电脑知识与技术学习,让我们一起成长!

当前位置:首页 > 病毒防御 > 文章

华为防火墙内网不能访问外网域名解决方法

发布时间:2016-09-24 23:21:00| 来源:电脑知识学习网 | 点击:

使用华为防火墙的用户我想都有感触吧,和配置常规路由器之类的完全不一样!下面我们就以华为防火墙USG2000&5000系列,内部局域网架设网站,成功映射端口之后,内部局域网用户不能通过公网域名来访问网站,而非局域网的用户都能通过公网域名来访问的问题。

解决方法思路:使用“域内NAT”

如果服务器和普通用户部署在同一安全区域,配置域内NAT可以实现该区域的普通用户通过公网IP地址访问服务器上的资源,这也就实现并解决了华为防火墙内网用户不能通过外网公网域名来访问的问题。

具体案例步骤:

图1所示为某校园网的组网,Web Server同时对校内和校外提供Web服务。Web服务器和校内用户均部署在USG的Trust区域,二者通过交换机与USG相连。

为了保障服务器安全,不对用户公布服务器的真实IP地址和端口,无论是校内用户还是校外用户均只能通过公网IP地址和端口访问Web Server。

图1 配置域内NAT组网图 

配置域内NAT组网图1

项目

数据

(1)

接口号:GigabitEthernet 0/0/3

IP地址:10.1.1.1/24

安全区域:Trust

NAT地址池

地址池名称:addresspool1

IP地址范围:200.10.10.3~200.10.10.5

内网用户地址范围

IP地址:10.1.1.0/24

Web Server

内部地址:10.1.1.2/24

内部端口:8080

外部地址:200.10.10.2/24

外部端口:80

配置思路

1.为实现校内用户和校外用户均通过公网IP地址和80端口访问Web Server的需求,首先需要配置虚拟服务器。

虚拟服务器配置的菜单路径为:“防火墙 > NAT > 目的NAT > 虚拟服务器”。

2.         为实现校内用户通过公网IP地址和80端口访问Web Server的需求,除配置虚拟服务器外还需要保证校内用户访问Web Server和Web Server应答的报文均经过USG,禁止校内用户不经过USG而直接访问Web Server。

1.       PC访问Web Server的流量必须经过设备,这需要通过将PC的缺省网关设置为设备内网接口的IP来实现。同时,不能将Web服务器的实际IP地址告知内网用户。

2.       Web Server回应给PC的流量的必须经过设备,这需要通过将PC访问服务器的流量的源地址转换为公网地址来实现。这样服务器会认为访问流量来自外网,回应报文就发给设备,由设备进行转发,而不会由交换机直接转发。

域内NAT配置的菜单路径为:“防火墙 > NAT > 源NAT”。

操作步骤

1.        配置接口基本参数。

1.       选择“网络 > 接口 > 接口”。

2.       在“接口列表”中单击GE0/0/3对应的接口列表

3.       配置接口GigabitEthernet 0/0/3。

  GigabitEthernet 0/0/3的相关参数如下,其他参数使用默认值:

1.         安全区域:trust

2.       模式:路由

3.       连接类型:静态IP

4.       IP地址:10.1.1.1

5.       子网掩码:255.255.255.0

3.                                                       单击“应用”。

2.                               配置域间安全策略,以保证网络基本通信正常。具体步骤略。

3.                               配置虚拟服务器。

3.                                                       选择“防火墙 > NAT > 目的NAT”,单击“虚拟服务器”页签。

4. 在“虚拟服务器列表”列表中单击虚拟服务器列表,参数配置如图2所示。

图2 配置虚拟服务器 

配置虚拟服务器

3.单击“应用”。

在校内用户PC上和Web Server上均需要配置到达外部网络(200.10.10.0/24)的路由,下一跳为10.1.1.1。

4.配置NAT地址池。

1.选择“防火墙 > NAT > 源NAT”。

2.选择“NAT地址池”页签。

3.在“NAT地址池列表”中单击单击+号,参数配置如图3所示。

图3 配置NAT地址池 

 

配置NAT地址池

4.单击“应用”。

5.配置域内NAT。

4.选择“源NAT”页签。

5.在“源NAT策略列表”中单击单击+号,参数配置如图4所示。

图4 配置源NAT 

配置源NAT

3.单击“应用”。

结果验证

校内用户(以10.1.1.5为例)可以通过公网IP地址200.10.10.2访问Web Server。选择“防火墙 > 监控 > 会话表”,查看会话表如图5所示。

结果验证

热门文章

推荐文章