由于未正确配置nat server导致Trust域用户不能访问DMZ服务器

转载 已于 2023-08-17 08:45:07 修改 · 424 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://support.huawei.com/enterprise/zh/knowledge/EKB1000000678
文章标签:

#华为

于 2023-08-17 08:44:18 首次发布
文章讲述了企业防火墙配置中,由于缺少zone关键字导致Trust区域用户无法访问内部FTP服务器的私网地址,通过修改natserver命令并指定zone为DMZ和Untrust区域,解决了这个问题。建议在配置NAT时明确安全区域以确保正确映射。

问题描述

  如图所示,一台部署在企业出口,企业内部用户属于Trust区域,通过接口GE0/0/2与连接。FTP服务器等服务器属于DMZ区域,对外部和内部网络提供FTP等服务,通过接口GE0/0/1与连接。的接口GE0/0/3与Internet连接,属于Untrust区域。
防火墙上启动NAT功能。相关配置如下:
[sysname-interzone-trust-untrust] nat outbound 2000 address-group 1
[sysname] nat server global x.x.x.x inside 192.168.2.2
其中,211.1.1.8是FTP服务器的公网IP地址。
配置完成后,Trust区域的用户无法访问FTP服务器的私网地址192.168.2.2,只能访问其公网地址x.x.x.x。

告警信息

处理过程

  修改nat server命令,添加zone关键字。将该命令只应用到DMZ和Untrust域间。[sysname] nat server zone untrust global  x.x.x.x inside 192.168.2.2

根因

在配置命令nat server时没有指定zone关键字,nat server命令应用到了Trust和DMZ域间。造成Trust区域用户必须访问公网地址才能命中会话表。

