作者：【吴业亮】云计算开发工程师
1、互联网用户就可以通过访问访问DMZ域的web服务器
2、DMZ域的服务器可以通过防火墙上网
1、配置接口IP地址和安全区域，完成网络基本参数配置。
2、配置安全策略，允许外部网络用户访问内部服务器。
3、配置服务器映射功能，创建两条静态映射，分别映射内网Web服务器和FTP服务器。
4、在FIREWALL上配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
5、在FIREWALL上配置黑洞路由，避免FIREWALL与Router之间产生路由环路。
6、在Router上配置到服务器映射的公网地址的静态路由。
7、配置安全策略，允许私网指定网段与Internet进行报文交互。
8、在FIREWALL上配置缺省路由，使私网流量可以正常转发至ISP的路由器。
9、在私网主机上配置缺省网关，使私网主机访问Internet时，将流量发往FIREWALL。
1、配置接口IP地址和安全区域，完成网络基本参数配置。
配置接口IP地址。
&FIREWALL& system-view
[FIREWALL] interface GigabitEthernet 1/0/1
[FIREWALL-GigabitEthernet1/0/1] ip address10.80.8.1 24
[FIREWALL-GigabitEthernet1/0/1] quit
[FIREWALL] interface GigabitEthernet 1/0/2
[FIREWALL-GigabitEthernet1/0/2] ip address 192.168.8.1 24
[FIREWALL-GigabitEthernet1/0/2] quit
配置接口加入相应安全区域。
[FIREWALL] firewall zone untrust
[FIREWALL-zone-untrust] add interface GigabitEthernet 1/0/1
[FIREWALL-zone-untrust] quit
[FIREWALL] firewall zone dmz
[FIREWALL-zone-dmz] add interface GigabitEthernet 1/0/2
[FIREWALL-zone-dmz] quit
2、配置安全策略，允许外部网络用户访问内部服务器。
[FIREWALL] security-policy
[FIREWALL-policy-security] rule name policy_sec_1
[FIREWALL-policy-security-rule-policy_sec_1] source-zone untrust
[FIREWALL-policy-security-rule-policy_sec_1] destination-zone dmz
[FIREWALL-policy-security-rule-policy_sec_1] destination-address 192.168.8.0 24
[FIREWALL-policy-security-rule-policy_sec_1] action permit
[FIREWALL-policy-security-rule-policy_sec_1] quit
[FIREWALL-policy-security] quit
3、配置域间NAT ALG功能，使服务器可以正常对外提供https服务。
[FIREWALL] firewall interzone dmz untrust
[FIREWALL-dmz-untrust] detect https
[FIREWALL-dmz-untrust] quit
4、配置服务器映射功能，创建两条静态映射，分别映射内网Web服务器
[FIREWALL] nat server policy_nat_web protocol tcp global 10.80.8.1 443 inside 192.168.8.10 443 no-reverse
5、在FIREWALL上配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
[FIREWALL] ip route-static 0.0.0.0 0.0.0.0 10.80.8.1
在FIREWALL上配置黑洞路由，避免FIREWALL与Router之间产生路由环路。
[FIREWALL] ip route-static 10.80.8.1 255.255.255.255 Null0
6、配置安全策略，允许私网指定网段与Internet进行报文交互。
[FIREWALL] security-policy
[FIREWALL-policy-security] rule name policy_sec_1
[FIREWALL-policy-security-rule-policy_sec_1] source-zone trust
[FIREWALL-policy-security-rule-policy_sec_1] destination-zone untrust
[FIREWALL-policy-security-rule-policy_sec_1] source-address 192.168.8.0 24
[FIREWALL-policy-security-rule-policy_sec_1] action permit
[FIREWALL-policy-security-rule-policy_sec_1] quit
[FIREWALL-policy-security] quit
7、在FIREWALL上配置缺省路由，使私网流量可以正常转发至ISP的路由器。
[FIREWALL] ip route-static 0.0.0.0 0.0.0.0 10.80.8.1
8、配置出接口方式的源NAT策略，使用私网用户直接借用FIREWALL的公网IP地址来访问Internet。
[FIREWALL] nat-policy
[FIREWALL-policy-nat] rule name policy_nat_1
[FIREWALL-policy-nat-policy_nat_1] source-address 192.168.8.0 24
[FIREWALL-policy-nat-policy_nat_1] source-zone trust
[FIREWALL-policy-nat-policy_nat_1] destination-zone untrust
[FIREWALL-policy-nat-policy_nat_1] action nat easy-ip
[FIREWALL-policy-nat-policy_nat_1] quit
[FIREWALL-policy-nat] quit
华为USG6000防火墙.内网用户通过公网IP访问内部服务器 ...
