如何通过公网IP经过防火墙访问内网服务器

1、首先登录防火墙后台，找的源nat选项新建一条源NAT策略。

我们一直强调成都网站设计、网站制作、外贸营销网站建设对于企业的重要性,如果您也觉得重要,那么就需要我们慎重对待,选择一个安全靠谱的网站建设公司,企业网站我们建议是要么不做，要么就做好,让网站能真正成为企业发展过程中的有力推手。专业网站建设公司不一定是大公司,创新互联作为专业的网络公司选择我们就是放心。

2、名字这里是Trust2Trust，源安全区域和目的安全区域都选择trust。

3、然后可以设置转换前的适配规则。这一步也可以不要，默认允许所有源访问所有目的IP的所有端口；考虑到安全性可以指定某个/些源访问某个/些目的地址的某个/些端口。

4、转换后的地址选择出接口地址。

5、然后确认，这样内网就能正常通过防火墙公网IP访问内部服务了。

ensp查看防火墙网关命令

安全

【ensp】防火墙概述与命令总结

云归959

原创

关注

4点赞·6380人阅读

防火墙概述与命令总结

0713 防火墙的基本概述：

安全策略：

0714 防火墙的NAT策略：

server nat：

pat与no-pat做法：

域内nat做法：

0715 防火墙的双机热备：

在防火墙上配置VGMP：

0717 防火墙的GRE封装：

gre在防火墙上应用：

防火墙中的telnet配置：

防火墙中ssh配置:

0713 防火墙的基本概述：

防火墙分为：

框式防火墙

盒式防火墙

软件防火墙（公有云、私有云）

我们目前学习的是状态检测防火墙：

通过检查首包的五元组，来保证出入数据包的安全

隔离不同的网络区域

通常用于两个网络之间，有选择性针对性的隔离流量

阻断外网主动访问内网，但回包不算主动访问

安全区域（security zone）：被简称为区域（zone），是防火墙的重要概念，缺省时有4个区域：

local：本地区域，所有IP都属于这个区域

trust：受信任的区域

DMZ：是介于管制和不管制区域之间的区域，一般放置服务器

untrust：一般连接Internet和不属于内网的部分

ps：每个接口都需要加入安全区域，不然防火墙会显示接口未激活，无法工作

firewall zone [区域名] //进入安全区域

add interface GigabitEthernet [接口号] //添加接口到此区域

display zone //查看区域划分情况

复制

安全策略：

与ACL类似，动作只有两种：permit和deny

每一个想要通过防火墙的数据包都需要被安全策略检查，如果不写安全策略，ping都经过不了防火墙

如何去写安全策略：

security-policy

rule name [策略名]

source-zone [区域名]

source-address [源地址] [掩码] //此条可以略

destination-zone [区域名]

destination-address [源地址] [掩码] //此条可以略

service [协议名] //需要放行的协议

action permit //此条策略的动作是放行

复制

防火墙策略命中即转发

一些今天的名词：

ddos攻击防范：ddos攻击就是通过伪造大量不同的mac地址让交换机学习，让交换机无法正常处理其他事情

SPU：防火墙特有的，用于实现防火墙的安全功能

五元组：源/目地址、源/目端口号、协议

ASPF技术：应用包过滤技术，可以根据协议推出应用包内容，根据内容提前生成server-map表项，在流量没有匹配会话表时，可以匹配server-map来处理

ftp无论是主动模式还是被动模式都是client先主动向server发起控制通道连接

ftp的主动模式（port）：server主动向client发起数据通道的连接

ftp被动模式（pasv）：server等待client发起数据通道的连接

0714 防火墙的NAT策略：

NAT转换有两种转换：

源NAT：

no-pat //1对1转化，不节约公网地址，同一时间内只能有一个人上网

pat //指定一个或多个公网地址使PC机可以通过这个公网地址的不同端口进行访问

ease-ip //使用接口的IP作为NAT地址，使PC机可以通过这个公网地址的不同端口进行访问

目标NAT：

server nat //服务器映射

值得注意的是：

如果在防火墙上的是源NAT转换，则防火墙先匹配安全策略，再匹配NAT策略

如果在防火墙上的是目标NAT转换，则防火墙先匹配NAT策略，再匹配安全策略

实验总结概述：

如何做nat：

server nat：

nat server protocol [协议] global [公网地址] [端口] inside [服务器地址] [端口]

