华为防火墙双区域互通及访问外网配置

华为防火墙双区域互通及访问外网配置
qq3421609946

1.问题概述

最近碰到一个问题,公司内部有两个网络。一个是192.168.3.0/24网段的,另外一个是10.1.0.0/24网段的专网。
两个网络共同接入一台华为防火墙,通过华为防火墙访问互联网。
目前存在的问题,仅有192.168.3.0/24网段能够访问互联网。10.1.0.0/24网段的专网无法访问互联网,并且和192.168.3.0/24网段的计算机无法互相通信,这两个均需要解决。
模拟拓扑图如下:

2.问题判断

经过初步判断,192.168.3.0网段能够访问互联网,说明外网接入不存在问题。那么应该是10.1.0.0/24网段访问外网权限存在问题,应该是防火墙策略配置没有配置正确。

3.解决思路

因为内网访问均不存在问题,说明内网的接口在所属区域和配置策略均没有问题。所以将防火墙接入专网10网段的接口,同样加入内网接口所在区域,既能解决该问题,满足专网方位互联网和内网的权限。

4.模拟实现

(1)基础配置

首先完成网络的基础配置,包含各个PC设备的IP地址,这不做具体实现。

(2)权限配置

首先配置防火墙FW1接口IP地址

interface GigabitEthernet0/0/0
 alias GE0/MGMT
 ip address 119.36.139.2 255.255.255.252

interface GigabitEthernet0/0/1
 ip address 192.168.3.254 255.255.255.0

interface GigabitEthernet0/0/2
 ip address 10.1.0.254 255.255.255.0

    将接口加入对应区域
    内网接口和专网接口加入trust区域

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/1
add interface GigabitEthernet0/0/2


外网接口加入Untrust区域

firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/0


配置trust区域和untrust可以通信

policy interzone trust untrust outbound
policy 1
action permit


这里如果要加强管理,可以配置更严格的权限。
## (3)NAT配置
通过easy-ip的方式,NAT接口为G0/0/0接口,访问互联网。
nat-policy interzone trust untrust outbound
policy 1
action source-nat
easy-ip GigabitEthernet0/0/0

配置默认路由转向的外网IP地址
ip route-static 0.0.0.0 0.0.0.0 119.36.139.1

模拟的互联网路由器只用配置一个IP地址,不用配置任何路由信息。

## (4)验证
    在专网计算机10.1.0.1上验证,结果如下图所示,解决问题:
    ![](https://s1.51cto.com/images/blog/201908/25/c979829dde394456f4b961d57d6ae569.jpg?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

原文地址:https://blog.51cto.com/6385585/2432444

时间: 2024-11-03 20:52:20

华为防火墙双区域互通及访问外网配置的相关文章

VMware10中的Linux系统利用NAT网络连接方式访问外网配置

一.描述 在VMware10中 提供常见的三种网络连接方式 : 1.Bridge:这种方式最简单,直接将虚拟网卡桥接到一个物理网卡上面,与linux下一个网卡绑定两个不同地址类似,实际上是将网卡设置为混杂模式,从而达到侦听多个IP的能力. 在此种模式下,虚拟机内部的网卡(例如linux下的eth0)直接连到了我们真实物理网卡所在的网络上,相当于虚拟机和真实主机处于对等的地位,在网络关系上是平等的,没有谁在谁后面的问题.使用这种方式很简单,前提是你有1个以上的IP地址,这个不太适合使用. 2.na

VMware中centos7访问外网配置

1.配置虚拟机网络适配器,选择NAT模式 2.在编辑->虚拟机网络编辑器->更改设置 选择目前使用的网卡 3.通过ifconfig查看网卡配置 4.编辑网络配置对应上面网卡名称ens33 5.添加网络配置 TYPE="Ethernet" PROXY_METHOD="none" BROWSER_ONLY="no" BOOTPROTO="none" DEFROUTE="yes" IPV4_FAILU