较多人问内网如何通过公网IP、域名访问内部服务器，这里涉及数据回流问题，可以通过域内NAT来实现
配图环境如下：
配置接口IP地址和安全区域，完成网络基本参数配置。...
华为USG6000V 内网通过NAT地址池访问公网
一、组网需求1、某公司在网络边界处部署了NGFW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet，需要在NGFW上配置源NAT策略。除了公网接口的IP地址外，公司...
防火墙USG6000v配置实验
为了完成这个实验，我也忙了好几天，在中间出过许多错误，问了好几个同学，最后终于把这个实验完成啦，为了表示庆祝，所以把这个实验过程写下来，以便后来有同学想看可以看看，提供些经验。
华为USG5500和USG6000的一些配置命令
一、默认配置
管理接口：g0/0/0,而且默认开启了dhcp sever
ip地址:192.168.0.1/24
用户名：admin
密码：Admin@123（注意大小写）
华为防火墙USG5500的配置方法
防火墙基本配置什么是防火墙？防火墙（Firewall），也称防护墙，是由Check Point创立者Gil Shwed于1793年发明并引入国际互连网（US5606668（A））。...
华为USG防火墙基本配置
USG防火墙基本配置学习目的掌握登陆USG防火墙的方法掌握修改防火墙设备名的方法掌握对防火墙的时间、时区进行修改的方法掌握修改防火墙登陆标语信息的方法掌握修改防火墙登陆密码的方法掌握查看、保存和删除防...
华为防火墙USG5500的配置方法
防火墙基本配置什么是防火墙？防火墙（Firewall），也称防护墙，是由Check Point创立者Gil Shwed于1793年发明并引入国际互连网（US5606668（A））。...
没有更多推荐了，正如大家所知，配置防火墙的方法有两种，第一种是链接console线输命令的方法，第二种是在网页上进行试图化配置，更加的直观，明了。今天我们就简单的讲一下华为防火墙视图化的配置。首先在华为模拟器中搭建个个环境如下：如图，我们把地址规划和区域划分在图中标明了，在此我们强调一点，华为防火墙USG6000V中g0/0/0口默认配置的地址为：192.168.0.1首先我们先打开防火墙进入cli需要手工配置一个密码，这个密码长度要求在8-16位，密码难度要求至少两种字符。配置好密码后我们进入系统视图，看一下防火墙默认有哪些配置：display current-configuration我们会看到在g0/0/0端口会有如图默认的配置，这些配置也是为了我们方便从浏览器进入视图化配置。接着我们先用一下我们的虚拟网卡，修改地址为192.168.0.66/24 网关为192.168.1.254为了使防火墙和我们的虚拟网卡在同一网段：然后我们在开始菜单找到Windows系统：以管理员身份运行命令提示符：然后进行以下配置：配置完之后我们验证一下：然后我们来配置一下云：这里要切记，云链接防火墙的端口一定要是
！！！然后我们打开火狐浏览器，好像只能用火狐浏览器访问。输入192.168.0.1就能进入一个视图界面：选择高级，添加例外：接着会有一个登陆界面，华为防火墙默认的用户名为：admin 密码为Admin@123进去之后我们会进入这个界面修改密码：按照要求修改完密码后会让你重新登陆一次进去之后我们进入网络：然后会看到这个界面：接着我们点击编辑GE 1/0/0:接着我们点击编辑GE 1/0/1:接着我们点击编辑GE 1/0/2:配置完成后我们让untrust区域可以访问dmz区域的http/ftp/icmp我们在策略下进行配置：
现在我们验证一下：可以ping通，但是要想访问dmz区域的服务器这些配置肯定是不够的，欲知后事如何，且看下回分晓。
声明：本文内容由互联网用户自发贡献自行上传，本网站不拥有所有权，未作人工编辑处理，也不承担相关法律责任。如果您发现有涉嫌版权的内容，欢迎发送邮件至： 进行举报，并提供相关证据，工作人员会在5个工作日内联系你，一经查实，本站将立刻删除涉嫌侵权内容。【图解步骤】华为USG多出口策略路由怎么配置 | 192.168.1.1登陆页面
华为USG多出口策略路由怎么配置
　　华为的产品主要涉及通信网络中的交换网络、传输网络、无线及有线固定接入网络和数据通信网络及无线终端产品,那么你知道华为USG多出口策略路由怎么配置吗?下面是www.886abc.com整理的一些关于华为USG多出口策略路由怎么配置的相关资料，供你参考。
　　华为USG多出口策略路由配置的的案例：
　　组网情况
　　企业用户主要有技术部(VLAN10)和行政部(VLAN20)，通过汇聚交换机连接到USG。
　　企业分别通过两个不同运营商(ISP1和ISP2)连接到Internet，ISP1分配的IP地址是1.1.1.1～1.1.1.10，ISP2分配的IP地址是2.2.2.1～2.2.2.10，掩码均为24位。
　　需要实现以下需求
　　当通往两个运营商链路都正常工作的情况下，技术部用户通过运营商ISP1访问Internet互联网，行政部用户通过运营商ISP2访问Internet。
　　当一条链路出现故障时，流量可以被及时切换到另一条链路上，避免网络长时间中断。
　　汇聚SW配置：
　　vlan batch 10 20
　　interface GigabitEthernet0/0/1
　　port link-type access
　　port default vlan 10
