus du pare-feu virtuel vSRX.
set interfaces ge-0/0/0 unit 0 family inet address 10.0.10.197/24 set interfaces ge-0/0/1 unit 0 family inet address 10.0.20.1/24
Configurez la zone de sécurité de non confiance.
set security zones security-zone untrust host-inbound-traffic system-services https set security zones security-zone untrust host-inbound-traffic system-services ssh set security zones security-zone untrust interfaces ge-0/0/0.0
Configurez la zone de sécurité de confiance.
set security zones security-zone trust host-inbound-traffic system-services https set security zones security-zone trust host-inbound-traffic system-services ssh set security zones security-zone trust host-inbound-traffic system-services ping set security zones security-zone trust interfaces ge-0/0/1.0
Configurez les stratégies de sécurité.
set security policies from-zone trust to-zone untrust policy test match source-address any set security policies from-zone trust to-zone untrust policy test match destination-address any set security policies from-zone trust to-zone untrust policy test match application any set security policies from-zone trust to-zone untrust policy test then permit
Configurez nat.
set security nat source rule-set SNAT_RuleSet from zone trust set security nat source rule-set SNAT_RuleSet to zone untrust set security nat source rule-set SNAT_RuleSet rule SNAT_Rule match source-address 0.0.0.0/0 set security nat source rule-set SNAT_RuleSet rule SNAT_Rule then source-nat interface commit