Linux防火墙配置—访问外网WEB

一.实验目标 1.本次实验在"Linux基础网络搭建实验"的基础上,在外网虚拟机上搭建WEB服务,并分别配置外网和网关的防火墙规则,使内网能够访问WEB服务 2.Linux基础网络搭建实验:http://www.cnblogs.com/liaoyuanyang/p/6749416.html 3.实验拓扑: 二.实验步骤 1.建立如图所示的网络拓扑结构,内外网联通,网关防火墙也暂时关闭 2.外网测试主机配置 (1)配置本地Yum源(参考:http://www.cnblogs.com/li

NAT静态路由内网访问外网(华为)

1,实验名称:NAT静态路由内网访问外网(华为)2,实验目的:将私有地址转换为合法的IP地址,并解决IP地址不足的问题,而且还能有效的避免来自网络外的攻击.让内网可以访问外网,而外网不可以访问内网,起到内网安全保护数据的作用:3,实验拓扑: ,配置环境:① 先准备环境 2台PC机 1台交换机4台路由器② 先将PC机配置IP地址及子网掩码和网关(网关配置在路由器R1与交换机端口)③ 在路由器R1->R2端口配置不同网段IP:R1->R2->R3共两个不同网段④ 在R1->PC上的不同

linux局域网通过映射(双网卡)访问外网

图示说明: 1.IP规划设置 主机名 ip地址 ip地址(第二个网卡配置的地址) 地址类别 oldboy01 192.168.10.20 空 仅可访问内网主机 oldboy02 192.168.10.10 10.0.0.10 可访问内外网主机 2.修改网卡配置及iptables配置 ????????????????????????????????????????????????????????????????????????????????????????????????????????????

6.DNS公司PC访问外网的设置 + 主DNS服务器和辅助DNS服务器的配置

网站部署之~Windows Server | 本地部署 http://www.cnblogs.com/dunitian/p/4822808.html#iis DNS服务器部署不清楚的可以看上一篇:http://www.cnblogs.com/dunitian/p/5439816.html 公司内部的pc,基本上dns都是内部的服务器(因为有一些内部站点和系统) 那么DNS服务器怎么设置才能让公司PC访问外网呢? 开下转发器就可以了 输入ISP提供的DNS服务器的IP地址等:(此图不全,只当参考)

让devstack中的vm访问外网

devstack默认会建立一个Public网络,地址为172.24.4.0/24,但是这个网络并不是运营商分配给我们的网络,所以只能通过nat的方式让devstack建立的虚拟机访问外网. br-ex和br-phy都不需要绑定到任何的物理网卡,所有网络都是内部的. 想让vm通过Public访问外部网络,需要执行如下命令: ifconfig br-ex 172.24.4.1/24 iptables -t nat -I POSTROUTING -s 172.24.4.0/24 -j MASQUERA

安装TMG后内网访问外网FTP权限受限的解决方法

公司使用tmg2010搭了个vpn服务器,在拔入vpn通过ftp工具访问ftp时会报550 access is denied. 而通过普通ftp访问登录可以看到文件列表,上传文件时提示没有权限,错误信息如下图 没有拔入vpn时访问ftp则一切正常. 原因分析: tmg安装完成后默认策略是禁止ftp上传功能的,默认访问ftp时只有只读权限. 处理方法 打开tmg管理控制台:系统--应用程序筛选器,找到ftp访问筛选器,右击属性--ftp属性--允许活动的ftp访问. 如果此项没有勾选,则通过tmg

新建网站本机能访问外网无法访问解决办法

新建网站本机能访问外网无法访问解决办法 之前带着几个人给某事业单位运用公司新近研发的的一套框架建了个网站,在局域网中试运行了20来天之后应客户的要求发布到公网上之后,出现了无法访问的问题. (其他的像备案,域名,独立IP等之前已经全部都弄好了,通过外网访问的时候端口都对应的打开了,防火墙等因素也不予考虑) 服务器环境 WinServer2008 + IIS7 问题描述 能够Ping通,本机可以访问,外网无法访问. 解决方法 因为网站刚发布的时候使用的是80端口,通过网上了解相关的信息是:80端口