　　stp edged-port enable
　　interface GigabitEthernet0/0/2
　　port link-type access
　　port default vlan 20
　　stp edged-port enable
　　interface GigabitEthernet0/0/24
　　port link-type trunk
　　port trunk allow-pass vlan 10 20
　　USG配置：
　　1.接口及区域配置
　　interface GigabitEthernet0/0/0.1
　　vlan-type dot1q 10
　　alias GigabitEthernet0/0/0.1
　　ip address 10.1.1.1 255.255.255.0
　　dhcp select interface
　　dhcp server gateway-list 10.1.1.1
　　interface GigabitEthernet0/0/0.2
　　vlan-type dot1q 20
　　alias GigabitEthernet0/0/0.2
　　ip address 10.1.2.1 255.255.255.0
　　dhcp select interface
　　dhcp server gateway-list 10.1.2.1
　　interface GigabitEthernet0/0/1
　　ip address 1.1.1.1 255.255.255.0
　　interface GigabitEthernet0/0/2
　　ip address 2.2.2.1 255.255.255.0
　　firewall zone trust
　　set priority 85
　　add interface GigabitEthernet0/0/0
　　add interface GigabitEthernet0/0/0.1
　　add interface GigabitEthernet0/0/0.2
　　firewall zone name isp1
　　set priority 30
　　add interface GigabitEthernet0/0/1
　　firewall zone name isp2
　　set priority 35
　　add interface GigabitEthernet0/0/2
　　2.域间策略配置：
　　policy interzone trust isp1 outbound
　　policy 1
　　action permit
　　policy source 10.1.0.0 0.0.255.255
　　policy interzone trust isp2 outbound
　　policy 1
　　action permit
　　policy source 10.1.0.0 0.0.255.255
　　3.NAT配置：
　　nat address-group 1 jishu 1.1.1.5 1.1.1.10
　　nat address-group 2 xingzheng 2.2.2.5 2.2.2.10
　　nat-policy interzone trust isp1 outbound
　　policy 1
　　action source-nat
　　policy source 10.1.0.0 0.0.255.255
　　address-group jishu
　　nat-policy interzone trust isp2 outbound
　　policy 1
　　action source-nat
　　policy source 10.1.0.0 0.0.255.255
　　address-group xingzheng
　　4.IP-Link链路检测配置
　　ip-link check enable
　　ip-link 1 destination 1.1.1.100 interface GigabitEthernet 0/0/1 mode icmp
　　ip-link 2 destination 2.2.2.100 interface GigabitEthernet 0/0/2 mode icmp
　　5.策略路由配置
　　acl number 3001
　　rule 10 permit ip source 10.1.1.0 0.0.0.255
　　acl number 3002
　　rule 10 permit ip source 10.1.2.0 0.0.0.255
　　policy-based-route huawei permit node 1
　　if-match acl 3001
　　apply ip-address next-hop 1.1.1.100
　　policy-based-route huawei permit node 2
　　if-match acl 3002
　　apply ip-address next-hop 2.2.2.100
　　分别在G0/0/0.1和G0/0/0.2上引用该策略路由
　　interface GigabitEthernet0/0/0.1
　　ip policy-based-route huawei
　　interface GigabitEthernet0/0/0.2
