華為防火墻配置手冊(cè) 華為USG防火墻NAT配置

拓?fù)鋱D
場(chǎng)景:
你是公司的網(wǎng)絡(luò)管理員。公司使用網(wǎng)絡(luò)防火墻隔離成三個(gè)區(qū)域?,F(xiàn)在要將DMZ區(qū)域中的一臺(tái)服務(wù)器(IP地址:10.0.3.3)提供的telnet服務(wù)發(fā)布出去,對(duì)外公開的地址是10.0.10.20、24.并且內(nèi)部網(wǎng)絡(luò)Trust區(qū)域的用戶通過Easy-IP的方式訪問外部區(qū)域。其它方向的訪問被禁止。
在交換機(jī)上將G0/0/1與G0/0/21接口定義到vlan11,將G0/0/2與G0/0/22接口定義到vlan12,將G0/0/3與G0/0/23接口定義到vlan13.分別規(guī)劃了三個(gè)網(wǎng)段。
學(xué)習(xí)任務(wù)
步驟一.基本配置與IP編址
首先給三個(gè)路由器配置地址信息。
[Huawei]sysname R1
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ip add 10.0.10.124
[R1-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/1
[R1-GigabitEthernet0/0/1]interfaceloopback0
[R1-LoopBack0]ip add 10.0.1.1 24
[R1-LoopBack0]q
[Huawei]sysname R2
[R2]interface g0/0/1
[R2-GigabitEthernet0/0/1]ip add 10.0.20.224
[R2-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/2
[R2-GigabitEthernet0/0/1]interfaceloopback0
[R2-LoopBack0]ip add 10.0.2.2 24
[R2-LoopBack0]q
[Huawei]sysname R3
[R3]interface g0/0/1
[R3-GigabitEthernet0/0/1]ip add 10.0.30.324
[R3-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/3
[R3-GigabitEthernet0/0/1]interfaceloopback0
[R3-LoopBack0]ip add 10.0.3.3 24
[R3-LoopBack0]q
給防火墻配置地址時(shí),G0/0/1配置10.0.20.254/24.
[SRG]sysname FW
13:06:03 2014/07/08
[FW]interface g0/0/1
13:06:30 2014/07/08
[FW-GigabitEthernet0/0/1]ip add 10.0.20.25424
13:07:01 2014/07/08
[FW-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/22
13:07:52 2014/07/08
[FW-GigabitEthernet0/0/1]interface g0/0/0
13:08:23 2014/07/08
[FW-GigabitEthernet0/0/0]dis this
13:08:31 2014/07/08
#
interface GigabitEthernet0/0/0
alias GE0/MGMT
ipaddress 192.168.0.1 255.255.255.0
dhcpselect interface
dhcpserver gateway-list 192.168.0.1
#
return
[FW-GigabitEthernet0/0/0]undo ip add
13:08:42 2014/07/08
Info: The DHCP server configuration on thisinterface will be deleted.
[FW-GigabitEthernet0/0/0]display this
13:08:46 2014/07/08
#
interface GigabitEthernet0/0/0
alias GE0/MGMT
#
return
[FW-GigabitEthernet0/0/0]ip add 10.0.10.25424
13:09:29 2014/07/08
[FW-GigabitEthernet0/0/0]desc this portconnect to S1-G0/0/21
13:10:05 2014/07/08
[FW-GigabitEthernet0/0/0]interface G0/0/2
13:10:15 2014/07/08
[FW-GigabitEthernet0/0/2]ip add 10.0.30.25424
13:10:28 2014/07/08
[FW-GigabitEthernet0/0/2]desc this portconnect to S1-G0/0/23
13:10:53 2014/07/08
[FW-GigabitEthernet0/0/2]q
交換機(jī)上需要按照需求定義vlan
[Huawei]sysname S1
[S1]vlan batch 11 to 13
Info: This operation may take a fewseconds. Please wait for a moment...done.
