由于未正确配置nat server导致Trust域用户不能访问DMZ服务器

已于 2023-08-17 08:45:07 修改
阅读量268 收藏
点赞数
分类专栏: 网络 文章标签: 华为
于 2023-08-17 08:44:18 首次发布
原文链接:https://support.huawei.com/enterprise/zh/knowledge/EKB1000000678
版权

问题描述

  如图所示,一台部署在企业出口,企业内部用户属于Trust区域,通过接口GE0/0/2与连接。FTP服务器等服务器属于DMZ区域,对外部和内部网络提供FTP等服务,通过接口GE0/0/1与连接。的接口GE0/0/3与Internet连接,属于Untrust区域。
防火墙上启动NAT功能。相关配置如下:
[sysname-interzone-trust-untrust] nat outbound 2000 address-group 1
[sysname] nat server global x.x.x.x inside 192.168.2.2
其中,211.1.1.8是FTP服务器的公网IP地址。
配置完成后,Trust区域的用户无法访问FTP服务器的私网地址192.168.2.2,只能访问其公网地址x.x.x.x。

告警信息

处理过程

  修改nat server命令,添加zone关键字。将该命令只应用到DMZ和Untrust域间。[sysname] nat server zone untrust global  x.x.x.x inside 192.168.2.2

根因

在配置命令nat server时没有指定zone关键字,nat server命令应用到了Trust和DMZ域间。造成Trust区域用户必须访问公网地址才能命中会话表。

