华为USG6000防火墙.内网用户通过公网IP访问内部服务器 ...

最新推荐文章于 2024-05-13 08:45:00 发布
最新推荐文章于 2024-05-13 08:45:00 发布
阅读量3.2w 收藏 42
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiagan1432/article/details/68485311
版权
较多人问内网如何通过公网IP、域名访问内部服务器,这里涉及数据回流问题,可以通过域内NAT来实现

配图环境如下:


配置思路
  • 配置接口IP地址和安全区域,完成网络基本参数配置。
  • 配置安全策略。
  • 配置NAT Server功能,创建两条静态映射,分别映射内网Web服务器和FTP服务器。
  • 配置源NAT策略使PC D可以访问服务器的公网地址。
  • 在FW上配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
  • 在FW上配置黑洞路由,避免FW与Router之间产生路由环路。
  • 在Router上配置到服务器映射的公网地址的静态路由。

操作步骤
1.配置接口IP地址和安全区域,完成网络基本参数配置。 

# 配置接口GigabitEthernet 1/0/1的IP地址。
<FW> system-view
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[http://utsvxa94.bqcrg.cn] quit

# 配置接口GigabitEthernet 1/0/2的IP地址。
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 10.2.0.1 24
[FW-GigabitEthernet1/0/2] quit

# 将接口GigabitEthernet 1/0/1加入Untrust区域。
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[http://wylfja35.gpztir.cn] quit

# 将接口GigabitEthernet 1/0/2加入DMZ区域。
[FW] firewall zone dmz
[FW-zone-dmz] add interface GigabitEthernet 1/0/2
[http://gpdrqa107.wzwnof.cn] quit


2.配置安全策略。 
[FW] security-policy
[FW-policy-security] rule name policy1
[FW-policy-security-rule-policy1] source-zone untrust
[FW-policy-security-rule-policy1] destination-zone dmz
[FW-policy-security-rule-policy1] destination-address 10.2.0.0 24
[FW-policy-security-rule-policy1] action permit
[FW-policy-security-rule-policy1] quit
[http://bpeyqa93.yrsgk.cn] quit
http://sptoba48.vvwop.cn

3.配置NAT地址池。 
[FW] nat address-group addressgroup1
[FW-address-group-addressgroup1] mode pat
[FW-address-group-addressgroup1] section 0 1.1.1.11 1.1.1.11
[FW-address-group-addressgroup1] route enable
[FW-address-group-addressgroup1] quit
http://jopgya69.yyefor.cn

4.配置源NAT策略。 
[FW] nat-policy
[FW-policy-nat] rule name policy_nat1
[FW-policy-nat-rule-policy_nat1] source-zone dmz
[FW-policy-nat-rule-policy_nat1] destination-zone dmz
[FW-policy-nat-rule-policy_nat1] source-address 10.2.0.6 32
[FW-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
[FW-policy-nat-rule-policy_nat1] quit
[FW-policy-nat] quit
http://qxmtga146.rglbl.cn

5.配置NAT Server功能。 
[FW] nat server policy_web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www
[FW] nat server policy_ftp protocol tcp global 1.1.1.10 ftp inside 10.2.0.8 ftp


6.开启FTP协议的NAT ALG功能。 
[FW] firewall zone dmz
[FW-zone-dmz] detect ftp
[FW-zone-dmz] quit
[FW] firewall interzone dmz untrust
[FW-interzone-dmz-untrust] detect ftp
[FW-interzone-dmz-untrust] quit
http://evfjna81.phhlsv.cn

7.配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。 
[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254


8.配置黑洞路由,避免FW与http://tcofka10.yfcwba.cn之间产生路由环路。 
[FW] ip route-static 1.1.1.10 32 NULL 0


