一、要求:
防火墙本地创建两个安全区域,DMZ和Untrust;
DMZ区访问外部地址,可见的为内部地址;
Untrust区看到发起访问的地址也是外部地址;

二、实验环境说明:
防火墙配置两个地址10.255.1.254,划在DMZ中,用于PC终端的网关;1.1.1.1划到Untrust区中,用于和路由器互联;
路由器除配置接口地址之外,还配置了环回口地址100.1.1.1,用于DMZ发起访问;

  我在网上查了很多资料,华为防火墙实现目的转换的方式都是用server-map映射方式做的,如果从外部Untrust区对内访问用server-map方式比较好,但是有些场景是内部访问,但是又想是自已内部的地址,所以用以下方式会合理些。

三、实现步骤:
1、将端口划到安全区域:
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1

firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/0

2、按照防火墙报文处理流程:
目的地址转换——安全策略——源地址转换(这个非常重要)
(1)定义最终地址:
destination-nat address-group dst100.1.1.1 1
section 100.1.1.1 100.1.1.1

(2)定义源地址转换地址池 :
nat address-group Change-source 0
mode pat
route enable(配置路由黑洞)
section 0 10.1.1.10 10.1.1.15

(3)定义安全策略:
security-policy
rule name Test-d2u
source-zone dmz
destination-zone untrust
source-address 10.255.1.0 mask 255.255.255.0
destination-address 100.1.1.1 mask 255.255.255.255
service icmp
action permit

(4)定义NAT策略
nat-policy
rule name Change-source-desti
source-zone dmz
source-address 10.255.1.0 mask 255.255.255.0
destination-address 10.255.1.10 mask 255.255.255.255(这个地址就是目的转换过后的地址)
action source-nat address-group Change-source
action destination-nat static address-to-address address-group dst100.1.1.1

四、验证:
1、从PC1去ping 10.255.1.10:

2、在防火墙查看会话信息:
display firewall session table ver
从此图可以看到10.255.1.1转成了10.1.1.13,即源地址实现了转换;
10.255.1.10转成了100.1.1.1,目的地址实现了转换。

华为USG6000V1防火墙实现源目地址转换——不用server-map方式相关推荐

  1. 华为防火墙地址转换技术(NAT)

    281.NAT理论 私网地址不能再公网上路由,NAT的功能主要就是将私网地址在往外转发的过程中,将私网地址转换成为公网地址: 282.PAT:端口多路复用,可以将多个私网地址转换成为一个公网IP地址上 ...

  2. NAT地址转换(又称为网络地址转换,用于实现私有网络和共有网络之间的互相访问)

    目录 地址类型 NAT地址转换工作过程: NAT的好处: 静态NAT: NAT配置命令 动态nat配置: ACL: 应用规则 地址类型 私有地址和公有地址: 公有网络地址(以下简称公网地址)是指在互联 ...

  3. 03-网络地址转换技术

    IP地址分类 私网地址: A类地址:10.0.0.0-10.255.255.255 B类地址:172.16.0.0-172.31.255.255 C类地址:192.168.0.0-192.168.25 ...

  4. 华为防火墙(nat地址转换+安全策略+HA热备)

    拓扑 实现需求: 1.PC1&PC2使用nat的pat模式经过防火墙做地址转换 2.PC3&Client1使用nat server模式经过防火墙做地址转换 3.Client1可以使用 ...

  5. 华为防火墙nat地址转换实现可以访问互联网

    如下拓扑图: 首先,我们设置云如下,让他与本机互通 我们开始配置 首先初始化防火墙:第一次登录的时候会让你修改密码,默认的账号为admin密码:Admin@123 输入账号密码后选择Y然后修改密码 设 ...

  6. 华为eNSP防火墙NAT地址转换之NAT-NOPAT

    防火墙NAT地址转换 NAT-NOPAT(一对一) NAT No-PAT 只转换报文的IP 地址,不转换端口,需要上网的私网用户数量省,公网IP地址数量与同时上网的最大私网用户数量基本相同,在NAT ...

  7. 华三防火墙配置端口地址转换_华三防火墙双向nat配置 防火墙端口映射

    华三防火墙配置? 1.将路由器的线路连接到防火墙的WLAN端口,然后将防火墙的LAN端口连接到内部交换机.2进入防火墙web配置页面,配置WLAN ip192.168.1.2网关192.168.1.1 ...

  8. 理论+实操 :华为NAT地址转换

    前言: nat地址转换可以让私有地址转换成公网地址,解决上网问题 华为的三层交换机内不可以配ip地址,需要配vlanif 在企业当中,数据流量业务比较多时,用好一点的路由器 多个私网地址对应外网口ip ...

  9. Sophos防火墙v18版本访问内部服务器或者电脑SNAT地址转换的问题解决办法

    问题 内部电脑互相访问经给防火墙,但是防火墙把源地址给转换成了接口地址,因为有需求,看不到真实的地址,需要对策略进行调整. 现有防火墙策略 新建的NAT规则,原始源是两台内网主机和服务器,SNAT是M ...

最新文章

  1. 鲲鹏920 centos7 postgresql12 postgis2.5.4编译
  2. mysql触发器可以使用正则表达式_SQL 正则表达式及mybatis中使用正则表达式
  3. HTML+CSS+JS实现 ❤️3D奥运五环图形特效❤️
  4. Java中Integer类的方法
  5. C ++ 类 | 类的辅助函数(Helper Functions) ,类与数组_3
  6. matlab模拟调制过程,模拟信号的调制方式有哪三种?调制与解调是个啥过程
  7. Rman创建DG环境
  8. PowerShell校验哈希
  9. 装饰模式【设计模式学习-03】
  10. eclipse SVN javaHL not available 问题解决
  11. 解决Hexo无法显示图片的几种方案
  12. 计算机电子科技生产质量标准,SJT9527__微型数字电子计算机 质量分等标准(4页)-原创力文档...
  13. Excel2007无法卸载:安装程序包的语言不受系统支持。微软的卸载程序也不行。——只能手工删除
  14. C语言tolower和toupper的用法
  15. [高等数学]--曲率,曲率半径-
  16. FPGA:开发环境Vivado的使用
  17. command a expects \ followed by text
  18. 【Python】字符串转换为ASCII码
  19. C++ 直接计算多项式的值
  20. Android实现真心话大冒险App(多线程,音乐播放)

热门文章

  1. bzoj5082 弗拉格 矩阵乘法
  2. win10下pip的下载与安装教程
  3. ESP-IDF3.0
  4. 柠檬BUG管理-最简单的在线BUG管理工具
  5. STM32 网页服务器 LWIP websever ajax实时刷新 (一)
  6. java右移位_java移位运算符详解
  7. dsp28335下载程序到flash出现的问题
  8. 工艺计算机化系统验证,计算机化系统验证和工艺验证如何保持一致的方式
  9. easyui-textbox 隐藏解决方案
  10. 飞速 | 那些由低代码技术带来的新思路 | 数字化