| 华为USG6000V1防火墙实现源目地址转换 | 您所在的位置:网站首页 › 华为usg6000如何配置 › 华为USG6000V1防火墙实现源目地址转换 |
华为USG6000V1防火墙实现源目地址转换
|
一、要求: 防火墙本地创建两个安全区域,DMZ和Untrust; DMZ区访问外部地址,可见的为内部地址; Untrust区看到发起访问的地址也是外部地址; 二、实验环境说明: 防火墙配置两个地址10.255.1.254,划在DMZ中,用于PC终端的网关;1.1.1.1划到Untrust区中,用于和路由器互联; 路由器除配置接口地址之外,还配置了环回口地址100.1.1.1,用于DMZ发起访问; 我在网上查了很多资料,华为防火墙实现目的转换的方式都是用server-map映射方式做的,如果从外部Untrust区对内访问用server-map方式比 较好,但是有些场景是内部访问,但是又想是自已内部的地址,所以用以下方式会合理些。三、实现步骤: 1、将端口划到安全区域: firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 firewall zone dmz set priority 50 add interface GigabitEthernet1/0/0 2、按照防火墙报文处理流程: 目的地址转换——安全策略——源地址转换(这个非常重要) (1)定义最终地址: destination-nat address-group dst100.1.1.1 1 section 100.1.1.1 100.1.1.1 (2)定义源地址转换地址池 : nat address-group Change-source 0 mode pat route enable(配置路由黑洞) section 0 10.1.1.10 10.1.1.15 (3)定义安全策略: security-policy rule name Test-d2u source-zone dmz destination-zone untrust source-address 10.255.1.0 mask 255.255.255.0 destination-address 100.1.1.1 mask 255.255.255.255 service icmp action permit (4)定义NAT策略 nat-policy rule name Change-source-desti source-zone dmz source-address 10.255.1.0 mask 255.255.255.0 destination-address 10.255.1.10 mask 255.255.255.255(这个地址就是目的转换过后的地址) action source-nat address-group Change-source action destination-nat static address-to-address address-group dst100.1.1.1 四、验证: 1、从PC1去ping 10.255.1.10: |
2、在防火墙查看会话信息: display firewall session table ver
从此图可以看到10.255.1.1转成了10.1.1.13,即源地址实现了转换; 10.255.1.10转成了100.1.1.1,目的地址实现了转换。【本文地址】