华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置_action source-nat easy-ip
阿里云国内75折 回扣 微信号:monov8 |
阿里云国际,腾讯云国际,低至75折。AWS 93折 免费开户实名账号 代冲值 优惠多多 微信号:monov8 飞机:@monov6 |
目录
一、配置要求
- 内网可以ping通防火墙
- 内网可以访问外网
- 外网可以访问内网服务器。
二、配置步骤
1. ping通防火墙接口IP地址的条件
- 配置接口IP地址
- 接口添加到域如trust
- 在连接终端PC的接口上配置接口允许ping---service-manage ping permit
注连接在防火墙允许ping接口上的终端可以ping通防火墙所有已经连接且配置了IP地址的接口。
2. 内网ping通外网终端的条件
- 配置接口IP地址
- 接口添加到域
- 进入安全策略配置内网到外网互通规则
- 进入nat策略配置内网到外网互通规则
- 配置默认路由。
3. 内网ping通DMZ内网服务器的条件
- 配置接口IP地址
- 接口添加到域
- 进入安全策略配置内网到DMZ互通规则
USG6000V防火墙默认用户名为admin默认密码为Admin@123
system-view
interface GigabitEthernet 1/0/1
ip address 192.168.1.254 24
service-manage ping permit
interface GigabitEthernet 1/0/2
ip address 192.168.0.254 24
interface GigabitEthernet 1/0/3
ip address 8.0.0.1 27
firewall zone name DMZ
add interface GigabitEthernet 1/0/2
firewall zone trust
add interface GigabitEthernet 1/0/1
firewall zone untrust
add interface GigabitEthernet 1/0/3
security-policy
rule name nei-to-wai
source-zone trust
destination-zone untrust
action permit
nat-policy
rule name nei-to-wai
source-zone trust
destination-zone untrust
action source-nat easy-ip
security-policy
rule name fuwuqi
source-zone trust
destination-zone DMZ
action permit
ip route-static 0.0.0.0 0 8.0.0.2
nat server http protocol tcp global 8.0.0.1 6677 inside 192.168.0.11 80
security-policy
rule name dmz-wai
source-zone DMZ
destination-zone untrust
action permit
security-policy
rule name wai-dmz
source-zone untrust
destination-zone DMZ
destination-address 192.168.0.11 mask 255.255.255.255
service ftp http
action permit
路由器
sys
sysname R1
int gi 0/0/0
ip add 6.6.6.254 24
int gi 0/0/1
ip add 8.0.0.2 27
三、命令解析
USG6000V防火墙默认用户名为admin默认密码为Admin@123
system-view
interface GigabitEthernet 1/0/1
ip address 192.168.1.254 24
service-manage ping permit //此接口允许ping
interface GigabitEthernet 1/0/2
ip address 192.168.0.254 24
interface GigabitEthernet 1/0/3
ip address 8.0.0.1 27
firewall zone name DMZ //创建DMZ域
add interface GigabitEthernet 1/0/2 //给DMZ域添加接口
firewall zone trust //进trust信任域=内网办公区
add interface GigabitEthernet 1/0/1 //给trust域添加接口
firewall zone untrust //进untrust非信任域=外网
add interface GigabitEthernet 1/0/3 //给untrust域添加接口
内网访问外网
security-policy //进安全策略
rule name nei-to-wai //创建内网到外网的规则
source-zone trust //源域为信任域
destination-zone untrust //目标域为非信任域
action permit //信任域到非信任域允许通信
nat-policy //进nat策略网络地址转换策略
rule name nei-to-wai //创建内网到外网的规则
source-zone trust //源域为信任域
destination-zone untrust //目标域为非信任域
action source-nat easy-ip //允许以easy-ip方式进行网络地址转换
ip route-static 0.0.0.0 0 8.0.0.2 //默认路由
内网访问DMZ
security-policy //进安全策略
rule name trust-dmz //创建内网到DMZ隔离区的规则
source-zone trust //源域为信任域
destination-zone DMZ //目标域为DMZ域
action permit //信任域到DMZ域允许通信
外网访问内网服务器
nat server http protocol tcp global 8.0.0.1 6677 inside 192.168.0.11 80
security-policy //进安全策略
rule name dmz-wai //创建DMZ域到外网的规则
source-zone DMZ //源域为DMZ域
destination-zone untrust
action permit
security-policy //进安全策略
rule name wai-dmz //创建外网到DMZ的规则
source-zone untrust //源域为非信任域
destination-zone DMZ //目标域为DMZ域
destination-address 192.168.0.11 mask 255.255.255.255 //目标IP地址为192.168.0.11
service http //http服务
action permit //http协议的服务允许通信
防火墙安全设备默认权限都是禁止的只有开启才能放行本着人性本恶原则。