- 1计算机网络中的一些基本概念
- 2git 提示 error:Your local changes to the following files would be overwritten by checkout:_error: your local changes to the following files w
- 3WebHook入门教程:快速实现自动化运维,如自动热部署、自动重启服务、自动备份数据库等等_webhook怎么写
- 4LRU缓存 数据结构设计(C++)_请你设计并实现一个满足lru(最近最少使用)缓存约束的数据结构 实现lrucache类
- 5使用HttpMoudle和IPrincipal实现自定义身份及权限认证
- 6imx385驱动、imx307驱动、imx327驱动调试记录
- 7Spring boot 项目中使用Spring Security时,使用Knife4j进行调试时,loadUserByUsername接受参数为空的解决方案_knife4j接口为空
- 8已解决com.rabbitmq.client.ShutdownSignalException: 关闭信号异常的正确解决方法,亲测有效!!!_caused by: com.rabbitmq.client.shutdownsignalexcep
- 9人机混合智能概述
- 10108个java计算机本科毕业设计项目大全(附源码)_java毕设源码大全
华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置_service-manage ping permit
赞
踩
目录
一、配置要求
- 内网可以ping通防火墙;
- 内网可以访问外网;
- 外网可以访问内网服务器。
二、配置步骤
1. ping通防火墙接口IP地址的条件
- 配置接口IP地址;
- 接口添加到域(如trust);
- 在连接终端(PC)的接口上配置接口允许ping---service-manage ping permit
注:连接在防火墙允许ping接口上的终端,可以ping通防火墙所有已经连接且配置了IP地址的接口。
2. 内网ping通外网终端的条件
- 配置接口IP地址;
- 接口添加到域;
- 进入安全策略,配置内网到外网互通规则;
- 进入nat策略,配置内网到外网互通规则;
- 配置默认路由。
3. 内网ping通DMZ(内网服务器)的条件
- 配置接口IP地址;
- 接口添加到域;
- 进入安全策略,配置内网到DMZ互通规则;
- USG6000V防火墙默认用户名为admin,默认密码为Admin@123
-
- system-view
- interface GigabitEthernet 1/0/1
- ip address 192.168.1.254 24
- service-manage ping permit
- interface GigabitEthernet 1/0/2
- ip address 192.168.0.254 24
- interface GigabitEthernet 1/0/3
- ip address 8.0.0.1 27
-
- firewall zone name DMZ
- add interface GigabitEthernet 1/0/2
- firewall zone trust
- add interface GigabitEthernet 1/0/1
- firewall zone untrust
- add interface GigabitEthernet 1/0/3
-
-
- security-policy
- rule name nei-to-wai
- source-zone trust
- destination-zone untrust
- action permit
-
- nat-policy
- rule name nei-to-wai
- source-zone trust
- destination-zone untrust
- action source-nat easy-ip
-
- security-policy
- rule name fuwuqi
- source-zone trust
- destination-zone DMZ
- action permit
-
- ip route-static 0.0.0.0 0 8.0.0.2
-
- nat server http protocol tcp global 8.0.0.1 6677 inside 192.168.0.11 80
-
- security-policy
- rule name dmz-wai
- source-zone DMZ
- destination-zone untrust
- action permit
-
- security-policy
- rule name wai-dmz
- source-zone untrust
- destination-zone DMZ
- destination-address 192.168.0.11 mask 255.255.255.255
- service ftp http
- action permit
-
-
- 路由器:
-
- sys
- sysname R1
- int gi 0/0/0
- ip add 6.6.6.254 24
- int gi 0/0/1
- ip add 8.0.0.2 27
三、命令解析
USG6000V防火墙默认用户名为admin,默认密码为Admin@123
system-view
interface GigabitEthernet 1/0/1
ip address 192.168.1.254 24
service-manage ping permit //此接口允许ping
interface GigabitEthernet 1/0/2
ip address 192.168.0.254 24
interface GigabitEthernet 1/0/3
ip address 8.0.0.1 27
firewall zone name DMZ //创建DMZ域
add interface GigabitEthernet 1/0/2 //给DMZ域添加接口
firewall zone trust //进trust(信任)域=内网办公区
add interface GigabitEthernet 1/0/1 //给trust域添加接口
firewall zone untrust //进untrust(非信任)域=外网
add interface GigabitEthernet 1/0/3 //给untrust域添加接口
内网访问外网:
security-policy //进安全策略
rule name nei-to-wai //创建内网到外网的规则
source-zone trust //源域为信任域
destination-zone untrust //目标域为非信任域
action permit //信任域到非信任域允许通信
nat-policy //进nat策略(网络地址转换策略)
rule name nei-to-wai //创建内网到外网的规则
source-zone trust //源域为信任域
destination-zone untrust //目标域为非信任域
action source-nat easy-ip //允许以easy-ip方式进行网络地址转换
ip route-static 0.0.0.0 0 8.0.0.2 //默认路由
内网访问DMZ:
security-policy //进安全策略
rule name trust-dmz //创建内网到DMZ(隔离区)的规则
source-zone trust //源域为信任域
destination-zone DMZ //目标域为DMZ域
action permit //信任域到DMZ域允许通信
外网访问内网服务器:
nat server http protocol tcp global 8.0.0.1 6677 inside 192.168.0.11 80
security-policy //进安全策略
rule name dmz-wai //创建DMZ域到外网的规则
source-zone DMZ //源域为DMZ域
destination-zone untrust
action permit
security-policy //进安全策略
rule name wai-dmz //创建外网到DMZ的规则
source-zone untrust //源域为非信任域
destination-zone DMZ //目标域为DMZ域
destination-address 192.168.0.11 mask 255.255.255.255 //目标IP地址为192.168.0.11
service http //http服务
action permit //http协议的服务允许通信
防火墙(安全设备)默认权限都是禁止的,只有开启才能放行(本着人性本恶原则)。
百度安全验证(eNSP模拟器防火墙USG6000V的Web登录教程)
