华为防火墙配置使用手册(自己写)

source-ip |,source-port 对应的截图如下。相当于等价路由。

firewall packet-filter default permit interzone local trust direction inbound //允许ping通trust,允许telnet trust接口,使能够访问trust接口,如果不加这条命令不能在防火墙上ping通trust,也不能telnet trust接口。所有的local与业务无关。

firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound

配置内部服务器

V3版本通过acl指定,v5版本通过域间策略指定。 拓扑:Internet------USG2000------WEB服务器

要求:服务器及其内网通过NAT能访问Internet,服务器80端口对外发布网页 配置: 1.NAT

acl number 2000

rule 10 permit source 192.168.0.0 0.0.0.255 nat address-group 1 218.1.1.1 218.1.1.1 firewall interzone trust untrust packet-filter 2000 outbound

nat outbound 2000 address-group 1 2.外网访问服务器

acl number 3000

rule 10 permit tcp destination 192.168.0.2 0 destination-port eq www nat server protocol tcp global 218.1.1.1 www inside 192.168.0.2 www firewall interzone trust untrust packet-filter 3000 inbound

3.配置telnet

acl number 3002

rule 10 permit ip destination 218.1.1.1 0 user-interface vty 0 4 acl 3002 inbound

当内网部署了一台服务器,其真实IP是私网地址,但是希望公网用户可以通过一个公网地址来访问该服务器,这时可以配置NAT Server,使设备将公网用户访问该公网地址的报文自动转发给内网服务器。

前提条件

已经配置USG5300的工作模式(只能为路由模式,混合模式也是可以的) ? 已经配置接口IP地址

? 已经配置接口加入安全区域

? (可选)如果使用虚拟防火墙功能,需要已经创建VPN实例,并配置接口绑定VPN实例

?

背景信息

在实际应用中,可能需要提供给外部一个访问内部主机的机会,如提供给外部一个WWW的服务器,或是一台FTP服务器。使用NAT Server可以灵活地添加内部服务器,例如,可以将内网一台真实IP为10.1.1.2的Web服务器的80端口映射为公网IP地址1.1.1.1的80端口,将一台真实IP为10.1.1.3的FTP服务器的23端口同样映射为公网IP地址1.1.1.1的23端口。

外部网络的用户访问内部服务器时,NAT Server将请求报文的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言,NAT Server还会自动将回应报文的源地址(私网地址)转换成公网地址。

说明:

当针对同一私网IP地址配置了NAT和内部服务器两个功能时,USG5300将优先根据内部服务器功能的配置进行地址转换。

操作步骤

1. 执行命令system-view,进入系统视图。 2. 选择执行以下命令之一,配置内部服务器。

对所有安全区域发布同一个公网IP,即这些安全区域的用户都可以通过访问同一个公网IP来访问内部服务器。

执行命令nat server [ id ] global global-address inside host-address [ vrrp virtual-router-id ] [ vpn-instance vpn-instance-name ],配置不指定协议类型的内部服务器。

? 执行命令nat server [ id ] protocol protocol-type global

global-address [ global-port ] inside host-address [ host-port ] [ vrrp virtual-router-id ] [ vpn-instance vpn-instance-name ],配置指定协议类型的内部服务器。

?

说明:

配置nat server protocol命令时,global-port和host-port只要有一个定义了any,则另一个要么不定义,要么是any。

? 多个不同内部服务器使用一个公有地址对外发布时,可以多次使用nat server命令对其进行配置,但是global-port不能相同。 对所有安全区域发布多个公网IP,即这些安全区域的用户都可以通过访问任意一个公网IP来访问内部服务器。 ? 执行命令nat server [ id ] global global-address inside host-address [ vrrp virtual-router-id ] no-reverse [ vpn-instance vpn-instance-name ],配置不指定协议类型的内部服务器。 ? 执行命令nat server [ id ] protocol protocol-type global

global-address [ global-port ] inside host-address [ host-port ] [ vrrp virtual-router-id ] no-reverse [ vpn-instance vpn-instance-name ],配置指定协议类型的内部服务器。

?

说明:

与发布一个公网IP地址相比,发布多个公网IP地址时多了个参数

no-reverse。配置不带no-reverse参数的nat server后,当公网用户访问服务器时,设备能将服务器的公网地址转换成私网地址;同时,当服务器主动访问公网时,设备也能将服务器的私网地址转换成公网地址。 ? 参数no-reverse表示设备只将公网地址转换成私网地址,不能将私网地址转换成公网地址。当内部服务器主动访问外部网络时需要执行nat outbound命令,nat outbound命令引用的地址池里必需是nat server配置的公网IP地址,否则反向NAT地址与正向访问的公网IP地址不一致,会导致网络连接失败。

?

?

多次执行带参数no-reverse的nat server命令,可以为该内部服务器配置多个公网地址;未配置参数no-reverse则表示只能为该内部服务器配置一个公网地址。

当统一安全网关同时应用于双机热备组网时,如果转换后的NAT服务器地址与VRRP备份组虚拟IP地址不在同一网段,则不必配置携带vrrp关键字的nat server命令;如果转换后的NAT服务器地址与VRRP备份组的虚拟IP地址在同一网段,则需要配置相关命令,且virtual-router-ID为统一安全网关NAT服务器出接口对应的VRRP备份组的ID。

3. 执行命令firewall interzone [ vpn-instance vpn-instance-name ] zone-name1 zone-name2,进入域间视图。

4. (可选)执行命令detect protocol,配置NAT ALG功能。

在USG5300支持FTP、HTTP、H.323、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、SQL.NET、NETBIOS、MMS等协议的会话时,需要在域间启动ALG功能。

配置举例

当一个内部服务器需要对不同网段的外部用户提供服务时,多次执行带

no-reverse参数的nat server命令,可以为一个内部服务器配置多个公网IP地址。此时,外部的不同网段用户可以通过访问不同的公网IP地址来访问此内部服务器。

如图1所示,例如服务器内部IP地址为1.1.1.1,其公网IP地址分别为2.2.2.2和3.3.3.3。

图1 配置NAT Server示意图

[USG5300] nat server protocol tcp global 2.2.2.2 ftp inside 1.1.1.1 ftp no-reverse

[USG5300] nat server protocol tcp global 3.3.3.3 ftp inside 1.1.1.1 ftp no-reverse

联系客服:779662525#qq.com(#替换为@)