如图,PC1是企业内网用户,要通过防火墙NAT方式( 1.1.1.105-1.1.1.106 )访问Internet,Server是企业的FTP服务器,通过静态NAT方式供外网用户访问,对外的地址是1.1.1.100。FW1是企业边界防火墙,充当路由和保护企业安全的责任。AR1、AR2是外网路由器。

PC1是Trust区域、Server是DMZ区域,AR1、AR2是Untrust区域。

现在通过配置防火墙,使企业内网用户能通过PAT(端口多路复用)方式上网。

首先,防火墙上新建一个Nat Pool,供内网用户以NAT方式访问外网

然后在配置Nat策略

然后再防火墙上配置一个策略,使得trust区域可以访问untrust区域

配置默认路由,指向AR1

最后再设置到达Nat Pool的静态路由,指向一个空接口,防止路由黑洞

现在通过配置防火墙,使得外网用户能访问企业DMZ区域的FTP服务器(双向nat)

先配置服务器对外静态映射

在防火墙上配置一个策略,使得untrust区域能访问DMZ区域

接着在配置一个nat pool地址池,目的是作为外网用户访问内网服务器后nat的内网地址

在配置一个nat策略。注意,这个nat策略和内网nat外网有所不同!!!

最后再配置一个到达服务器对外地址的静态路由,防止路由黑洞

至此,配置完成!!

以下是配置

PC1

PC>ipconfig

IPv4 address......................: 10.1.1.1

Subnet mask.......................: 255.255.255.0

Gateway...........................: 10.1.1.254

Physical address..................: 54-89-98-6C-7F-9E

FTP-Server

PC>ipconfig

IPv4 address......................: 10.1.2.1

Subnet mask.......................: 255.255.255.0

Gateway...........................: 10.1.2.254

Physical address..................: 54-89-98-30-75-F0

FW1

[FW1]display current-configuration

#

ip address-set FTP_Server type object

 address 0 10.1.2.0 mask 24

#

interface GigabitEthernet1/0/0

 undo shutdown

 ip address 10.1.2.254 255.255.255.0

#

interface GigabitEthernet1/0/1

 undo shutdown

 ip address 10.1.1.254 255.255.255.0

#

interface GigabitEthernet1/0/2

 undo shutdown

 ip address 1.1.1.1 255.255.255.0

 service-manage ping permit

#

firewall zone trust

 set priority 85

 add interface GigabitEthernet0/0/0

 add interface GigabitEthernet1/0/1

#

firewall zone untrust

 set priority 5

 add interface GigabitEthernet1/0/2

#

firewall zone dmz

 set priority 50

 add interface GigabitEthernet1/0/0

#

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/2 1.1.1.2

ip route-static 1.1.1.100 255.255.255.255 NULL0

ip route-static 1.1.1.105 255.255.255.255 NULL0

ip route-static 1.1.1.106 255.255.255.255 NULL0

#

 nat server FTP 0 zone untrust protocol tcp global 1.1.1.100 ftp inside 10.1.2.1 //静态映射

 ftp no-reverse

#

nat address-group "nat pool" 0      //内网nat地址池

 mode pat

 section 0 1.1.1.105 1.1.1.106

#

nat address-group "dmz pool" 1     //外网访问ftp服务器的内网地址池

 mode pat

 section 0 10.1.2.100 10.1.2.100

#

security-policy                    //安全策略

 rule name Internet

  source-zone trust

  destination-zone untrust

  action permit

 rule name Ftp

  source-zone untrust

  destination-zone dmz

  service ftp

  action permit

#

AR1

[AR1]display current-configuration

#

interface GigabitEthernet0/0/0

 ip address 1.1.1.2 255.255.255.0

#

interface GigabitEthernet0/0/1

 ip address 12.1.1.1 255.255.255.0

#

ospf 100 router-id 11.1.1.1

 import-route direct

 area 0.0.0.0

  network 12.1.1.1 0.0.0.0

#

AR2

[AR2]display current-configuration

#

interface GigabitEthernet0/0/1

 ip address 12.1.1.2 255.255.255.0

#

interface GigabitEthernet0/0/2

#

ospf 100 router-id 22.2.2.2

 area 0.0.0.0

  network 12.1.1.2 0.0.0.0

#

官方参考文档:华为防火墙USG6000配置实例

华为USG6000V防火墙简单配置案例的更多相关文章

  1. CentOS 7 以上防火墙简单配置

    CentOS 7 版本以上默认的防火墙不是iptables,而是firewalle. 因此CentOS 7 以下的 iptables 的配置不能使用. 查看防火墙状态: systemctl statu ...

  2. CentOS 7.X 防火墙简单配置

    CentOS7使用的是Linux Kernel 3.10.0的内核版本,新版的Kernel内核已经有了防火墙netfilter,并且使用效能更高,稳定性更好. 配置防火墙的两种方法: 一.使用xml配 ...

