华为USG6000V1防火墙实现源目地址转换——不用server-map方式
一、要求:
防火墙本地创建两个安全区域,DMZ和Untrust;
DMZ区访问外部地址,可见的为内部地址;
Untrust区看到发起访问的地址也是外部地址;
二、实验环境说明:
防火墙配置两个地址10.255.1.254,划在DMZ中,用于PC终端的网关;1.1.1.1划到Untrust区中,用于和路由器互联;
路由器除配置接口地址之外,还配置了环回口地址100.1.1.1,用于DMZ发起访问;
我在网上查了很多资料,华为防火墙实现目的转换的方式都是用server-map映射方式做的,如果从外部Untrust区对内访问用server-map方式比较好,但是有些场景是内部访问,但是又想是自已内部的地址,所以用以下方式会合理些。
三、实现步骤:
1、将端口划到安全区域:
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/0
2、按照防火墙报文处理流程:
目的地址转换——安全策略——源地址转换(这个非常重要)
(1)定义最终地址:
destination-nat address-group dst100.1.1.1 1
section 100.1.1.1 100.1.1.1
(2)定义源地址转换地址池 :
nat address-group Change-source 0
mode pat
route enable(配置路由黑洞)
section 0 10.1.1.10 10.1.1.15
(3)定义安全策略:
security-policy
rule name Test-d2u
source-zone dmz
destination-zone untrust
source-address 10.255.1.0 mask 255.255.255.0
destination-address 100.1.1.1 mask 255.255.255.255
service icmp
action permit
(4)定义NAT策略
nat-policy
rule name Change-source-desti
source-zone dmz
source-address 10.255.1.0 mask 255.255.255.0
destination-address 10.255.1.10 mask 255.255.255.255(这个地址就是目的转换过后的地址)
action source-nat address-group Change-source
action destination-nat static address-to-address address-group dst100.1.1.1
四、验证:
1、从PC1去ping 10.255.1.10:
2、在防火墙查看会话信息:
display firewall session table ver
从此图可以看到10.255.1.1转成了10.1.1.13,即源地址实现了转换;
10.255.1.10转成了100.1.1.1,目的地址实现了转换。
华为USG6000V1防火墙实现源目地址转换——不用server-map方式相关推荐
- 华为防火墙地址转换技术(NAT)
281.NAT理论 私网地址不能再公网上路由,NAT的功能主要就是将私网地址在往外转发的过程中,将私网地址转换成为公网地址: 282.PAT:端口多路复用,可以将多个私网地址转换成为一个公网IP地址上 ...
- NAT地址转换(又称为网络地址转换,用于实现私有网络和共有网络之间的互相访问)
目录 地址类型 NAT地址转换工作过程: NAT的好处: 静态NAT: NAT配置命令 动态nat配置: ACL: 应用规则 地址类型 私有地址和公有地址: 公有网络地址(以下简称公网地址)是指在互联 ...
- 03-网络地址转换技术
IP地址分类 私网地址: A类地址:10.0.0.0-10.255.255.255 B类地址:172.16.0.0-172.31.255.255 C类地址:192.168.0.0-192.168.25 ...
- 华为防火墙(nat地址转换+安全策略+HA热备)
拓扑 实现需求: 1.PC1&PC2使用nat的pat模式经过防火墙做地址转换 2.PC3&Client1使用nat server模式经过防火墙做地址转换 3.Client1可以使用 ...
- 华为防火墙nat地址转换实现可以访问互联网
如下拓扑图: 首先,我们设置云如下,让他与本机互通 我们开始配置 首先初始化防火墙:第一次登录的时候会让你修改密码,默认的账号为admin密码:Admin@123 输入账号密码后选择Y然后修改密码 设 ...
- 华为eNSP防火墙NAT地址转换之NAT-NOPAT
防火墙NAT地址转换 NAT-NOPAT(一对一) NAT No-PAT 只转换报文的IP 地址,不转换端口,需要上网的私网用户数量省,公网IP地址数量与同时上网的最大私网用户数量基本相同,在NAT ...
- 华三防火墙配置端口地址转换_华三防火墙双向nat配置 防火墙端口映射
华三防火墙配置? 1.将路由器的线路连接到防火墙的WLAN端口,然后将防火墙的LAN端口连接到内部交换机.2进入防火墙web配置页面,配置WLAN ip192.168.1.2网关192.168.1.1 ...
- 理论+实操 :华为NAT地址转换
前言: nat地址转换可以让私有地址转换成公网地址,解决上网问题 华为的三层交换机内不可以配ip地址,需要配vlanif 在企业当中,数据流量业务比较多时,用好一点的路由器 多个私网地址对应外网口ip ...
- Sophos防火墙v18版本访问内部服务器或者电脑SNAT地址转换的问题解决办法
问题 内部电脑互相访问经给防火墙,但是防火墙把源地址给转换成了接口地址,因为有需求,看不到真实的地址,需要对策略进行调整. 现有防火墙策略 新建的NAT规则,原始源是两台内网主机和服务器,SNAT是M ...
最新文章
- 鲲鹏920 centos7 postgresql12 postgis2.5.4编译
- mysql触发器可以使用正则表达式_SQL 正则表达式及mybatis中使用正则表达式
- HTML+CSS+JS实现 ❤️3D奥运五环图形特效❤️
- Java中Integer类的方法
- C ++ 类 | 类的辅助函数(Helper Functions) ,类与数组_3
- matlab模拟调制过程,模拟信号的调制方式有哪三种?调制与解调是个啥过程
- Rman创建DG环境
- PowerShell校验哈希
- 装饰模式【设计模式学习-03】
- eclipse SVN javaHL not available 问题解决
- 解决Hexo无法显示图片的几种方案
- 计算机电子科技生产质量标准,SJT9527__微型数字电子计算机 质量分等标准(4页)-原创力文档...
- Excel2007无法卸载:安装程序包的语言不受系统支持。微软的卸载程序也不行。——只能手工删除
- C语言tolower和toupper的用法
- [高等数学]--曲率,曲率半径-
- FPGA:开发环境Vivado的使用
- command a expects \ followed by text
- 【Python】字符串转换为ASCII码
- C++ 直接计算多项式的值
- Android实现真心话大冒险App(多线程,音乐播放)