華為防火墻usg配置

1、內(nèi)網(wǎng)：內(nèi)網(wǎng)：配置GigabitEther001加入Trust區(qū)域[USG5300]firewallfirewallzonezonetrusttrust[USG5300zoneuntrust]addaddinterfaceinterfaceGigabitEtherGigabitEther001001外網(wǎng)：外網(wǎng)：配置GigabitEther002加入U(xiǎn)ntrust區(qū)域[USG5300]firewallfirewallzonezoneuntr

2、ustuntrust[USG5300zoneuntrust]addaddinterfaceinterfaceGigabitEtherGigabitEther002002DMZ：[USG5300]firewallfirewallzonezonedmzdmz[USG5300zoneuntrust]addaddinterfaceinterfaceGigabitEtherGigabitEther003003[USG5300zoneuntrust

3、]quitquit1.4.11.4.1TrustTrust和UntrustUntrust域間域間：允許內(nèi)網(wǎng)用戶訪問公網(wǎng)允許內(nèi)網(wǎng)用戶訪問公網(wǎng)policy1：允許源地址為10.10.10.024的網(wǎng)段的報(bào)文通過[USG5300]policypolicyinterzoneinterzonetrusttrustuntrustuntrustoutboundoutbound[USG5300policyinterzonetrustuntrustout

4、bound]policypolicy1[USG5300policyinterzonetrustuntrustoutbound1]policypolicysourcesource10.10.10.010.10.10.00.0.0.2550.0.0.255[USG5300policyinterzonetrustuntrustoutbound1]actionactionpermitpermit[USG5300policyinterzonetr

5、ustuntrustoutbound1]quitquit如果是允許所有的內(nèi)網(wǎng)地址上公網(wǎng)可以用以下命令：如果是允許所有的內(nèi)網(wǎng)地址上公網(wǎng)可以用以下命令：[USG2100]firewallpacketfilterdefaultpermitinterzonetrustuntrustdirectionoutbound必須2、通過公網(wǎng)接口的方式、通過公網(wǎng)接口的方式創(chuàng)建Trust區(qū)域和Untrust區(qū)域之間的NAT策略，確定進(jìn)行NAT轉(zhuǎn)換的源地址范圍

6、192.168.1.024網(wǎng)段，并且將其與外網(wǎng)接口GigabitEther004進(jìn)行綁定。[USG]natpolicynatpolicyinterzoneinterzonetrusttrustuntrustuntrustoutboundoutbound[USGnatpolicyinterzonetrustuntrustoutbound]policypolicy0[USGnatpolicyinterzonetrustuntrustoutb

7、ound0]policypolicysourcesource192.168.1.0192.168.1.00.0.0.2550.0.0.255[USGnatpolicyinterzonetrustuntrustoutbound0]actionactionsourcenatsourcenat[USGnatpolicyinterzonetrustuntrustoutbound0]easyipeasyipGigabitEtherGigabitE

8、ther004004[USGnatpolicyinterzonetrustuntrustoutbound0]quitquit3、直接在接口啟用、直接在接口啟用nat如果是針對(duì)內(nèi)網(wǎng)用戶上公網(wǎng)做nat，需要在內(nèi)網(wǎng)接口使用[USGGigabitEther000]natnatenableenable2.102.10配置策略路由配置策略路由配置要求：10.10.167.0走218.201.135.177，10.10.168.0走58.57.15.