nat的地址映射 华为_华为USG6000配置NAT Server及原理讲解案例分享

最新推荐文章于 2025-10-16 11:22:01 发布
原创 最新推荐文章于 2025-10-16 11:22:01 发布 · 5.3k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nat的地址映射 华为

部署运行你感兴趣的模型镜像

公司的私网通常会有一些服务需要提供给公网的用户访问,但是由于网络部署时,服务器地址一般都会配置成私网地址,这样就不能实现公网的用户访问了。那么华为防火墙作为企业的出口网关时,是如何解决这个问题呢?

很多小伙伴会第一时间想到用NAT,没错,大致的方向正确了。只不过之前我们所使用的是源NAT,是对私网用户访问公网的报文源地址进行转换,而服务器对公网提供服务器时,是公网用户想私网发起访问,方向正好相反了。针对服务器的地址转换,我们赋予了它一个形象的名字――NAT Server(服务器映射)

下面来看下防火墙上的NAT Server是如何配置和实现的

ab29123ae53b939037e326e392215884.png

配置思路

1、华为防火墙接口配置IP地址,并把对应的接口加入到安全区域。

2、把服务器的私网地址映射成公网地址。

3、配置untrust区域允许访问dmz区域的安全策略

关键配置

1、华为防火墙接口与安全域的配置

[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 10.1.1.1 24
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 1/0/0
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 1.1.1.2 24

2、把服务器的私网地址映射成公网地址。

[FW1]nat server  protocol tcp global 1.1.1.2 9980 inside 10.1.1.2 80

这里将80端口映射为9980端口而不是直接映射为80端口是因为,一些地区的运营商会阻断新增的80、8000、8080端口的业务,从而导致服务器无法访问。

3、配置untrust区域允许访问dmz区域的安全策略

security-policy
 rule name untrust_to_dmz
  source-zone untrust
  destination-zone dmz
  action permit

以上命令配置允许untrust区域的流量访问dmz区域。完成了以上配置之后,可以通过访问1.1.1.2的9980端口,从而访问到内网10.1.1.2的80端口。

14f7cda8e3ff76e09565cab502dc29d2.png

上面的配置是比较简单的,下面来看看具体的流程吧。

当执行了nat server protocol tcp global 1.1.1.2 9980 inside 10.1.1.2 80这条命令后,Server-map会生成以下的映射关系。

7cd20535af24c5a5f9873525bb998f0f.png

上图就是NATServer的Server-map表项, 图中红框标注的字段就记录着服务器私网地址端口和公网地址端口的映射关系。[]内为服务器私网地址和端口、[]外为服务器公网地址和端口。我们将表项翻译成文字就是:任意客户端(any)向(->)1.1.1.2:9980发起访问时,报文的目的地址和端口都会被转换成10.1.1.2:80。具体的流程如下:

当客户端通过1.1.1.2:9980访问服务器时,防火墙收到报文的首包后,首先是查找并匹配到Server-map表项,将报文的目的地址和端口转换为10.1.1.2:80。然后根据目的地址判断出报文在哪两个安全区域间流动,报文通过域间安全策略检查后,防火墙会建立如下的会话表,并将报文转发到私网。

c8362b89d3705c9dbd848e5317d1ae0e.png

之后,服务器对客户端的请求做出响应。响应报文到达防火墙后匹配到上面的会话表,防火墙将报文的源地址和端口转换为1.1.1.2:9980,而后发送至公网。后续客户端继续发送给服务器的报文,防火墙都会直接根据会话表对其进行地址和端口转换,而不会再去查找Server-map表项了

在防火墙的前后抓包,能很清楚地看到NAT Server的效果:

A、转换客户端发往服务器的报文的目的地址和端口。

防火墙处理前:

c69bf8efcc9e9d2131c0f2badeb7209f.png

防火墙处理前

防火墙处理后:

a86bd74030e61c781360b414934a2cc5.png

防火墙处理后

B、转换服务器响应客户端的报文的源地址和端口。

防火墙处理前

872a997cdc6c53ce5d0f32da77dce760.png

防火墙处理前

防火墙处理后

8b89a149c5facce8f73a812deb9aea8c.png

防火墙处理后

以上就是防火墙NAT Server的基本配置和工作原理。更多精彩的内容请关注我的头条号,欢迎大家留言讨论。

您可能感兴趣的与本文相关的镜像

Qwen3-8B

Qwen3-8B

文本生成
Qwen3

Qwen3 是 Qwen 系列中的最新一代大型语言模型,提供了一整套密集型和专家混合(MoE)模型。基于广泛的训练,Qwen3 在推理、指令执行、代理能力和多语言支持方面取得了突破性进展

