本文作者:电脑知识教程网

防火墙Trust区域访问互联网的NAT配置分享

电脑知识教程网 2025-03-14 11:19:15
后台-系统设置-扩展变量-手机广告位-内容正文顶部
摘要:

上一节我们配置了内网用户访问DMZ区域,今天我们来配置一下内网用户访问互联网!

首先配置好各接口IP地址,并将接口加入到相应的安全区域内

配置Trust用户访问互联网UnTrust

1、创建地址池

[FW1]nat address-group 1 10.1.1.20 10.1.1.21//配置NAT转换公网地址池;

2、配置NAT策略

[FW1]nat-policy interzone trust untrust outbound

[FW1-nat-policy-interzone-trust-untrust-outbound]policy 10

[FW1-nat-policy-interzone-trust-untrust-outbound-10]action source-nat

//配置源NAT转换,也可以配置no-pat模式;

[
FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 192.168.2.0 mask 24 (某一段地址)

[
FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 192.168.1.10 0(允许单个主机放行)

[FW1-policy-interzone-trust-untrust-outbound-20]policy destination any

3、配置源NAT地址转换

[
FW1-nat-policy-interzone-trust-untrust-outbound-10]address-group 1//关联地址池,使用端口复用PAT模式;若使用动态NAT,多对多模式,配置下列命令:

4、No-Pat地址转换

[
FW1-nat-policy-interzone-trust-untrust-outbound-10]address-group 1 no-pat//No-pat不进行端口转换,只进行地址转换,表示一对一转换,一个公网对应一个私网地址;

5、配置Trust到untrust安全策略并放行

[FW1]policy interzone trust untrust outbound

[FW1-policy-interzone-trust-untrust-outbound]policy 20

[
FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 192.168.1.0 mask 24 (放行转换之前的地址,某一段地址)

[FW1-policy-interzone-trust-untrust-outbound-20]policy service service-set icmp//不配置表示允许所有;

华为防火墙路由模式部署,简单配置分享

下面拓扑是防火墙的一种部署方式,按照网络规划,先配置好路由器、防火墙、核心交换机及各终端、服务器设备的IP地址。1路由器R1的配置[Huawei]sysnameR1[R1]interfaceGigabitEthernet0/0/0[R1-

[FW1-policy-interzone-trust-untrust-outbound-20]action permit

[FW1-policy-interzone-trust-untrust-outbound-20]q

[FW1-policy-interzone-trust-untrust-outbound]q

[FW1]

注意:按照数据包到防火的转发流程,先匹配安全策略,策略通过的话,再匹配源NAT。

6、检测配置

查看NAT策略

[FW1]display nat-policy all

[FW1]display nat-policy interzone trust untrust outbound

这个只有流量通过后,才能有数据;

[FW1]display firewall session table

检查安全策略

<FW1>display policy all

7、创建防火墙路由

[FW1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.11

<FW1>display ip routing-table protocol static

8、测试内部终端到公网PC

9、查看会话表

<FW1>display firewall session table

10、查看会话表详细信息

<FW1>display firewall session table verbose

[FW1]display firewall packet-filter default all

如何通过旁路模式部署防火墙

实现防护功能的同时,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险。用于把设备接在交换机的镜像口,保证外网用户访问服务器的数据经过此交换机,并

后台-系统设置-扩展变量-手机广告位-内容正文底部

标签: 防火墙Trust区域访问互联网

未经允许不得转载:

作者:电脑知识教程网,原文地址:防火墙Trust区域访问互联网的NAT配置分享发布于2025-03-14 11:19:15
转载或复制请以超链接形式并注明出处 演示站

分享到:
赞(

打赏

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

留言与评论(共有 0 条评论)
   
验证码: