华为USG5500防火墙配置NAT

LKAI.2024-11-18 17:28

实验要求:

1. 按照拓扑图部署网络环境,使用USG5500防火墙,将防火墙接口加入相应的区域,添加区域访问规则使内网trust区域可以访问DMZ区域的web服务器和untrust区域的web服务器。

2. 在防火墙上配置easy-ip,使trust区域主机能够访问untrust区域的服务器。

3. 在防火墙配置nat server,使untrust区域的客户端能够通过目标地址转换访问DMZ区域的服务器。

1. 启动设备

2.. 配置IP地址

3. 配置默认路由条目

SRGip route-static 0.0.0.0 0.0.0.0 30.0.0.2

4. 配置HTTP服务器

5. 将防火墙接口加入相应的区域

SRGfirewall zone trust

SRG-zone-trustadd interface g0/0/1

SRG-zone-trustq

SRGfirewall zone dmz

SRG-zone-dmzadd interface g0/0/2

SRG-zone-dmzq

SRGfirewall zone untrust

SRG-zone-untrustadd interface g0/0/3

SRG-zone-untrustq

6. 给防火墙配置trust访问DMZ区域,trust访问untrust区域

SRGpolicy interzone trust dmz outbound

SRG-policy-interzone-trust-dmz-outboundpolicy 1

SRG-policy-interzone-trust-dmz-outbound-1policy source 192.168.10.0 mask 24

SRG-policy-interzone-trust-dmz-outbound-1action permit

SRG-policy-interzone-trust-dmz-outbound-1q

SRG-policy-interzone-trust-dmz-outboundq

SRGpolicy interzone trust untrust outbound

SRG-policy-interzone-trust-untrust-outboundpolicy 1

SRG-policy-interzone-trust-untrust-outbound-1policy source any

SRG-policy-interzone-trust-untrust-outbound-1action permit

SRG-policy-interzone-trust-untrust-outbound-1q

SRG-policy-interzone-trust-untrust-outboundq

7. 配置防火墙的easy-ip

SRGnat-policy interzone trust untrust outbound

SRG-nat-policy-interzone-trust-untrust-outboundpolicy 1

SRG-nat-policy-interzone-trust-untrust-outbound-1policy source any

SRG-nat-policy-interzone-trust-untrust-outbound-1action source-nat

SRG-nat-policy-interzone-trust-untrust-outbound-1easy-ip g0/0/3

SRG-nat-policy-interzone-trust-untrust-outbound-1q

SRG-nat-policy-interzone-trust-untrust-outboundq

8. 配置untrust访问DMZ区域

SRGpolicy interzone untrust dmz inbound

SRG-policy-interzone-dmz-untrust-inboundpolicy 1

SRG-policy-interzone-dmz-untrust-inbound-1policy source any

SRG-policy-interzone-dmz-untrust-inbound-1policy destination 192.168.20.2 0

SRG-policy-interzone-dmz-untrust-inbound-1action permit

SRG-policy-interzone-dmz-untrust-inbound-1q

SRG-policy-interzone-dmz-untrust-inboundq

9. 设置nat规则

SRGnat server protocol tcp global interface g0/0/3 www inside 192.168.20.2 www

验证:

Client1ping 通Server1(192.168.20.2)和访问Server1的HTTP服务

Client1ping 通Server2(40.0.0.2)和访问Server2的HTTP服务

使用Wireshark抓取防火墙G0/0/3接口

分别使用Client1和Client2pingServer2(40.0.0.2),发现地址进行了转换

使用Client3访问DMZ区域的HTTP服务器Server1(192.168.20.2),在访问时使用的是防火墙的G0/0/3接口IP

相关推荐
SelectDB11 小时前
Litefuse 开源并推出单进程轻量模式,25 秒就能跑起来的 Agent 可观测与评估平台
运维·后端·自动化运维
zzzzzz3102 天前
9K Star 炸裂开源!这个 C 语言写的代码知识图谱,把 Linux 内核索引压缩到了 3 分钟
linux·服务器·sql
XIAOHEZIcode2 天前
Linux系统鼠标偏移常见原因以及修复方案
linux·运维·游戏
用户0328472220703 天前
如何搭建本地yum源(上)
运维
大树885 天前
金刚石散热越强,管路越先见顶
大数据·运维·服务器·人工智能·ai
摇滚侠5 天前
Linux CentOS7 rpm 安装 MySQL 5.7
linux·运维·mysql
程序猿追5 天前
那个右下角的小数字怎么“卡”住我打字——我用 HarmonyOS 自己写了一个字数限制输入框
pytorch·华为·harmonyos
古德new6 天前
鸿蒙PC使用electron迁移:Joplin Electron 桌面适配全记录
华为·electron·harmonyos
世人万千丶6 天前
桌面便签小应用 - HarmonyOS ArkUI 开发实战-TextArea与Flex布局-PC版本
华为·harmonyos·鸿蒙·鸿蒙系统
霸道流氓气质6 天前
领域驱动设计(DDD)在 Spring Boot 微服务中的实践指南
运维·spring boot·微服务
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05GitHub 镜像站点06Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析07AI一周事件 · 2026-06-03 至 2026-06-0908AI科技热点日报 | 2026年6月1日09Codex 下载安装指南:Windows 和 macOS 官方版下载10上线仅72小时被强制下架:Claude Fable 5 的短命