华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置
目录
一、配置要求
二、配置步骤
1. ping通防火墙接口IP地址的条件
2. 内网ping通外网终端的条件
3. 内网ping通DMZ(内网服务器)的条件
三、命令解析
一、配置要求
- 内网可以ping通防火墙;
- 内网可以访问外网;
- 外网可以访问内网服务器。
二、配置步骤
1. ping通防火墙接口IP地址的条件
- 配置接口IP地址;
- 接口添加到域(如trust);
- 在连接终端(PC)的接口上配置接口允许ping---service-manage ping permit
注:连接在防火墙允许ping接口上的终端,可以ping通防火墙所有已经连接且配置了IP地址的接口。
2. 内网ping通外网终端的条件
- 配置接口IP地址;
- 接口添加到域;
- 进入安全策略,配置内网到外网互通规则;
- 进入nat策略,配置内网到外网互通规则;
- 配置默认路由。
3. 内网ping通DMZ(内网服务器)的条件
- 配置接口IP地址;
- 接口添加到域;
- 进入安全策略,配置内网到DMZ互通规则;
USG6000V防火墙默认用户名为admin,默认密码为Admin@123system-view
interface GigabitEthernet 1/0/1
ip address 192.168.1.254 24
service-manage ping permit
interface GigabitEthernet 1/0/2
ip address 192.168.0.254 24
interface GigabitEthernet 1/0/3
ip address 8.0.0.1 27firewall zone name DMZ
add interface GigabitEthernet 1/0/2
firewall zone trust
add interface GigabitEthernet 1/0/1
firewall zone untrust
add interface GigabitEthernet 1/0/3security-policy
rule name nei-to-wai
source-zone trust
destination-zone untrust
action permitnat-policy
rule name nei-to-wai
source-zone trust
destination-zone untrust
action source-nat easy-ipsecurity-policy
rule name fuwuqi
source-zone trust
destination-zone DMZ
action permitip route-static 0.0.0.0 0 8.0.0.2nat server http protocol tcp global 8.0.0.1 6677 inside 192.168.0.11 80security-policy
rule name dmz-wai
source-zone DMZ
destination-zone untrust
action permitsecurity-policy
rule name wai-dmz
source-zone untrust
destination-zone DMZ
destination-address 192.168.0.11 mask 255.255.255.255
service ftp http
action permit路由器:sys
sysname R1
int gi 0/0/0
ip add 6.6.6.254 24
int gi 0/0/1
ip add 8.0.0.2 27三、命令解析
USG6000V防火墙默认用户名为admin,默认密码为Admin@123
system-view
interface GigabitEthernet 1/0/1
ip address 192.168.1.254 24
service-manage ping permit //此接口允许ping
interface GigabitEthernet 1/0/2
ip address 192.168.0.254 24
interface GigabitEthernet 1/0/3
ip address 8.0.0.1 27
firewall zone name DMZ //创建DMZ域
add interface GigabitEthernet 1/0/2 //给DMZ域添加接口
firewall zone trust //进trust(信任)域=内网办公区
add interface GigabitEthernet 1/0/1 //给trust域添加接口
firewall zone untrust //进untrust(非信任)域=外网
add interface GigabitEthernet 1/0/3 //给untrust域添加接口
内网访问外网:
security-policy //进安全策略
rule name nei-to-wai //创建内网到外网的规则
source-zone trust //源域为信任域
destination-zone untrust //目标域为非信任域
action permit //信任域到非信任域允许通信
nat-policy //进nat策略(网络地址转换策略)
rule name nei-to-wai //创建内网到外网的规则
source-zone trust //源域为信任域
destination-zone untrust //目标域为非信任域
action source-nat easy-ip //允许以easy-ip方式进行网络地址转换
ip route-static 0.0.0.0 0 8.0.0.2 //默认路由
内网访问DMZ:
security-policy //进安全策略
rule name trust-dmz //创建内网到DMZ(隔离区)的规则
source-zone trust //源域为信任域
destination-zone DMZ //目标域为DMZ域
action permit //信任域到DMZ域允许通信
外网访问内网服务器:
nat server http protocol tcp global 8.0.0.1 6677 inside 192.168.0.11 80
security-policy //进安全策略
rule name dmz-wai //创建DMZ域到外网的规则
source-zone DMZ //源域为DMZ域
destination-zone untrust
action permit
security-policy //进安全策略
rule name wai-dmz //创建外网到DMZ的规则
source-zone untrust //源域为非信任域
destination-zone DMZ //目标域为DMZ域
destination-address 192.168.0.11 mask 255.255.255.255 //目标IP地址为192.168.0.11
service http //http服务
action permit //http协议的服务允许通信
防火墙(安全设备)默认权限都是禁止的,只有开启才能放行(本着人性本恶原则)。
华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置相关推荐
- 华为防火墙(以USG6330为例)公网直接访问问题解决
一.问题描述 以华为防火墙作为公司网络出口设备,连接ISP网络.在公网输入公司的公网IP地址,会自动添加端口号,跳转到防火墙外网登录界面. [策略-NAT策略-服务器映射]列表中并没有将防火墙映射到公 ...