  3. CentOS6下DHCP服务(二)简单配置案例及故障排查

    1.预分配网络参数如下:linux服务器:eth0 IP为192.168.8.250  做为局域网DHCP服务器局域网网段设置为192.168.8.0/24:内部计算机的router为192.168. ...

  4. 华三F100系列、华为USG6300系列防火墙 策略路由配置实例

    策略路由,是一种比基于目标网络进行路由更加灵活的数据包路由转发机制,路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器. 策略路由的应用: 1.可以不仅仅依 ...

  5. Centos7 关于防火墙的一些简单配置

    近期安装了linux系统Centos7,接触下来发现了与原来的Centos6.5有一些差别,这里主要记录下来我的一些关于Centos7防火墙的了解. 一.firewall简介 CentOS 7中防火墙 ...

  6. MyBatis复习【简单配置CRUD】

    这里的案例集成了log4j的日志框架,项目架构: 用到的jar文件 添加配置文件:mybatis-config.xml  和dao层配置文件StudentDao.xml 这里书写了个简单的案例仅为了说 ...

  7. Centos 6.5下一个SNMP简单配置(snmp protocol v3,监控宝)

    Centos 6.5下一个SNMP简单配置(snmp protocol v3.监控宝) jom_ch@2014/7/25 1,安装 >yum -y install net-snmp net-sn ...

  8. MyBatis学习总结(一)简单入门案例

    MyBatis学习总结(一)简单入门案例 主要内容:本文主要通过对数据库中的use表进行增删改查总结mybatis的环境搭建和基本入门使用 一.需要的jar包: 1.核心包 2.依赖包 3.jdbc数 ...

  9. 使用mysql存放Ambari元数据的配置案例

    使用mysql存放Ambari元数据的配置案例 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.环境准备   详情请参考我之前的笔记:离线方式部署Ambari2.6.0.0 中关 ...

随机推荐

  1. 使用Spark加载数据到SQL Server列存储表

    原文地址https://devblogs.microsoft.com/azure-sql/partitioning-on-spark-fast-loading-clustered-columnstor ...

  2. Java 常用类——StringBuffer&StringBuilder【可变字符序列】

    一.字符串拼接问题 由于 String 类的对象内容不可改变,所以每当进行字符串拼接时,总是会在内存中创建一个新的对象. Demo: 1 public class StringDemo { 2 pub ...

  3. 1_JVM与Java体系结构

    目录 JVM与Java体系结构 前言 架构师每天都在思考什么? 为什么要学习JVM Java vs C++ 推荐书籍 Java生态圈 字节码 多语言混合编程 Java发展的重大事件 虚拟机与Java虚 ...

  4. 【odoo14】第十六章、odoo web库(OWL)

    odoo14引入了名为OWL(Odoo Web Library)的JavaScript框架.OWL是以组件为基础的UI框架,通过QWeb模板作为架构.OWL与传统的组件系统相比更快,并引入了一些新的特 ...

  5. 内置了一个缓冲区(数组)缓冲流BufferInputStream为何要配合字节数组的使用?

    内置了一个缓冲区(数组)缓冲流BufferInputStream为何要配合字节数组的使用? 只为效率而积累[积少成多送一趟比送多趟快] 举例子:超市买30个鸡蛋回家煮 (1)读一个送一个(效率太低啦) ...

  6. 如何让python脚本支持命令行参数--getopt和click模块

    一.如何让python脚本支持命令行参数 1.使用click模块 如何使用这个模块,在我前面的博客已经写过了,可参考:https://www.cnblogs.com/Zzbj/p/11309130.h ...

  7. 后台开发-核心技术与应用实践--TCP协议

    网络模型 为使不同计算机厂家的计算机能够互相通信,国际标准化组织 ISO 1981 年正式推荐了一个网络系统结构一一七层参考模型,也叫作开放系统互连模型. ISO 七层网络模型及其功能展示: 这个七层 ...

  8. P1055_ISBN号码(JAVA语言)

    题目描述 每一本正式出版的图书都有一个ISBN号码与之对应,ISBN码包括9位数字.1位识别码和3位分隔符, 其规定格式如x-xxx-xxxxx-x,其中符号-就是分隔符(键盘上的减号), 最后一位是 ...

  9. 一次VLAN标签引发的网络事件的处置

    一次VLAN标签引发的网络事件的处置 一.背景介绍 事件背景: HZ某分公司新装一套业务系统,通过一条专线和BJ总公司连通.分配给HZ公司的ip地址为:a.b.c.X,掩码24位,网关a.b.c.1. ...

  10. python3表格数据处理

    技术背景 数据处理是一个当下非常热门的研究方向,通过对于大型实际场景中的数据进行建模,可以用于预测下一阶段可能出现的情况.比如我们有过去的2002年-2018年的黄金价格的数据: 该数据来源于Gite ...