　　ip policy-based-route huawei
　　分别输入至ISP-1和ISP-2的两条默认路由
　　ip route-static 0.0.0.0 0.0.0.0 1.1.1.100 track ip-link 1
　　ip route-static 0.0.0.0 0.0.0.0 2.2.2.100 track ip-link 2
　　http://www.luyouqiwang.com/huawei/
　　ISP-1和ISP-2接口配置：
　　ISP-1：
　　interface GigabitEthernet0/0/0
　　ip address 1.1.1.100 255.255.255.0
　　ISP-2：
　　interface GigabitEthernet0/0/0
　　ip address 2.2.2.100 255.255.255.0
　　测试：
　　1.分别在技术部和行政部电脑上ping 8.8.8.8 -t ，在USG输入：display firewall session table verbose上查看NAT转换情况，如下图所示：
　　2.此时将ISP-1的G0/0/0口shutdown，观察技术部是否会切换到ISP-2访问Internet。
　　由上看出，技术部10.1.1.2已成功被转换成2.2.2.10了。
　　至此，这个华为设备的实验配置全部完成。
分享到您的社交平台：
推荐阅读：Cisco单臂路由配置，图文实例详解
Cisco单臂路由配置
&&&&&&& 单臂路由，即在上设置多个逻辑子接口，每个子接口对应一个vlan。在每个子接口的数据在物理链路上传递都要标记封装。Cisco设备支持ISL和802.1q（dot1Q）协议。华为只支持802.1q。
&&&&&&& DOT1Q和ISL的区别：DOT1Q是各类产品的VLAN通用协议模式，Dot1q是一种普遍使用的标准，适用所有与路由设备。支持超过1024vlan,而ISL最多支持1024个vlan。ISL是CISCO设备的专用协议，适用于Cisco设备。　ISL(Interior Switching Link)交换机间协议用于实现CISCO交换机间的VLAN中继。它是一个信息包标记协议，在支持ISL接口上发送的帧由一个标准以太网帧及相关的VLAN信息组成。
PC1: IP :172.16.3.1/24&&&& GW:255.255.255.0
PC2: IP :172.16.4.1/24&&&& GW:255.255.255.0
Switch&enable
Switch#vlan database
Switch(vlan)#vlan 30
Switch(vlan)#vlan 40
Switch# configure terminal
Switch(config)#int fastEthernet 0/1
Switch(config-if)#switchport access vlan 30
Switch(config-if)#int f0/2
Switch(config-if)#switchport access vlan 40
Switch(config-if)#int f 0/24
Switch(config-if)#switchport mode trunk&&&&&&&&&&&&&&& （把该接口设置为trunk模式）
Switch(config-if)#switchport trunk allowed vlan all&&&&&&& （运行所有vlan通过）
Router&enable
Router#configure terminal
Router(config)#int fastEthernet 0/0.1&&&&& （进入子接口）
Router(config-subif)#encapsulation dot1Q 30&&&&& （封装dot1Q协议，建立与vlan30的关联）
Router(config-subif)#ip add 172.16.3.254 255.255.255.0
Router(config-subif)#int f 0/0.2
Router(config-subif)#encapsulation dot1Q 40&&&&&& （封装dot1Q协议，建立与vlan40的关联）
Router(config-subif)#ip add 172.16.4.254 255.255.255.0
Router(config-subif)#int f 0/0
Router(config-if)#no shutdown&&&&&&&&&&&& （启动f0/0的接口，包括所有子接口）
完成。Vlan30能与vlan40互相通讯。
本文出自 &lookandrock& 博客豆丁微信公众号
君，已阅读到文档的结尾了呢~~
单臂路由配置 单臂路由配置实例 h3c单臂路由配置 单臂路由实验 什么是单臂路由 如何配置单臂路由 单臂路由 cisco 单臂路由 单臂路由实验报告 华为单臂路由
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
防火墙usg2130的单臂路由配置
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='http://www.docin.com/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口