华为赛门铁克USG2130配置DMZ TRUST 路由 NAT 命令

华赛防火墙的配置 NAT DMZ 等命令

华为赛门铁克USG2130配置DMZ TRUST 路由 NAT 命令

公司刚进了一台USG2130防火墙 和华为3700的交换机，没有配置过，于是乎打400电话，不过华赛的售后服务就是好，人家给你讲解的很好，帮你远程协助，中午还耽误人家下班了，呵呵吧，不扯淡了，先说一下公司的网络结构：

因为涉密所以IP地址随便写的

公司有两台WEB服务器，要放到DMZ区域

然后公司内部有50台办公电脑，放到TRUNST区域

ISP给了两个IP地址 一个用来上网NAT 一个用于

WEB

E0/0/0 :192.168.1.56(用于内部工作电脑上网)

192.168.1.57（用于WEB服务器对外提供WWW服务）

VLAN 1 :192.168.10.1(内部PC属于VLAN 1)

VLAN 2 :192.168.20.1(服务器属于VLAN 2)

先说一下具体步骤：

第一步：打开防火墙的默认域名包过滤规则 命令如下：

firewall packet-filter default permit all

第二步：配置E0/0/0 IP地址

[PIX]interface Ethernet 0/0/0

[PIX-Ethernet0/0/0]ip address 192.168.1.56 24

[PIX-Ethernet0/0/0]ip address 192.168.1.57 24 sub(这个一定要配置)

第三步：配置VLAN 和接口IP

[PIX]interface vlan 1

华赛防火墙的配置 NAT DMZ 等命令

[PIX-Vlanif1] ip address 192.168.10.1 24

[PIX]interface vlan 2

[PIX-Vlanif2] ip address 192.168.20.1 24

将接口加入VLAN

[PIX]vlan 1

[PIX-vlan1]port Ethernet 1/0/0

[PIX]vlan 2

[PIX-vlan2]port Ethernet 1/0/1

第四步：配置TRUST区域 DMZ区域 UNTRUST区域 将端口加入这些区域

[PIX]firewall zone trust

[PIX-zone-trust]add interface Vlanif 1

[PIX]firewall zone DMZ

[PIX-zone-dmz]add interface Vlanif 2

WAN口默认的是属于UNTRUST区域的不用设置

第五步：配置默认路由

[PIX]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

记住 192.168.1.1 这个是我写的 你一定要改成你的下一跳网关

第六步:配置NAT

[PIX]acl 2000

[PIX-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255

[PIX]acl 2001

[PIX-acl-basic-2001]rule permit source 192.168.20.0 0.0.0.255

[PIX]nat address-group 1 192.168.1.56 192.168.1.56

[PIX]nat address-group 2 192.168.1.57 192.168.1.56

[PIX]firewall interzone trust untrust

[PIX-interzone-trust-untrust]nat outbound 2000 address-group 1

华赛防火墙的配置 NAT DMZ 等命令

[PIX]firewall interzone dmz untrust

[PIX-interzone-dmz-untrust]nat outbound 2001 address-group 2

[PIX]nat server protocol tcp global 192.168.1.57 www inside 192.168.20.8（这是服务器的IP地址）www

本文来源：https://www.bwwdw.com/article/5skm.html