华为---USG6000V防火墙web基本配置示例
lehe99的专栏
12-26 7413
防火墙配置宗旨是人性本恶,进出防火墙的数据都要放行才能出入。是不是“好人”?要经过检查才知道。 终端配置IP及网关; 防火墙创建区域,区域添加相应端口; 防火墙端口配置IP地址、路由; 防火墙配置策略: trust-->untrust、trust-->dmz、dmz-->untrust 放行; 防火墙配置源转换,实现trust和dmz区域可以访问外网; 防火墙配置目标地址转换、配置策略,实现外网可以访问dmz区域服务器。
NAT server之服务器映射(端口映射)--华为
网络之路Blog(其他平台同名)
12-15 1358
上面提到过服务器属于内网里面,本身地址是私网的,是无法被公网访问到,那这个时候公网的访问端能够访问的就是出口路由器的公网IP,服务器映射(端口映射)它的功能就是把出口公网IP地址对应的某个端口号,映射到内网某个地址的端口号上面来,这样当公网终端访出口路由器的公网IP某个端口号的时候,出口路由器就会把它转发给内网服务器,实现资源的访问,这里顺便说一下,不同路由器厂商对于技术的称呼不太一样,有叫端口映射的,有叫服务器映射的,指的都是这个功能。
华为防火墙USG6000WEB配置案例
12-09
华为防火墙USG6000WEB配置案例,详细指导你如何配置华为防火墙,是新手入门的最佳文档
公众号配置服务器必须是80端口吗_华为USG6000配置NAT Server原理讲解案例分享...
weixin_39814393的博客
11-17 915
公司的私网通常会有一些服务需要提供给公网的用户访问,但是由于网络部署时,服务器地址一般都会配置成私网地址,这样就不能实现公网的用户访问了。那么华为防火墙作为企业的出口网关时,是如何解决这个问题呢?很多小伙伴会第一时间想到用NAT,没错,大致的方向正确了。只不过之前我们所使用的是源NAT,是对私网用户访问公网的报文源地址进行转换,而服务器对公网提供服务器时,是公网用户想私网发起访问,方向正好相反了。...
华为USG 6320之配置外网访问服务器NAT映射和NAT回流
最新发布
月球挖掘机
10-16 753
本文详细介绍了配置外网访问内网服务器的NAT设置方法:1)新建安全策略允许外网访问内网服务器;2)配置服务器映射实现公网IP与内网IP的端口转换;3)特别说明了NAT回流配置方法,包括回流安全区域选择、地址转换规则设置等,并通过测速服务验证了回流效果。配置完成后,外网可通过公网IP访问内网服务,内网通过公网IP访问时会被自动转换为内网IP,保持内网的高速连接。
华为防火墙USG6000通过WEB图形界面配置案例
LiBai'S BLOG
12-02 3万+
华为防火墙USG6000NATNAT Server配置案例网络拓扑图通过WEB方式登录到防火墙登录成功配置防火墙使内网用户通过PAT方式上网配置防火墙使得外网用户能访问企业DMZ区域的FTP服务器(双向nat)内网用户与FTP-Server配置配置代码官方参考文档 网络拓扑图 通过WEB方式登录到防火墙 登录成功 配置防火墙使内网用户通过PAT方式上网 防火墙上新建一个Nat Pool,供内网用户以NAT方式访问外网 配置Nat策略 配置策略,使得trust区域可以访问untrust区域 配
华为USG6000防火墙.内网用户通过公网IP访问内部服务器 ...
热门推荐
jiagan1432的博客
03-30 3万+
较多人问内网如何通过公网IP、域名访问内部服务器,这里涉及数据回流问题,可以通过域内NAT来实现 配图环境如下: 配置思路 配置接口IP地址和安全区域,完成网络基本参数配置配置安全策略。 配置NAT Server功能,创建两条静态映射,分别映射内网Web服务器和FTP服务器。 配置NAT策略使PC D可以访问服务器的公网地址。 在FW上配置缺省路由,使内网服
华为USG系列防火墙 RESTCONF NAT配置 Python实现
ck784101777的博客
12-10 2238
一般的NAT规则要在Web界面或console控制台配置,都是手动的操作,想实现自动化或接入业务,可通过华为提供的RESTCONF接口实现。本文章适合有NAT基础的人群观看,主要讲解SNAT的自动化接口配置,补充部分也有一些NAT技术的资料参考。
USG6331E命令行显示nat server配置情况
u010674101的专栏
06-24 1437
nat server端口映射配置为公网9999端口映射为内网某机器80端口 #nat server 端口映射禁用状态 nat-disable : 01 [USG6300E]dis nat ser 2021-06-24 18:01:35.100 +08:00 Server in private network information: Total 1 NAT server(s) server name : policy_web id
HUAWEI USG6000系列 & NGFW Module V100R001 典型配置案例
07-23