9.在Router上配置到服务器映射的公网地址(1.1.1.10)的静态路由,下一跳为1.1.1.1,使得去服务器的流量能够送往FW。 

通常需要联系ISP的网络管理员来配置此静态路由。

jiagan1432
关注
  • 4
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pppoe拨号的外网ip无法ping通_华为防火墙配置双链路接入,并且在内网能用公网IP访问服务器...
weixin_39914938的博客
11-24 1329
由于这个时代对网络的依赖,多条宽带的接入变得很平常,本文讲述某企业申请了两条电信光纤,一条是固定IP的城域网,另一条则是PPPOE拨号的普通宽带,前者用于服务器和硬盘录像机,后者用来办公上网。接入设备是华为防火墙,型号:USG6330,下面来配置两条宽带的接入配置,以及策略路由,并且需要为某一台服务器配置为在内外网都用公网IP访问。老规矩,先上个超级简陋版的拓扑图:一、配置接口及安全...
华为防火墙USG6000系列多ISP上网(通过WEB界面设置)
daxihe880的博客
03-23 9766
华为防火墙多ISP上网,内网分区上网。内网多网段不同上网方式。
EVE-NG--华为防火墙USG6000v 内外网打通,并均可通过公网IP访问FTP服务器
renxq097的博客
03-04 6912
EVE-NG–华为防火墙USG6000v 内外网打通,并均可通过公网IP访问FTP服务器 所有镜像在EVE-NG第一个博客百度云链接里面,自行下载。 需要现成自制镜像的私信我,百度云盘无偿分享给你。 组网图 项目需求介绍 1.企业内网用户和FTP服务器均在同一网段10.3.0.0/24,且均放在Trust安全区域。 2.Win模拟外网用户IP地址采用向端口G1/0/1自动获得,放置至不信任区(模拟外网)。 3.内网用户和外网用户均通过公网地址1.1.1.1和端口2121访问FTP服务器. 4
外网如何访问内网服务器?快解析内网穿透使用教程
最新发布
wat0612的博客
05-13 842
随着信息化建设的飞速发展,为了提高工作效率,越来越多的企业搭建了ERP、OA、CRM等应用服务器,同时为了数据安全考虑,将应用服务器放在内网。随着企业的发展壮大,访问需求不再局限于局域网,如何实现外网访问内网服务器,成为所有企业需要面对的共同问题。不过这个方案只适合中大型企业,因为专线的成本过高,而用户只需要解决异地访问的需求,性价比自然就低了。快解析作为金万维旗下一款动态域名解析软件,其中NAT版具备了内网穿透的功能,无需公网IP、无需端口映射,解决了外网访问内网服务器的问题。
华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置
热门推荐
lehe99的专栏
11-03 1万+
华为防火墙USG6000V示例配置,展示了访问防火墙内网服务器、外网和外网访问内网服务器(NAT服务器)的配置。
华为防火墙(以USG6330为例)公网直接访问问题解决
爱新觉罗启钰的CSDN博客
01-10 4329
华为防火墙作为公司网络出口设备,连接ISP网络。在公网输入公司的公网IP地址,会自动添加端口号,跳转到防火墙外网登录界面。
USG防火墙------内外网用户通过外网IP访问内部服务器(NAT)
IT技术小Home
01-02 8774
实现需求:用户通过内外网用户通过公网IP访问内部服务器。 一、局域网配置:交换机(SW7)、防火墙(FW3)、服务器(Server1)、客户端(Client1) 二、配置思路 1、配置防火墙接口和IP地址 interface GigabitEthernet1/0/0 undo shutdown ip address 10.1...
可以导入vmware workstation的华为防火墙usg6000.rar
09-06
本人亲测,而且功能和现在最新真实防火墙完全一样,不像ENSP里面的防火墙有各种各样的BUG,导出的配置可以直接导入真实防火墙内,打开后密码是华为防火墙默认密码
华为安全网关 HUAWEI USG6000E 手册.zip
04-14
华为USG6000E安全网关的使用手册,讲解很详细
华为ensp USG6000V.zip 配套资源,亲测可用。一定要记得开启开启CPU虚拟化!!!否则一直都是#号
03-16
1.ensp 2.USG6000V防火墙导入文件
华为防火墙 USG6000v 配置详细版.docx
03-19
针对华为ensp模拟软件,为学习者提供USG6000v防火墙详细配置教程以及调试方法供使用者学习,更好的进行模拟实验,帮助了解防火墙的配置流程以及技术要领
USG6000v-ensp--.zip
07-03
