华为USG5500防火墙配置NAT

LKAI.2024-11-18 17:28

实验要求:

1. 按照拓扑图部署网络环境,使用USG5500防火墙,将防火墙接口加入相应的区域,添加区域访问规则使内网trust区域可以访问DMZ区域的web服务器和untrust区域的web服务器。

2. 在防火墙上配置easy-ip,使trust区域主机能够访问untrust区域的服务器。

3. 在防火墙配置nat server,使untrust区域的客户端能够通过目标地址转换访问DMZ区域的服务器。

1. 启动设备

2.. 配置IP地址

3. 配置默认路由条目

[SRG]ip route-static 0.0.0.0 0.0.0.0 30.0.0.2

4. 配置HTTP服务器

5. 将防火墙接口加入相应的区域

[SRG]firewall zone trust

[SRG-zone-trust]add interface g0/0/1

[SRG-zone-trust]q

[SRG]firewall zone dmz

[SRG-zone-dmz]add interface g0/0/2

[SRG-zone-dmz]q

[SRG]firewall zone untrust

[SRG-zone-untrust]add interface g0/0/3

[SRG-zone-untrust]q

6. 给防火墙配置trust访问DMZ区域,trust访问untrust区域

[SRG]policy interzone trust dmz outbound

[SRG-policy-interzone-trust-dmz-outbound]policy 1

[SRG-policy-interzone-trust-dmz-outbound-1]policy source 192.168.10.0 mask 24

[SRG-policy-interzone-trust-dmz-outbound-1]action permit

[SRG-policy-interzone-trust-dmz-outbound-1]q

[SRG-policy-interzone-trust-dmz-outbound]q

[SRG]policy interzone trust untrust outbound

[SRG-policy-interzone-trust-untrust-outbound]policy 1

[SRG-policy-interzone-trust-untrust-outbound-1]policy source any

[SRG-policy-interzone-trust-untrust-outbound-1]action permit

[SRG-policy-interzone-trust-untrust-outbound-1]q

[SRG-policy-interzone-trust-untrust-outbound]q

7. 配置防火墙的easy-ip

[SRG]nat-policy interzone trust untrust outbound

[SRG-nat-policy-interzone-trust-untrust-outbound]policy 1

[SRG-nat-policy-interzone-trust-untrust-outbound-1]policy source any

[SRG-nat-policy-interzone-trust-untrust-outbound-1]action source-nat

[SRG-nat-policy-interzone-trust-untrust-outbound-1]easy-ip g0/0/3

[SRG-nat-policy-interzone-trust-untrust-outbound-1]q

[SRG-nat-policy-interzone-trust-untrust-outbound]q

8. 配置untrust访问DMZ区域

[SRG]policy interzone untrust dmz inbound

[SRG-policy-interzone-dmz-untrust-inbound]policy 1

[SRG-policy-interzone-dmz-untrust-inbound-1]policy source any

[SRG-policy-interzone-dmz-untrust-inbound-1]policy destination 192.168.20.2 0

[SRG-policy-interzone-dmz-untrust-inbound-1]action permit

[SRG-policy-interzone-dmz-untrust-inbound-1]q

[SRG-policy-interzone-dmz-untrust-inbound]q

9. 设置nat规则

[SRG]nat server protocol tcp global interface g0/0/3 www inside 192.168.20.2 www

验证:

Client1ping 通Server1(192.168.20.2)和访问Server1的HTTP服务

Client1ping 通Server2(40.0.0.2)和访问Server2的HTTP服务

使用Wireshark抓取防火墙G0/0/3接口

分别使用Client1和Client2pingServer2(40.0.0.2),发现地址进行了转换

使用Client3访问DMZ区域的HTTP服务器Server1(192.168.20.2),在访问时使用的是防火墙的G0/0/3接口IP

相关推荐
likfishdn12 分钟前
Linux的文件与目录管理
linux·运维·服务器
渲染101专业云渲染14 分钟前
川翔云电脑优势总结
服务器·3d·电脑·blender·maya
chian-ocean32 分钟前
Linux 文件缓冲区:高效数据访问的幕后推手
linux·运维·服务器
加油=^_^=34 分钟前
【Linux】进程优先级 | 进程调度(三)
linux·运维·服务器
橘子味的茶二43 分钟前
高级系统架构师--第十章:计算机网络
服务器·计算机网络·系统架构
东锋1.31 小时前
IP、网关、子网掩码、DNS 之间的关系详解
网关·智能路由器·ip·dns·子网掩码
一只小姜丝3321 小时前
解决各大浏览器中http地址无权限调用麦克风摄像头问题
网络·vue.js·网络协议·http
紫菜(Nori)1 小时前
短连接服务器压测-wrk
服务器·压力测试
元气满满的热码式1 小时前
Docker数据卷操作实战
linux·运维·docker·云原生·容器
陆沙1 小时前
deepseek-r1-centos-本地服务器配置方法
linux·服务器·centos
热门推荐
01DeepSeek各版本说明与优缺点分析02本地部署DeepSeek教程(Mac版本)03如何在WPS和Word/Excel中直接使用DeepSeek功能04DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具05太炸裂了!清华大学deepseek从入门到精通使用手册又出第三版了,《普通人如何抓住DeepSeek红利》(无套路,直接下载)06DeepSeek本地部署详细指南07从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑08本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程09DeepSeek r1本地安装全指南10保姆级教程:利用Ollama与Open-WebUI本地部署 DeedSeek-R1大模型