建议与总结

在DMZ区域配置nat server时,如果需要Trust区域的用户用私网地址访问FTP服务器,必须配置zone关键字。

月球挖掘机
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为防火墙配置命令-trust-dmz-untrust
weixin_45986422的博客
05-12 9738
R1配置命令 <Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]undo inf enable Info: Information center is disabled. [Huawei]sys R1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.9.195 24 [R1-GigabitEthernet0/0/0]undo sh Inf..
学习笔记记录ensp中防火墙配置(trust,unstrus,dmz 资源下载可用)
最新发布
04-23
学习笔记记录ensp中防火墙配置(trust,unstrus,dmz 资源下载可用)
DMZ区详解
qq_20411471的博客
10-08 5167
1、DMZ是什么? 英文全名“Demilitarized Zone”,中文含义是“隔离区”。在安全领的具体含义是“内外网防火墙之间的区”。 2、DMZ做什么? DMZ区是一个缓冲区,在DMZ区存放着一些公共服务器,比如论坛等。 用户要从外网访问到的服务,理论上都可以放到DMZ区。 内网可以单向访问DMZ区、外网也可以单向访问DMZ区。 3、为什么设置DMZ区? 为了安全(哈哈!)...
路由器端口映射和dmz无法访问内网搭建的网站
mumuemhaha的博客
04-21 995
路由器把80端口封了,要开启就要去备案了(改成其他的端口外网应该也访问不了)昨天想着不用内网穿透用路由器端口映射打开或者路由器dmz做全端口映射。但是外网访问不了,后来我想是不是我的路由器是不是不是公网ip。结果百度搜索ip出现的ip和我路由器的wlan ip一样。然后我在手机开流量用我公网的ip用ssh链接了一下。(注意:依旧用外网或者流量访问)查看我开放的端口。然后匪夷所思的是搭建宝塔网站外网可以访问。结果外网访问不了我宝塔搭建的网站。内网可以进(用的也是公网ip)为什么访问不了我的网站。
初探华为防护墙(1)------直连怎么ping不通?什么鬼?看完你就明白了
wlgcszz的博客
06-14 8874
华为防火墙直连ping不通
ensp配置服务器发布(将DMZ区的web服务区发布,供client访问
qiuqiunile_的博客
10-10 4555
一、建立如下拓扑图,并配置设备 配置网云 配置服务端 随意添加一个供客户端访问的文件: 配置客户端 二、配置安全策略和NAT策略 1)登录防火墙web配置界面: https://192.168.0.1 默认用户admin 密码Admin@123 2)配置安全策略 配置NAT策略 3)配置接口 g1/0/2: g1/0/3: ...
防火墙实验(实现trust、untrustDMZ互通)
weixin_64311421的博客
03-17 4639
通了之后在浏览器上输入192.168.81.2,输入用户密码。先给交换机LSW1接口配置划分VLAN2和VLAN3。分别在server1 和server3上测试是否成功。用LSW1上ping 防火墙10.1.255.2。在PC1上ping 10.1.255.2。在交换机上配置vlan10 vlan11。修改g1/0/2和g1/0/3连接类型。在FW1上配置一个静态路由。到这里区内部都互通了。在LSW1上写个缺省路由。再在物理主机上ping。在server2上配置。先配置GE0/0/0。
ASA的内网访问DMZ服务器名解决方案!!.doc
07-05
在实际工作中,我们经常遇到公司把 WWW 服务器放在 ASA 的 DMZ,要求内部用户也能通过 WWW 服务器名进行访问。这个问题也有很多的工程师来问,其实这个问题也是个老问题了,但是总有很多弟兄不知该如何配置...
高级配置NATDMZ配置[归纳].pdf
10-12
"高级配置NATDMZ配置" 本节主要讲述高级配置NATDMZ配置配置方法。NAT(网络地址转换)是一种将一个IP地址(如Intranet)映射到另一个IP地址(如Internet)的技术。NAT的出现是为了解决IP日益短缺的...
利用ISA-Server2006发布DMZ服务器(3).docx
11-01
利用ISA_Server2006发布DMZ服务器
实验四cisco思科asa5505从内网访问DMZ服务器(真实防火墙)收集.pdf
11-23
实验四Cisco ASA5505从内网访问DMZ服务器(真实防火墙)收集 这篇实验指导了如何使用Cisco ASA 5505从内网访问DMZ服务器(真实防火墙)。实验的主要目标是创建VLAN、配置接口、配置内部转换地址池(NAT)、配置WWW...
防火墙中的DMZ,Trust,Untrust
热门推荐
冷鞘-的博客
07-01 4万+
** 区的作用: ** 1.安全策略都基于区实施 2.在同一区内部发生的数据流动是不存在风险的,不需要实施任何安全策略。 只有当不同安全区之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。 3.一个接口只能属于一个区,而一个区可以有多个接口。 ** DMZ, ** 1.两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。 2.服务器 内 外网都可以访问,但还是与内网隔离. 就算是黑客把DMZ服务器拿下,也不能使用服务
配置内网访问外网
2301_77500163的博客
11-03 1713
该区主要定义设备⾃⾝发起的流量,或者是抵。、抓包查看,地址发⽣了转换,转换为出接⼝地址。、新建服务器映射,实现外⽹访问内⽹服务器配置安全策略,允许安全区的互相访问。、抓包查看,地址转换成了地址池中的地址。、点击接⼝,在弹窗可以修改区类型,、允许接⼝所有服务类型,其中包括。,通常⽤于定义内⽹所在区。(⾮受信任区):安全级别。,通常⽤于定义互联⽹流量。(⾮军事化区):安全级别。,通常⽤于定义服务器。地址、所属区、服务类型。(受信任区):安全级别。(本地区):安全级别。
华为防火墙USG6000V---内网访问外网---外网访问内网服务器NAT服务器)示例配置
lehe99的专栏
11-03 1万+
华为防火墙USG6000V示例配置,展示了访问防火墙、内网服务器、外网和外网访问内网服务器NAT服务器)的配置
华为防火墙 DMZ 设置
一直被模仿,从未被超越
11-21 2321
例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器,但不可能接触到存放在内网中的信息,就算黑客入侵DMZ服务器,也不会影响到公司内部网络安全,不允许任何外部网络的直接访问,实现内外网分离,在企业的信息安全防护加了一道屏障。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个位于内部网络与外部网络之间的缓冲区,在这个网络区内可以放置一些公开的服务器资源。DMZ 是英文"Demilitarized Zone"的缩写,中文名称为"隔离区"
华为模拟器eNSP防火墙综合实验
末初的CSDN博客
05-19 2万+
实验配置目标: trust可以访问DMZ trust可以访问unstrust unstrust可以访问DMZ 首先把三个区的接口地址给配置上: Trust: R1: sys un in en sysname Trust_R1 int e0/0/0 ip address 192.168.1.7 24 dis this Unstrust: R2: sys un in en sysname Unstrust_R2 int e0/0/0 ip address 177.7.7.7 .
DMZ
weixin_34112208的博客
05-05 496
DMZ区 基本介绍   DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区内,在这个小网络区内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服...
华为防火墙区配置
qq_45049184的博客
11-03 4119
防火墙区配置 1、trust内的R1的L0和L1接口能访问DMZ的web服务器 2、trust内的R1的L2和L3接口能访问DMZ的ftp服务器 3、位于untrust的全部环回口都能够访问dmz的web服务器和ftp服务器 4、rust的环回口能访问untrust
华为防火墙基本配置
qq_57258570的博客
11-19 6596
、网络中的攻击类型 1.木马 :木马是一种伪装技术,把一段程序(夺权或开启后门)伪装到一个正常的文件或程序中。获取管理员权限,盗取账号等。 2.后门 :人为给系统留漏洞,便于下一次的入侵行为。 3.病毒 :为破坏系统或文件。 4.广播攻击 : 攻击网络通讯,使网络变慢或瘫痪。 5.拒绝服务攻击:针对指定的服务或服务器进行攻击,使其无法提供服务。 6.欺骗 :sql注入,html页面脚本,收集客户端的信息。 2、华为防火墙 1.型号:USG2000...
考勤机dmz服务器nginx转发代理配置 写操作步骤(不接受vi)
03-25
1. 登录到考勤机DMZ服务器上,使用root用户访问。 2. 安装NGINX服务器。如果已经安装,则可以跳过此步骤。执行以下命令安装NGINX: ``` yum install nginx ``` 3. 在NGINX配置中添加代理规则。打开NGINX配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值