华为模拟器eNSP6000V设备包USG6000V.zip 包含镜像文件,NFV 架构的虚拟综合业务网关,虚拟资源利用率高资源虚拟化技术支持大量多租户共同使用,产品具备丰富的网关业务能力,如vFW 、ipsec 、VvLB 、VlPS 、VAV 、VURL ...
华为USG6000 防火墙默认设置
yiluyangguang1234的专栏
10-25 1万+
1 防火墙接口默认(永远都是)属于local ,直连设备Ping 防火墙的接口也不能ping通,即使是配置了正确策略的情况下。需要在接口下开启,service-manage ping permit. 2 防火墙区域之间的访问都要配置策略,无论是从低优先级到高优先级还是从高优先级到低优先级。 3 接口下禁止具体的某一项应用(如Ping),在接口下输入:service-manage ping deny...
华为防火墙USG6000登录WEB页面设置安全区域
qq_51444009的博客
07-03 4188
实验要求: 1:trust ping untrust 2: trust ping dmz 3: untrust ping dmz 4: 防火墙访问所有区域 配置R1和R2路由器IP地址 R1: interface Ethernet0/0/0 ip address 10.0.0.2 255.255.255.0 R2: interface Ethernet0/0/0 ip address 172.16.0.2 255.255.255.0 服务器设置 重点:服务器网关一定要与连接防火墙的接口IP地址相同,不然..
通过Web界面访问华为USG6000防火墙+安全策略
qq_42586326的博客
08-21 1万+
通过Web界面访问华为USG6000防火墙+安全策略
饿了吗!来点营养的-华为USG6000V防火墙超详细配置
Friendsofthewind的博客
07-03 7044
华为防火墙设备管理方式 温馨提示:本章介绍最常用的两种Telnet、SSH方式管理 华为防火墙是AAA(Authentication Authorization Accounting)服务器,它是一种机制,能够处理用户访问请求的服务程序,为具有访问权限的用户提供服务。 验证:Authentication哪些用户可以访问 授权:具有访问权限的用户可以得到哪些服务,有什么权限 记账:对使用网络资源的用户审计 带外管理:Console方式管理,适用于刚买的新设备或者网络故障无法使用其他方式管理,此方式不需要IP
公众号配置服务器必须是80端口吗_华为USG6000配置NAT Server及原理讲解案例分享...
weixin_39814393的博客
11-17 747
公司的私网通常会有一些服务需要提供给公网用户访问,但是由于网络部署时,服务器地址一般都会配置成私网地址,这样就不能实现公网用户访问了。那么华为防火墙作为企业的出口网关时,是如何解决这个问题呢?很多小伙伴会第一时间想到用NAT,没错,大致的方向正确了。只不过之前我们所使用的是源NAT,是对私网用户访问公网的报文源地址进行转换,而服务器公网提供服务器时,是公网用户想私网发起访问,方向正好相反了。...
华为USG6000防火墙安全策略配置实例(CLI方式)
永远是少年
07-26 1万+
今天给大家介绍华为防火墙的安全策略配置实例。本文采用华为eNSP模拟器,设计了一个USG6000系列防火墙的配置实例,并安全要求完成了相应配置。 一、实验拓扑及要求 实验拓扑如上所示,现在要求配置如图所示的实验拓扑图,并配置防火墙安全策略实现: 1、Trust区域可以访问Untrust区域。 2、Trust区域可以访问DMZ区域的lo0,但不能访问其他IP地址。 二、实验配置命令 (一)华为防火墙默认安全策略 在华为系列防火墙中,默认的安全策略根据出入区域的不同而不同,具体如下所示: 1、域内流量。 域内
NAT环境下,内网用户使用公网地址访问内网服务器
phoenix1415的博客
02-24 1万+
一、原理分析(cisco路由器) 1、传统NAT 内网用户服务器上外网和外网用户访问内网服务器均正常。 NAT设备,改变了syn包的目的地址,但是没有改变syn包的源地址,导致服务器的syn ack包直接给了client,从而导致三次握手失败。 2、传统NAT+PBR(借鉴NAT-on-stick) ...
usg6000v.zip
05-10
1.全面的网络安全管理:usg6000v.zip提供了全面的网络安全管理功能,包括用户认证、访问控制、攻击防御和漏洞修复等,为企业的网络安全保障提供强有力的支持。 2.优异的网络性能:usg6000v.zip具有优异的网络性能和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值