- 华为防火墙USG6000v总结
ensp防火墙实现web页面 首先需要用到防火墙是USG6000V和Choud,防火墙需要导入镜像文件. Cloud里面设置端口创建,需要vwmare的虚拟网口.端口映射表添加双向通道. 将防火墙的G ...
- 华为防火墙 USG6000V 开启WEB管理
1.拓扑图 USG6000V 镜像包 https://download.csdn.net/download/mshxuyi/87353936/ 2.添加回环网卡 (1)CMD 运行 hdwwiz,添加 ...
- EVE-NG--华为防火墙USG6000v 内外网打通,并均可通过公网IP访问FTP服务器
EVE-NG–华为防火墙USG6000v 内外网打通,并均可通过公网IP访问FTP服务器 所有镜像在EVE-NG第一个博客百度云链接里面,自行下载. 需要现成自制镜像的私信我,百度云盘无偿分享给你. ...
- 华为防火墙配置(防火墙NAT)
目录 前言 一.防火墙NAT概述 1.防火墙NAT策略介绍 2.NAT策略分类 (1)NAT No-PAT (2)NAPT (3)Easy-IP (4)Smart NAT (5)三元组NAT 3.NA ...
- Server-U 访问外网服务器指定端口(内网21端口,外网其他端口)
1.安装server-u,创建用户和域自行百度. 2.先使用同一局域网使用xftp或FileZilla工具进行测试,同一网端无法连接成功请自行百度,这里不详细描述. 3.内外网映射 例如:内网使用ft ...
- 华为防火墙ftp_华为防火墙如何配置ftp服务器映射到外网
华为防火墙如何配置ftp服务器映射到外网 一. 要求: 公司搭建一台ftp服务器,需要映射到外网,供供应商上传文件. 但公司出口线路只有一条ADSL,IP地址是自动获取,随时会变化. 因此,需要申请一 ...
- 内网穿透用什么软件好?本地设置内网端口映射到外网访问
我们经常听到有人说在用内网穿透工具,那么内网穿透工具有什么作用呢?内网穿透工具的作用是将本地内网服务器和应用提供到互联网上连接访问,可以解决在无公网IP条件下跨网互通互连问题.比如在家远程办公,访问公 ...
- eNSP连接外网Clound和防火墙USG6000v简单配置、USG6000v安装包下载
文章目录 USG6000v简单介绍 一.概述 1. 组网 2. 分析 二.配置 1. Clound配置 2. USG6000v配置与下载 USG6000v简单介绍 一.概述 1. 组网 2. 分析 通 ...
最新文章
- 经常可能会用到的【函数节流和函数防抖】记录下,做下区分
- 计算机设置内存储器的必要性,计算机设置内存储器的必要性
- 【BZOJ3745】Norma(CDQ分治)
- linux cpu 实际进程,linux – 找出高CPU占用率的apache进程实际上在做什么?
- Airflow 中文文档:概念
- linxu其他用户登录mysql_Linux系统的MySQL用户如何开启远程登录权限
- Python学习笔记:利用sorted()函数对序列排序
- arcgis 导入Excel坐标数据
- Navicat premium for Mac 12 破解 纯手工
- 和秋叶一起学PPT之四步走(课时二)
- 安卓手机管理_七色米ERP(七色米ERP进销存管理)V1.2.1 安卓手机版
- openfiler服务器打不开web管理页面
- 【BZOJ4987】Tree(树形dp)
- 达索SOLIDWORKS PDM让你的团队协作更紧密
- 基于ssm外卖点餐系统源码
- 数据分析体系 - 用户粘性(DAU/MAU 和 月人均活跃天数)
- 过来人的经验:自学编程的6个建议
- 使用css渐变色。实现动态进度条效果
- OpenCV实例解析(OpenCV初学者)
- 2023美国大学生数学建模竞赛中文题目发布