本文档介绍NGFW典型应用场景的配置方法。本文档并不覆盖所有的特性,而只专注于 典型的配置场景。您可以以本文档所提供的案例为范本,自定义您的配置。 本文档适用于负责配置和管理防火墙设备的网络管理员。您应该熟悉以太网基础知识, 且具有丰富的网络管理经验。
HUAWEI USG6000 V500R001 全图化Web典型配置案例
03-05
华为USG6000系列防火墙WEB典型配置案例,易学易懂。适合初学者使用。
华为防火墙USG6000全图化Web典型配置案例(V4.0)-彩图版.zip
08-29
华为防火墙USG6000全图化Web典型配置案例(V4.0)-彩图版.zip
华为USG防火墙配置实例
03-24
USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网络边界。USG5500系列产品部署于网络出口处,有效阻止Internet上的黑客入侵、DDoS攻击,阻止内网用户访问非法网站,限制带宽,为内部网络提供一个安全可靠的网络环境。
华为USG2000/5000/6000系列批量端口映射
11-12 1万+
第一步:进入系统视图system-view第二步:设置访问控表ACL说明:这里假设69.69.69.69是USG公网接口地址,192.168.1.26是需要做映射的服务器地址,映射端口范围是25000~30000,协议为TCP和UDP。公网接口属于untrust区域,服务器内网接口属于trust区域。acl 3000 rule 5 permit tcp destination 69.69.69.69
华为USG6000防火墙nat / nat server 配置(多出口情况)
weixin_45102241的博客
09-03 4492
FW1-policy-security-rule-lyshark] destination-zone untrust // 目标安全区域(外部)[FW1-policy-security-rule-lyshark] destination-address any // 目标地址区域。[FW1-policy-security-rule-lyshark] source-zone trust // 原安全区域(内部)[FW1] interface GigabitEthernet 1/0/2 // 选择外网接口。
NAT-Server(基于USG6000V)
YancyYue颜悦的专栏
06-27 2159
此文章主要讲解NAT-Server华为USG6000V防火墙的配置地址映射端口映射两种配置方式
华为防火墙usg6000配置案例
09-02
华为防火墙USG6000有多种配置案例,以下进行详细介绍: ### 基础配置案例 #### 时钟配置 在生产环境使用防火墙时,需对防火墙的时钟进行配置,使其与当前时间对应,好处有便于查看日志、排错,若使用PKI系列证书则必须配置好时间。配置方式有手工配置和与NTP服务器同步两种。 - 手工配置命令示例: ```plaintext clock timezone beijing add 8 clock datetime 21:14:50 2021-07-25 ``` 第一条命令配置时区,第二条命令配置当前时间。 - NTP配置命令示例: ```plaintext ntp-service unicast-server 1.1.1.1 ``` 后面的IP地址是NTP服务器的IP地址[^1]。 #### Liscense配置 使用防火墙做基本配置和操作时,不需要使用License,但配置防火墙的URL过滤、入侵检测、反病毒等功能时,必须进行Liscense配置配置License需知道防火墙的ESN号码,查看ESN号码命令如下: ```plaintext dis esn ``` #### 文件管理 相关配置命令配置后会立即生效,但设备断电后所有配置会清空,完成配置后需保存配置。 - 保存配置命令示例: ```plaintext save 123.cfg ``` - 若要用指定的配置文件启动,命令示例: ```plaintext startup saved-configuration 123.cfg ``` - 若要删除所有配置文件(恢复出厂设置),命令示例: ```plaintext reset saved-configuration ``` ### 网络访问配置案例 PC1是企业内网用户,要通过防火墙NAT方式(1.1.1.105 - 1.1.1.106)访问Internet,Server是企业的FTP服务器,通过静态NAT方式供外网用户访问,对外地址是1.1.1.100。FW1是企业边界防火墙,充当路由和保护企业安全的责任,AR1、AR2是外网路由器[^2]。 ### 实验配置案例 包含防火墙安全策略实验、防火墙NAT Server & 源NAT实验。其中NAT Server & 源NAT实验又分源NAT实验和NAT Server实验,涉及实验拓扑端口地址和区域划分、配置安全区域、配置安全策略、配置NAT地址池、配置NAT策略、配置服务器映射、服务器配置、客户端配置等步骤,还需进行测试[^3]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值