[S1]interface g0/0/1
[S1-GigabitEthernet0/0/1]port link-typeaccess
[S1-GigabitEthernet0/0/1]port default vlan11
[S1]interface g0/0/2
[S1-GigabitEthernet0/0/2]port link-typeaccess
[S1-GigabitEthernet0/0/2]port default vlan12
[S1-GigabitEthernet0/0/2]interface g0/0/3
[S1-GigabitEthernet0/0/3]port link-typeaccess
[S1-GigabitEthernet0/0/3]port default vlan13
[S1-GigabitEthernet0/0/3]interface g0/0/21
[S1-GigabitEthernet0/0/21]port link-typeaccess
[S1-GigabitEthernet0/0/21]port default vlan11
[S1-GigabitEthernet0/0/21]interface g0/0/22
[S1-GigabitEthernet0/0/22]port link-typeaccess
[S1-GigabitEthernet0/0/22]port default vlan12
[S1-GigabitEthernet0/0/22]interface g0/0/23
[S1-GigabitEthernet0/0/23]port link-typeaccess
[S1-GigabitEthernet0/0/23]port default vlan13
步驟二.將接口配置到安全區(qū)域
防火墻默認(rèn)有四個(gè)區(qū)域,分別是“local”、“trust"、“untrust”、“dmz”。
實(shí)驗(yàn)中我們用到“trust”、'untrust"、“dmz”三個(gè)區(qū)域。將G0/0/0加入untrust區(qū)域、g/0/0/2加入dmz和g/0/0/1加入trust。
[FW]firewall zone trust
13:45:31 2014/07/08
[FW-zone-trust]dis this
13:45:35 2014/07/08
#
firewall zone trust
setpriority 85
addinterface GigabitEthernet0/0/0
#
return
[FW-zone-trust]undo add inter
[FW-zone-trust]undo add interface g0/0/0
13:46:01 2014/07/08
[FW-zone-trust]add interface g0/0/1
13:46:22 2014/07/08
[FW-zone-trust]firewall zone untrust
[FW-zone-untrust]add interface g0/0/0
13:47:24 2014/07/08
[[FW-zone-untrust]firewall zone dmz
13:48:06 2014/07/08
[FW-zone-dmz]add interface g0/0/2
13:48:13 2014/07/08
[FW-zone-dmz]q
默認(rèn)情況下,防火墻并不允許出local區(qū)域外的其它區(qū)域之間進(jìn)行通信。為了便于驗(yàn)證配置的正確性,我們首先將防火墻區(qū)域之間的默認(rèn)過濾規(guī)則配置為允許所有區(qū)域間通信。配置完成后在FW設(shè)備上測(cè)試連通性。
相關(guān)文章
殺毒軟件排行榜2015 殺毒軟件2015免費(fèi)下載前十名
今天小編為大家?guī)淼氖菤⒍拒浖判邪?015:殺毒軟件2015免費(fèi)下載前十名,感興趣的朋友可以看一下2014-10-26無線路由器(WIFI網(wǎng)絡(luò))的輻射會(huì)對(duì)人體到底有沒有傷害
不論是筆記本還是手機(jī),現(xiàn)在幾乎離不開無線網(wǎng)絡(luò),那到底這些無線網(wǎng)絡(luò)對(duì)身體有沒有輻射傷害呢。下面我們來科普一下2012-05-11用手機(jī)當(dāng)無線路由器 無線AP 手機(jī)無線熱點(diǎn)的設(shè)置方法(圖文)
手機(jī)能上網(wǎng)?沒什么奇怪的,現(xiàn)在是共享的年代,我們要把手機(jī)也當(dāng)無線路由器,用來給其它的設(shè)備,比如手機(jī),本本上網(wǎng)。這對(duì)于出差在外時(shí)上網(wǎng)比較方便。流量多的話。也可以共2012-05-11百度安全組件怎么刪除?win7百度安全組件服務(wù)卸載方法
百度安全組件怎么刪除?想知道的朋友就和小編一起來看看win7百度安全組件服務(wù)卸載方法吧2014-07-20- bt4破解軟件(backtrack4)是一款完全免費(fèi)的便攜linux系統(tǒng),也是bt4的中文版本。它是目前網(wǎng)絡(luò)上最著名的攻擊平臺(tái),能夠非常方便的破解無線網(wǎng)絡(luò)密碼2013-04-14
- 很多人不知道路由器漏洞是非常危險(xiǎn)的,一旦攻擊者得手,網(wǎng)民的個(gè)人隱私信息、網(wǎng)銀資產(chǎn)等均面臨巨大威脅2014-06-18
百度衛(wèi)士怎么卸不掉?百度衛(wèi)士2種卸載方法
百度衛(wèi)士是百度推出的安全軟件,有時(shí)候這個(gè)殺毒軟件或安全軟件卸載起來真的比較麻煩,甚至無法卸載,怎么也刪除不掉。百度衛(wèi)士卸不掉刪不掉怎么處理呢?2014-07-07無線路由器當(dāng)無線AP(無線交換機(jī),無線熱點(diǎn))的設(shè)置方法
無線路由除了可以發(fā)射無線信號(hào)以外,也可以當(dāng)作一個(gè)無線交換機(jī)來用。用來接收其它的無線路由的信號(hào),再發(fā)射出去,相當(dāng)方便??梢园匆韵碌姆椒ㄔO(shè)置。2012-05-11- Peid是一款強(qiáng)大的查殼軟件,非常簡單易用。2010-10-25
如何利用P2P終結(jié)者軟件限制別人網(wǎng)速?P2P終結(jié)者斷網(wǎng)限速教程
很多時(shí)候我們大家在使用一個(gè)網(wǎng)絡(luò)資源,比如學(xué)校,單位等。那么如何限制別人的網(wǎng)速,提高自己的呢?下面小編就為大家講解如何利用P2P終結(jié)者軟件限制別人網(wǎng)速2016-08-22