華爲USG防火牆配置

時間  2020-09-20
標籤 華爲 usg 防火牆 配置 简体版
原文   原文鏈接

組網需求:安全

需求1
   該公司Trust區域的10.1.1.0/24網段的用戶能夠訪問Internet,該安全區域其它網段
的用戶不能訪問。提供的訪問外部網絡的合法IP地址範圍爲202.1.1.100--202.1.1.200。服務器

需求2
   提供FTP和Web服務器供外部網絡用戶訪問。其中FTP Server的內部IP地址爲
192.168.1.200,端口號爲缺省值21,Web Server的內部IP地址爲192.168.1.100,端口爲80。兩
者對外公佈的地址均爲202.1.1.10,對外使用的端口號均爲缺省值,即21和80。 網絡

拓撲:tcp

wKioL1TFu8rTuzAtAAEnCOHASMM109.jpg

防火牆配置:ide

#
interface GigabitEthernet0/0/1
 ip address 10.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip address 202.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/3
 ip address 192.168.1.254 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet0/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet0/0/2
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet0/0/3
#
 nat address-group 1 202.1.1.100 202.1.1.200
 nat server 0 protocol tcp global 202.1.1.10 ftp inside 192.168.1.200 ftp
 nat server 1 protocol tcp global 202.1.1.10 www inside 192.168.1.100 www
#
policy interzone trust untrust outbound
 policy 0
  action permit
  policy source 10.1.1.0 0.0.0.255
#
policy interzone dmz untrust inbound
 policy 0
  action permit
  policy service service-set http
  policy destination 192.168.1.100 0server

 policy 1
  action permit
  policy service service-set ftp
  policy destination 192.168.1.200 0
#
nat-policy interzone trust untrust outbound
 policy 0
  action source-nat
  policy source 10.1.1.0 0.0.0.255
  address-group 1blog

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程