华为防火墙USG6000V---内网访问外网---外网访问内网服务器（NAT服务器）示例配置_开发测试

华为防火墙USG6000V---内网访问外网---外网访问内网服务器（NAT服务器）示例配置

创始人

2025-01-16 20:34:41

0次

一、配置要求

二、配置步骤

1. ping通防火墙接口IP地址的条件

2. 内网ping通外网终端的条件

3. 内网ping通DMZ（内网服务器）的条件

三、命令解析

一、配置要求

内网可以ping通防火墙；
内网可以访问外网；
外网可以访问内网服务器。

二、配置步骤

1. ping通防火墙接口IP地址的条件

配置接口IP地址；
接口添加到域（如trust）；
在连接终端（PC）的接口上配置接口允许ping---service-manage ping permit

注：连接在防火墙允许ping接口上的终端，可以ping通防火墙所有已经连接且配置了IP地址的接口。

2. 内网ping通外网终端的条件

配置接口IP地址；
接口添加到域；
进入安全策略，配置内网到外网互通规则；
进入nat策略，配置内网到外网互通规则；
配置默认路由。

3. 内网ping通DMZ（内网服务器）的条件

配置接口IP地址；
接口添加到域；
进入安全策略，配置内网到DMZ互通规则；

USG6000V防火墙默认用户名为admin，默认密码为Admin@123  system-view interface GigabitEthernet 1/0/1 ip address 192.168.1.254 24 service-manage ping permit interface GigabitEthernet 1/0/2 ip address 192.168.0.254 24 interface GigabitEthernet 1/0/3 ip address 8.0.0.1 27  firewall zone name DMZ add interface GigabitEthernet 1/0/2 firewall zone trust add interface GigabitEthernet 1/0/1 firewall zone untrust add interface GigabitEthernet 1/0/3   security-policy rule name nei-to-wai source-zone trust destination-zone untrust action permit  nat-policy rule name nei-to-wai source-zone trust destination-zone untrust action source-nat easy-ip  security-policy rule name fuwuqi source-zone trust destination-zone DMZ action permit  ip route-static 0.0.0.0 0 8.0.0.2  nat server http protocol tcp global 8.0.0.1 6677 inside 192.168.0.11 80  security-policy rule name dmz-wai source-zone DMZ destination-zone untrust action permit  security-policy rule name wai-dmz source-zone untrust destination-zone DMZ destination-address 192.168.0.11 mask 255.255.255.255 service ftp http action permit   路由器：  sys sysname R1 int gi 0/0/0 ip add 6.6.6.254 24 int gi 0/0/1 ip add 8.0.0.2 27

三、命令解析

USG6000V防火墙默认用户名为admin，默认密码为Admin@123

system-view
interface GigabitEthernet 1/0/1
ip address 192.168.1.254 24
service-manage ping permit //此接口允许ping
interface GigabitEthernet 1/0/2
ip address 192.168.0.254 24
interface GigabitEthernet 1/0/3
ip address 8.0.0.1 27

firewall zone name DMZ //创建DMZ域
add interface GigabitEthernet 1/0/2 //给DMZ域添加接口
firewall zone trust //进trust（信任）域=内网办公区
add interface GigabitEthernet 1/0/1 //给trust域添加接口
firewall zone untrust //进untrust（非信任）域=外网
add interface GigabitEthernet 1/0/3 //给untrust域添加接口

内网访问外网：

security-policy                                //进安全策略
rule name nei-to-wai                      //创建内网到外网的规则
source-zone trust //源域为信任域
destination-zone untrust                //目标域为非信任域
action permit //信任域到非信任域允许通信

nat-policy //进nat策略（网络地址转换策略）
rule name nei-to-wai //创建内网到外网的规则
source-zone trust //源域为信任域
destination-zone untrust //目标域为非信任域
action source-nat easy-ip //允许以easy-ip方式进行网络地址转换

ip route-static 0.0.0.0 0 8.0.0.2 //默认路由

内网访问DMZ：

security-policy //进安全策略
rule name trust-dmz //创建内网到DMZ（隔离区）的规则
source-zone trust //源域为信任域
destination-zone DMZ //目标域为DMZ域
action permit //信任域到DMZ域允许通信

外网访问内网服务器：

nat server http protocol tcp global 8.0.0.1 6677 inside 192.168.0.11 80

security-policy //进安全策略
rule name dmz-wai //创建DMZ域到外网的规则
source-zone DMZ //源域为DMZ域
destination-zone untrust
action permit

security-policy                                //进安全策略
rule name wai-dmz                        //创建外网到DMZ的规则
source-zone untrust                       //源域为非信任域
destination-zone DMZ                    //目标域为DMZ域
destination-address 192.168.0.11 mask 255.255.255.255        //目标IP地址为192.168.0.11
service http //http服务
action permit //http协议的服务允许通信