3、配置untrust区域允许访问dmz区域的安全策略
关键配置
1、华为防火墙接口与安全域的配置
[FW1]nat server protocol tcp global 1.1.1.2 9980 inside 10.1.1.2 80
这里将80端口映射为9980端口而不是直接映射为80端口是因为,一些地区的运营商会阻断新增的80、8000、8080端口的业务,从而导致服务器无法访问。
3、配置untrust区域允许访问dmz区域的安全策略
security-policy
rule name untrust_to_dmz
source-zone untrust
destination-zone dmz
action permit
以上命令配置允许untrust区域的流量访问dmz区域。完成了以上配置之后,可以通过访问1.1.1.2的9980端口,从而访问到内网10.1.1.2的80端口。
上面的配置是比较简单的,下面来看看具体的流程吧。
当执行了nat server protocol tcp global 1.1.1.2 9980 inside 10.1.1.2 80这条命令后,Server-map会生成以下的映射关系。
在防火墙的前后抓包,能很清楚地看到NAT Server的效果:
防火墙处理前:
防火墙处理前
防火墙处理后:
防火墙处理后
防火墙处理前
防火墙处理前
防火墙处理后
防火墙处理后
版权声明:本页面内容旨在传播知识,为用户自行发布,若有侵权等问题请及时与本网联系,我们将第一时间处理。E-mail:284563525@qq.com
