文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >专栏 >eNSP防火墙配置源NAT地址池策略

eNSP防火墙配置源NAT地址池策略

作者头像
YueXuan
发布2026-05-09 08:07:01
发布2026-05-09 08:07:01
2130
举报

综合案例3

​ 某公司出公网的防火墙采用USG5500,公司私网有一台FTP服务器Server1,公网上有一台PC机Client1,防火墙的端口直接连接到PC机上。拓扑图和IP规划如下。

image-20240624210410881
image-20240624210410881

要求:要求公网上的Client1所在网段主机能够访问私网的FTP服务器Server1,防火墙上设置NAT Server+源NAT策略,FTP服务器申请公网地址2.2.2.5。Client1所在网段主机采用源NAT地址池方式转换,地址池为192.168.1.11-192.168.1.20。

1、配置Server1,点击“保存”

image-20240624210746424
image-20240624210746424

2、配置Client1,点击“保存”

image-20240624210855886
image-20240624210855886

3、配置FW1

(1)进入系统视图

代码语言:javascript
复制
system-view
image-20240624191343166
image-20240624191343166

(2)关闭信息中心

代码语言:javascript
复制
undo info-center enable
image-20240624191421907
image-20240624191421907

(3)配置接口IP

代码语言:javascript
复制
interface GigabitEthernet0/0/1
 ip address 192.168.1.254 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip address 1.1.1.1 255.255.255.0
#
image-20240624211047856
image-20240624211047856

(4)接口加入安全区域

代码语言:javascript
复制
#
firewall zone untrust
 add interface GigabitEthernet0/0/2
#
firewall zone dmz
 add interface GigabitEthernet0/0/1
#
image-20240624211211198
image-20240624211211198

(5)配置安全策略

代码语言:javascript
复制
#
policy interzone dmz untrust inbound
 policy 1
  action permit
  policy service service-set ftp
  policy destination 192.168.1.2 0.0.0.0
#
image-20240624214815467
image-20240624214815467

(6)配置NAT Server。

代码语言:javascript
复制
 nat server protocol tcp global 2.2.2.5 ftp inside 192.168.1.2 ftp
image-20240624212207838
image-20240624212207838

(6)配置地址池方式的源NAT策略。 先配置地址池:

代码语言:javascript
复制
 nat address-group 1 192.168.1.11 192.168.1.20
image-20240624212327963
image-20240624212327963

再配置源NAT策略:

代码语言:javascript
复制
#
nat-policy interzone dmz untrust inbound
 policy 1
  action source-nat
  policy source 1.1.1.0 0.0.0.255
  address-group 1
image-20240624212658579
image-20240624212658579

4、保存防火墙配置

代码语言:javascript
复制
quit
save
image-20240624212758294
image-20240624212758294

5、测试 在Server1上启动FTP

image-20240624212848568
image-20240624212848568

在Client1上访问FTP服务器的公网地址,没有报错就是成功。

image-20240624214405307
image-20240624214405307

在防火墙上抓包 ,能看到源地址和目的地址都NAT转换成功。

代码语言:javascript
复制
display firewall session table
image-20240624215228920
image-20240624215228920

综合案例4

​ 某公司出公网的防火墙采用USG5500,公司私网有一台FTP服务器Server2,公网上有一台PC机Client1,防火墙的端口直接连接到PC机上。拓扑图和IP规划如下。

要求:要求公网上的Client1所在网段主机能够访问私网的WWW服务器Server2,防火墙上设置NAT Server+源NAT策略,WWW服务器申请公网地址2.2.2.8。Client1所在网段主机采用源NAT地址池方式转换,地址池为192.168.1.101-192.168.1.105。

1、配置Server2,点击“保存”

image-20240624221104211
image-20240624221104211

2、配置Client1,点击“保存”

image-20240624210855886
image-20240624210855886

3、配置FW1

(1)进入系统视图

代码语言:javascript
复制
system-view
image-20240624191343166
image-20240624191343166

(2)关闭信息中心

代码语言:javascript
复制
undo info-center enable
image-20240624191421907
image-20240624191421907

(3)配置接口IP

代码语言:javascript
复制
interface GigabitEthernet0/0/1
 ip address 192.168.1.254 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip address 1.1.1.1 255.255.255.0
#
image-20240624211047856
image-20240624211047856

(4)接口加入安全区域

代码语言:javascript
复制
#
firewall zone untrust
 add interface GigabitEthernet0/0/2
#
firewall zone dmz
 add interface GigabitEthernet0/0/1
#
image-20240624211211198
image-20240624211211198

(5)配置安全策略

代码语言:javascript
复制
policy interzone dmz untrust inbound
 policy 1
  action permit
  policy service service-set http
  policy destination 192.168.1.3 0.0.0.0
image-20240624221724864
image-20240624221724864

(6)配置NAT Server。

代码语言:javascript
复制
nat server protocol tcp global 2.2.2.8 www inside 192.168.1.3 www
image-20240624221829360
image-20240624221829360

(6)配置地址池方式的源NAT策略。 先配置地址池:

代码语言:javascript
复制
 nat address-group 2 192.168.1.101 192.168.1.105
image-20240624222202349
image-20240624222202349

再配置源NAT策略:

代码语言:javascript
复制
nat-policy interzone dmz untrust inbound
 policy 2
  action source-nat
  policy source 1.1.1.0 0.0.0.255
  address-group 2
image-20240624222411568
image-20240624222411568

4、保存防火墙配置

代码语言:javascript
复制
quit
save
image-20240624222449466
image-20240624222449466

5、测试 在Server2上启动HTTP

image-20240624222541501
image-20240624222541501

在Client1上访问http服务器。 输入下面的URL,点击“获取”。

image-20240624222748159
image-20240624222748159

出现下面这个界面,表示访问http服务器成功,不要关闭窗口,去 防火墙上抓包,动作要快点。

image-20240624222652153
image-20240624222652153

在防火墙上抓包 ,能看到源地址和目的地址都NAT转换成功。

代码语言:javascript
复制
display firewall session table
image-20240624222838075
image-20240624222838075
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2026-05-07,如有侵权请联系 cloudcommunity@tencent.com 删除
防火墙
服务器
配置
主机
nat

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

防火墙
服务器
配置
主机
nat
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
目录
  • 综合案例3
  • 综合案例4
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2026 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论