华为USG5500防火墙配置NAT

LKAI.2024-11-18 17:28

实验要求:

1. 按照拓扑图部署网络环境,使用USG5500防火墙,将防火墙接口加入相应的区域,添加区域访问规则使内网trust区域可以访问DMZ区域的web服务器和untrust区域的web服务器。

2. 在防火墙上配置easy-ip,使trust区域主机能够访问untrust区域的服务器。

3. 在防火墙配置nat server,使untrust区域的客户端能够通过目标地址转换访问DMZ区域的服务器。

1. 启动设备

2.. 配置IP地址

3. 配置默认路由条目

SRGip route-static 0.0.0.0 0.0.0.0 30.0.0.2

4. 配置HTTP服务器

5. 将防火墙接口加入相应的区域

SRGfirewall zone trust

SRG-zone-trustadd interface g0/0/1

SRG-zone-trustq

SRGfirewall zone dmz

SRG-zone-dmzadd interface g0/0/2

SRG-zone-dmzq

SRGfirewall zone untrust

SRG-zone-untrustadd interface g0/0/3

SRG-zone-untrustq

6. 给防火墙配置trust访问DMZ区域,trust访问untrust区域

SRGpolicy interzone trust dmz outbound

SRG-policy-interzone-trust-dmz-outboundpolicy 1

SRG-policy-interzone-trust-dmz-outbound-1policy source 192.168.10.0 mask 24

SRG-policy-interzone-trust-dmz-outbound-1action permit

SRG-policy-interzone-trust-dmz-outbound-1q

SRG-policy-interzone-trust-dmz-outboundq

SRGpolicy interzone trust untrust outbound

SRG-policy-interzone-trust-untrust-outboundpolicy 1

SRG-policy-interzone-trust-untrust-outbound-1policy source any

SRG-policy-interzone-trust-untrust-outbound-1action permit

SRG-policy-interzone-trust-untrust-outbound-1q

SRG-policy-interzone-trust-untrust-outboundq

7. 配置防火墙的easy-ip

SRGnat-policy interzone trust untrust outbound

SRG-nat-policy-interzone-trust-untrust-outboundpolicy 1

SRG-nat-policy-interzone-trust-untrust-outbound-1policy source any

SRG-nat-policy-interzone-trust-untrust-outbound-1action source-nat

SRG-nat-policy-interzone-trust-untrust-outbound-1easy-ip g0/0/3

SRG-nat-policy-interzone-trust-untrust-outbound-1q

SRG-nat-policy-interzone-trust-untrust-outboundq

8. 配置untrust访问DMZ区域

SRGpolicy interzone untrust dmz inbound

SRG-policy-interzone-dmz-untrust-inboundpolicy 1

SRG-policy-interzone-dmz-untrust-inbound-1policy source any

SRG-policy-interzone-dmz-untrust-inbound-1policy destination 192.168.20.2 0

SRG-policy-interzone-dmz-untrust-inbound-1action permit

SRG-policy-interzone-dmz-untrust-inbound-1q

SRG-policy-interzone-dmz-untrust-inboundq

9. 设置nat规则

SRGnat server protocol tcp global interface g0/0/3 www inside 192.168.20.2 www

验证:

Client1ping 通Server1(192.168.20.2)和访问Server1的HTTP服务

Client1ping 通Server2(40.0.0.2)和访问Server2的HTTP服务

使用Wireshark抓取防火墙G0/0/3接口

分别使用Client1和Client2pingServer2(40.0.0.2),发现地址进行了转换

使用Client3访问DMZ区域的HTTP服务器Server1(192.168.20.2),在访问时使用的是防火墙的G0/0/3接口IP

相关推荐
code monkey.4 小时前
【Linux之旅】Linux 应用层自定义协议与序列化:从粘包问题到网络计算器
linux·网络·c++
wgc2k4 小时前
Node.js游戏服务器项目移植-2: 用TypeScript还是Javascript
服务器·游戏·node.js
2401_892423364 小时前
OSPF笔记
网络·智能路由器
草莓熊Lotso4 小时前
【Linux网络】深入理解 HTTP 协议(二):从协议格式到手写工业级 HTTP 服务器
linux·运维·服务器·网络·c++·http
上海云盾第一敬业销售5 小时前
服务器遭受攻击的应对策略及快速防护实践
运维·服务器·web安全·ddos
The Straggling Crow11 小时前
Network
网络
剑神一笑11 小时前
Linux pgrep 命令详解:按名称查找进程 PID 的高效方法
linux·运维·chrome
Lumbrologist11 小时前
【零基础部署】Docker 部署 CrewAI 多 Agent 编排框架保姆级教程
运维·docker·容器
yyuuuzz11 小时前
独立站的技术基础与常见运维问题
大数据·运维·服务器·网络·数据库·aws
剑神一笑11 小时前
Linux killall 命令详解:按进程名批量终止进程的原理与实践
linux·运维·chrome
热门推荐
01GitHub 镜像站点022026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf03【AI】2026 年具身智能模型和世界模型总结04【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法05Codex 下载安装指南:Windows 和 macOS 官方版下载06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07CC-Switch & Claude 基于 Linux 服务器安装使用指南08Codex 接入 DeepSeek API 完整配置文档09几个好用的ip纯净度检测网站10CC-Switch 下载、安装与使用配置指南【2026.5.29】