当前位置：首页 > article >正文

华为USG5500防火墙配置NAT

article 2024/11/18 8:23:21

实验要求：

1.按照拓扑图部署网络环境，使用USG5500防火墙，将防火墙接口加入相应的区域，添加区域访问规则使内网trust区域可以访问DMZ区域的web服务器和untrust区域的web服务器。

2.在防火墙上配置easy-ip，使trust区域主机能够访问untrust区域的服务器。

3.在防火墙配置nat server，使untrust区域的客户端能够通过目标地址转换访问DMZ区域的服务器。

1.启动设备

2..配置IP地址

3.配置默认路由条目

[SRG]ip route-static 0.0.0.0 0.0.0.0 30.0.0.2

4.配置HTTP服务器

5.将防火墙接口加入相应的区域

[SRG]firewall zone trust

[SRG-zone-trust]add interface g0/0/1

[SRG-zone-trust]q

[SRG]firewall zone dmz

[SRG-zone-dmz]add interface g0/0/2

[SRG-zone-dmz]q

[SRG]firewall zone untrust

[SRG-zone-untrust]add interface g0/0/3

[SRG-zone-untrust]q

6.给防火墙配置trust访问DMZ区域，trust访问untrust区域

[SRG]policy interzone trust dmz outbound

[SRG-policy-interzone-trust-dmz-outbound]policy 1

[SRG-policy-interzone-trust-dmz-outbound-1]policy source 192.168.10.0 mask 24

[SRG-policy-interzone-trust-dmz-outbound-1]action permit

[SRG-policy-interzone-trust-dmz-outbound-1]q

[SRG-policy-interzone-trust-dmz-outbound]q

[SRG]policy interzone trust untrust outbound

[SRG-policy-interzone-trust-untrust-outbound]policy 1

[SRG-policy-interzone-trust-untrust-outbound-1]policy source any

[SRG-policy-interzone-trust-untrust-outbound-1]action permit

[SRG-policy-interzone-trust-untrust-outbound-1]q

[SRG-policy-interzone-trust-untrust-outbound]q

7.配置防火墙的easy-ip

[SRG]nat-policy interzone trust untrust outbound

[SRG-nat-policy-interzone-trust-untrust-outbound]policy 1

[SRG-nat-policy-interzone-trust-untrust-outbound-1]policy source any

[SRG-nat-policy-interzone-trust-untrust-outbound-1]action source-nat

[SRG-nat-policy-interzone-trust-untrust-outbound-1]easy-ip g0/0/3

[SRG-nat-policy-interzone-trust-untrust-outbound-1]q

[SRG-nat-policy-interzone-trust-untrust-outbound]q

8.配置untrust访问DMZ区域

[SRG]policy interzone untrust dmz inbound

[SRG-policy-interzone-dmz-untrust-inbound]policy 1

[SRG-policy-interzone-dmz-untrust-inbound-1]policy source any

[SRG-policy-interzone-dmz-untrust-inbound-1]policy destination 192.168.20.2 0

[SRG-policy-interzone-dmz-untrust-inbound-1]action permit

[SRG-policy-interzone-dmz-untrust-inbound-1]q

[SRG-policy-interzone-dmz-untrust-inbound]q

9.设置nat规则

[SRG]nat server protocol tcp global interface g0/0/3 www inside 192.168.20.2 www

验证：

Client1ping通Server1(192.168.20.2)和访问Server1的HTTP服务

Client1ping通Server2(40.0.0.2)和访问Server2的HTTP服务

使用Wireshark抓取防火墙G0/0/3接口

分别使用Client1和Client2pingServer2(40.0.0.2)，发现地址进行了转换

使用Client3访问DMZ区域的HTTP服务器Server1(192.168.20.2)，在访问时使用的是防火墙的G0/0/3接口IP

查看全文

http://www.kler.cn/a/398440.html

C++builder中的人工智能（27）：如何将 GPT-3 API 集成到 C++ 中

【Node.js】使用 Node.js 需要了解多少 JavaScript？

海康大华宇视视频平台EasyCVR私有化视频平台服务器选购主要参数有哪些？

推荐15个2024最新精选wordpress模板

大数据实验9:Spark安装和编程实践

【Android、IOS、Flutter、鸿蒙、ReactNative 】静态数组

【网络安全 | 漏洞挖掘】通过密码重置污染实现账户接管

《TCP/IP网络编程》学习笔记 | Chapter 13：多种 I/O 函数

git的常用用法（最简精华版）

【软考】系统架构设计师-计算机系统基础（4）：计算机网络

任意文件下载漏洞

基于Jmeter的分布式压测环境搭建及简单压测实践

WSL--无需安装虚拟机和docker可以直接在Windows操作系统上使用Linux操作系统

Http常⻅见请求/响应头content-type内容类型讲解（笔记）

Linux的指令(三)

【GPTs】Ai-Ming：AI命理助手，个人运势与未来发展剖析

Spring-事务学习

yolov8目标检测如何设置背景/无标签图像参与训练

cooper+隐含数+2元cooper

编辑器vim 命令的学习

快速了解Zookeeper和etcd实现的分布式锁

关于宝塔无法在php中安装fileinfo

信也科技和云杉网络的AI可观测性实践分享

如何将32位数据转化1bit valid,1bit modified,19bit tag, 3 bit index, 8bit数据

海康视频监控云台位置切换与拍照图片下载

应用系统开发（10) 钢轨缺陷的检测系统

相关文章：