网络安全之华为USG防火墙配置实例

网络安全之华为USG防火墙配置实例

USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。USG5500系列产品部署于网络出口处，有效阻止Internet 上的黑客入侵、DDoS攻击，阻止内网用户访问非法网站，限制带宽，为内部网络提供一个安全可靠的网络环境。这里华迪教育以此为例，给同学们讲解防火墙配置实例。

华为USG防火墙配置内容：

（1）内部网络通过防火墙访问外部网络(NAT)

（2）外部网络能够访问内部服务器的映射网站

主要配置命令如下：

Step 1: 设置内、外网接口IP

interface GigabitEthernet0/0/1

ip address 192.168.10.1 255.255.255.0

interface GigabitEthernet0/0/8

ip address 211.95.1.200 255.255.255.0

Step 2: 指定内网信任区和外网非信任区

firewall zone trust

detect ftp (启用FTP应用层转换)

add interface GigabitEthernet0/0/1

firewall zone untrust

add interface GigabitEthernet0/0/8

step 3 : 开启内网FTP服务映射到外网，开通区域间的通信许可

firewall interzone trust untrust

detect ftp （开启内网到外网的FTP服务映射）

firewall packet-filter default permit all

step 4:定义NAT地址池、配置NAT Server发布内网站点服务

nat address-group 1 211.95.1.200 211.95.1.200

nat server zone untrust protocol tcp global 211.95.1.200 www inside 192.168.10.254 www

nat server zone untrust protocol tcp global 211.95.1.200 ftp inside 192.168.10.254 ftp

nat server zone trust protocol tcp global 211.95.1.200 www inside 192.168.10.254 www

nat server zone trust protocol tcp global 211.95.1.200 ftp inside 192.168.10.254 ftp

Step 5 :配置nat转换，使得内网可以访问外网

nat-policy interzone trust untrust outbound

policy 1

action source-nat

policy source 192.168.10.0 0.0.0.255

address-group 1

Step 6: 配置源地址转换，强制要求内网用户须通过映射地址访问内部服务器nat-policy zone trust

policy 1

action source-nat

policy source 192.168.10.0 0.0.0.255

policy destination 211.95.1.254 0 address-group 1