华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置
目录
一、配置要求
- 内网可以ping通防火墙;
- 内网可以访问外网;
- 外网可以访问内网服务器。
二、配置步骤
1. ping通防火墙接口IP地址的条件
- 配置接口IP地址;
- 接口添加到域(如trust);
- 在连接终端(PC)的接口上配置接口允许ping---service-manage ping permit
注:连接在防火墙允许ping接口上的终端,可以ping通防火墙所有已经连接且配置了IP地址的接口。
2. 内网ping通外网终端的条件
- 配置接口IP地址;
- 接口添加到域;
- 进入安全策略,配置内网到外网互通规则;
- 进入nat策略,配置内网到外网互通规则;
- 配置默认路由。
3. 内网ping通DMZ(内网服务器)的条件
- 配置接口IP地址;
- 接口添加到域;
- 进入安全策略,配置内网到DMZ互通规则;
USG6000V防火墙默认用户名为admin,默认密码为Admin@123system-viewinterface GigabitEthernet 1/0/1ip address 192.168.1.254 24service-manage ping permitinterface GigabitEthernet 1/0/2ip address 192.168.0.254 24interface GigabitEthernet 1/0/3ip address 8.0.0.1 27firewall zone name DMZadd interface GigabitEthernet 1/0/2firewall zone trustadd interface GigabitEthernet 1/0/1firewall zone untrustadd interface GigabitEthernet 1/0/3security-policyrule name nei-to-waisource-zone trustdestination-zone untrustaction permitnat-policyrule name nei-to-waisource-zone trustdestination-zone untrustaction source-nat easy-ipsecurity-policyrule name fuwuqisource-zone trustdestination-zone DMZaction permitip route-static 0.0.0.0 0 8.0.0.2nat server http protocol tcp global 8.0.0.1 6677 inside 192.168.0.11 80security-policyrule name dmz-waisource-zone DMZdestination-zone untrustaction permitsecurity-policyrule name wai-dmzsource-zone untrustdestination-zone DMZdestination-address 192.168.0.11 mask 255.255.255.255service ftp httpaction permit路由器:syssysname R1int gi 0/0/0ip add 6.6.6.254 24int gi 0/0/1ip add 8.0.0.2 27三、命令解析
USG6000V防火墙默认用户名为admin,默认密码为Admin@123
system-view
interface GigabitEthernet 1/0/1
ip address 192.168.1.254 24
service-manage ping permit //此接口允许ping
interface GigabitEthernet 1/0/2
ip address 192.168.0.254 24
interface GigabitEthernet 1/0/3
ip address 8.0.0.1 27
firewall zone name DMZ //创建DMZ域
add interface GigabitEthernet 1/0/2 //给DMZ域添加接口
firewall zone trust //进trust(信任)域=内网办公区
add interface GigabitEthernet 1/0/1 //给trust域添加接口
firewall zone untrust //进untrust(非信任)域=外网
add interface GigabitEthernet 1/0/3 //给untrust域添加接口
内网访问外网:
security-policy //进安全策略
rule name nei-to-wai //创建内网到外网的规则
source-zone trust //源域为信任域
destination-zone untrust //目标域为非信任域
action permit //信任域到非信任域允许通信
nat-policy //进nat策略(网络地址转换策略)
rule name nei-to-wai //创建内网到外网的规则
source-zone trust //源域为信任域
destination-zone untrust //目标域为非信任域
action source-nat easy-ip //允许以easy-ip方式进行网络地址转换
ip route-static 0.0.0.0 0 8.0.0.2 //默认路由
内网访问DMZ:
security-policy //进安全策略
rule name trust-dmz //创建内网到DMZ(隔离区)的规则
source-zone trust //源域为信任域
destination-zone DMZ //目标域为DMZ域
action permit //信任域到DMZ域允许通信
外网访问内网服务器:
nat server http protocol tcp global 8.0.0.1 6677 inside 192.168.0.11 80
security-policy //进安全策略
rule name dmz-wai //创建DMZ域到外网的规则
source-zone DMZ //源域为DMZ域
destination-zone untrust
action permit
security-policy //进安全策略
rule name wai-dmz //创建外网到DMZ的规则
source-zone untrust //源域为非信任域
destination-zone DMZ //目标域为DMZ域
destination-address 192.168.0.11 mask 255.255.255.255 //目标IP地址为192.168.0.11
service http //http服务
action permit //http协议的服务允许通信
防火墙(安全设备)默认权限都是禁止的,只有开启才能放行(本着人性本恶原则)。
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