复制

pat与no-pat做法：

nat address-group [地址组名]

mode pat

section [初始地址] [结束地址]

nat-policy //进入nat策略，将前一步的地址池应用在nat策略中

source-zone [区域名]

source-address [源地址] [掩码]

destination-zone [区域名]

destination-address [源地址] [掩码] //此步规定什么样的地址允许做NAT转换

action source-nat address-group NAT //应用地址组

//之后就是看需要写安全策略

复制

域内nat做法：

访问需要通过公网地址访问

第一步：将接口划分好所属区域，做好基础配置

第二步：创建一个nat地址池，将地址池的范围规划好，（默认为PAT）

nat server 0 protocol tcp global 204.1.1.1 www inside 172.16.1.2 www

//此步为服务器映射

nat address-group NAT

mode pat

section 0 205.1.1.1 205.1.1.1

第三步：进入nat策略，将前一步的地址池应用在nat策略中

nat-policy

rule name NAT

source-zone dmz

destination-zone dmz

source-address 172.16.1.1 mask 255.255.255.255

destination-address 172.16.1.2 mask 255.255.255.255

//此步规定什么样的地址允许做NAT转换

action source-nat address-group NAT

第四步：设置安全策略，允许地址通过，并说明区域

security-policy

default packet-filter intrazone enable

//设置防火墙区域间流量也检查

rule name NAT

source-zone dmz

destination-zone dmz

source-address 172.16.1.1 mask 255.255.255.255

destination-address 172.16.1.2 mask 255.255.255.255

service http

service tcp

action permit

复制

内网服务器映射到公网，怎么做好服务器安全工作？

可以从网络接入端点的安全控制入手，结合认证服务器，安全策略服务器、补丁服务器和网络设备，以及第三方软件系统（防病毒）等，对用户接入行为的控制，完成对接入终端用户的强制认证和安全策略应用，从而保障网络安全。

华为防火墙如何做端口映射？

端口映射是NAT的一种，功能是把在公网的地址转翻译成私有地址。也是将外网主机的IP地址的一个端口映射到内网中一台机器，提供相应的服务。当用户访问该IP的这个端口时，服务器自动将请求映射到对应局域网内部的机器上。端口映射有动态和静态之分。1、

端口映射是华为防火墙中的一个常用功能，举个例子就是你内网有一台服务器，想让外网的访问者能够直接访问到这台服务器。但你的内网服务器配置的是内网地址在公网是找不到的，怎么办？这时既可以把一个公网IP地址映射到这个内网地址上，可以单独映射一个端口，也可以做全映射。今天主要说的就是服务器的端口映射。

2、端口映射在防火墙内属于一个策略。所以我们登录到防火墙后找到策略、NAT策略、服务器映射。

3、在服务器映射列表中，我们看到有一个新建选项。做端口映射需要新建一个映射策略。

4、名称随意填写，类型一般填写为“静态映射”，安全区域根据自己的网络结构进行配置。公网地址填写需要映射的公网地址，私网地址填写服务器的地址。允许端口转换如果为全映射不需要都选，如果为单独端口映射需要勾选。

5、当让图形界面看着比较容易操作，如果想用命令配置界面的也可以。只需要输入nat server 来画SSH2 protocol tcp global 公网IP 2222 inside 私网IP 22 no-reverse

6、设置完之后，我们也可以做一个简单的验证，打开windows的cmd窗口。在里边输入Telnet+公网IP+端口 看看是否连同。