建议与总结

在DMZ区域配置nat server时,如果需要Trust区域的用户用私网地址访问FTP服务器,必须配置zone关键字。

防火墙三个安全区TrustDMZ、Untrust
网络技术联盟站
09-09 4079
为了有效地隔离和管理不同类型的网络流量,防火墙通常将网络分为不同的安全区。(可信区)、(非军事化区)和(非可信区)。每个区有不同的安全级别和访问控制策略,用于保护网络的完整性和机密性。
初探华为防护墙(1)------直连怎么ping不通?什么鬼?看完你就明白了
wlgcszz的博客
06-14 1万+
华为防火墙直连ping不通
华为防火墙 DMZ 设置
一直被模仿,从未被超越
11-21 4906
例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器,但不可能接触到存放在内网中的信息,就算黑客入侵DMZ服务器,也不会影响到公司内部网络安全,不允许任何外部网络的直接访问,实现内外网分离,在企业的信息安全防护加了一道屏障。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个位于内部网络与外部网络之间的缓冲区,在这个网络区内可以放置一些公开的服务器资源。DMZ 是英文"Demilitarized Zone"的缩写,中文名称为"隔离区"
华为防火墙USG6000V---内网访问外网---外网访问内网服务器NAT服务器)示例配置
lehe99的专栏
11-03 2万+
华为防火墙USG6000V示例配置,展示了访问防火墙、内网服务器、外网和外网访问内网服务器NAT服务器)的配置
路由器端口映射和dmz无法访问内网搭建的网站
mumuemhaha的博客
04-21 1637
路由器把80端口封了,要开启就要去备案了(改成其他的端口外网应该也访问不了)昨天想着不用内网穿透用路由器端口映射打开或者路由器dmz做全端口映射。但是外网访问不了,后来我想是不是我的路由器是不是不是公网ip。结果百度搜索ip出现的ip和我路由器的wlan ip一样。然后我在手机开流量用我公网的ip用ssh链接了一下。(注意:依旧用外网或者流量访问)查看我开放的端口。然后匪夷所思的是搭建宝塔网站外网可以访问。结果外网访问不了我宝塔搭建的网站。内网可以进(用的也是公网ip)为什么访问不了我的网站。
公网用户通过NAT Server访问内部服务器
qq_44751470的博客
07-06 1799
示例图 一.实验目的 1.配置公网用户通过NAT Server访问内部服务器 二.注意事项 1.配置NAT Server时注意映射的IP地址 2.由于安全策略的配置,只能由外到服务器的单方向访问,且只能访问指定的目的地址 三.简单配置 FW1 sysname FW1 # interface GigabitEthernet1/0/1 ip address 1.1.1.1 255.255.255.0 # interface GigabitEthernet1/0/2 ip address 10.2.0.1 2
NATserver nat内双向NAT间双向NAT,以及双机热备实验,练习IPS配置实验。
xiaooxiangg的博客
03-21 1061
lsw1]ip route-static 0.0.0.0 0 10.1.2.254 防火墙的虚网关。然后ping100.1.1.2抓包发现地址进行了地址转换。做同步,在防火墙之间连一根线,把两条接口配成一个网段。配置好防火墙地址,然后用网页登录两个防火墙。配置虚拟IP和第一个防火墙配置方法一样。写一条trust到untrust的策略。写untrustdmz 的策略。如图先配置好各个设备IP地址。LSW2配置配法LSW1的一样。trust区加一个服务器。还原后主备切换回为原来。
公网用户通过NAPT和NAT Server访问内部服务器
qq_44751470的博客
07-03 1295
示例图 一.实验目的 1.配置公网用户通过NAPT和NAT Server访问内部服务器 二.注意事项 三.简单配置 FW1
华为静态NAT PAT配置(内部通过外网地址访问内部服务器问题)
12-07
- **访问限制**: 配置完成后,内部用户只能通过访问服务器,而不能再使用公网IP地址访问。 - **真实名需求**: 必须有一个真实的公网可访问名,该名是由运营商提供的,使得公网用户也能通过此访问...
ensp配置服务器发布(将DMZ区的web服务区发布,供client访问
qiuqiunile_的博客
10-10 5147
一、建立如下拓扑图,并配置设备 配置网云 配置服务端 随意添加一个供客户端访问的文件: 配置客户端 二、配置安全策略和NAT策略 1)登录防火墙web配置界面: https://192.168.0.1 默认用户admin 密码Admin@123 2)配置安全策略 配置NAT策略 3)配置接口 g1/0/2: g1/0/3: ...
华为防火墙配置命令-trust-dmz-untrust
weixin_45986422的博客
05-12 1万+
R1配置命令 <Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]undo inf enable Info: Information center is disabled. [Huawei]sys R1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.9.195 24 [R1-GigabitEthernet0/0/0]undo sh Inf..
防火墙实验(实现trust、untrustDMZ互通)
weixin_64311421的博客
03-17 6586
通了之后在浏览器上输入192.168.81.2,输入用户密码。先给交换机LSW1接口配置划分VLAN2和VLAN3。分别在server1 和server3上测试是否成功。用LSW1上ping 防火墙10.1.255.2。在PC1上ping 10.1.255.2。在交换机上配置vlan10 vlan11。修改g1/0/2和g1/0/3连接类型。在FW1上配置一个静态路由。到这里区内部都互通了。在LSW1上写个缺省路由。再在物理主机上ping。在server2上配置。先配置GE0/0/0。
防火墙中的DMZTrust,Untrust
热门推荐
冷鞘-的博客
07-01 5万+
** 区的作用: ** 1.安全策略都基于区实施 2.在同一区内部发生的数据流动是不存在风险的,不需要实施任何安全策略。 只有当不同安全区之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略。 3.一个接口只能属于一个区,而一个区可以有多个接口。 ** DMZ, ** 1.两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。 2.服务器 内 外网都可以访问,但还是与内网隔离. 就算是黑客把DMZ服务器拿下,也不能使用服务
DMZ
weixin_34112208的博客
05-05 669
DMZ区 基本介绍   DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区内,在这个小网络区内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服...
华为模拟器eNSP防火墙综合实验
末初 · mochu7
05-19 3万+
实验配置目标: trust可以访问DMZ trust可以访问unstrust unstrust可以访问DMZ 首先把三个区的接口地址给配置上: Trust: R1: sys un in en sysname Trust_R1 int e0/0/0 ip address 192.168.1.7 24 dis this Unstrust: R2: sys un in en sysname Unstrust_R2 int e0/0/0 ip address 177.7.7.7 .
配置内网访问外网
2301_77500163的博客
11-03 3433
该区主要定义设备⾃⾝发起的流量,或者是抵。、抓包查看,地址发⽣了转换,转换为出接⼝地址。、新建服务器映射,实现外⽹访问内⽹服务器配置安全策略,允许安全区的互相访问。、抓包查看,地址转换成了地址池中的地址。、点击接⼝,在弹窗可以修改区类型,、允许接⼝所有服务类型,其中包括。,通常⽤于定义内⽹所在区。(⾮受信任区):安全级别。,通常⽤于定义互联⽹流量。(⾮军事化区):安全级别。,通常⽤于定义服务器。地址、所属区、服务类型。(受信任区):安全级别。(本地区):安全级别。
华为防火墙区配置
qq_45049184的博客
11-03 5019
防火墙区配置 1、trust内的R1的L0和L1接口能访问DMZ的web服务器 2、trust内的R1的L2和L3接口能访问DMZ的ftp服务器 3、位于untrust的全部环回口都能够访问dmz的web服务器和ftp服务器 4、rust区的环回口能访问untrust
网络安全之防火墙 server nat 基本配置实验
qq_57289939的博客
03-28 3075
目的地址 --- 写私网地址,私网地址为真正的服务器,公网只是个Ip(服务器所在的地址)配置路由黑洞,防止该虚拟设备被当做一个真实的设备使用。server nat 调用 server-map的。到接口地址(NAT策略可以,服务器映射不可以)公网地址 --- 服务器映射。私网地址,公网地址访问的对象。黑洞路由 --- 防止当作。,将公网流量放进来实行转换。目的地址 --- 可以转为。源地址变为地址池的地址。
华为防火墙基本配置
qq_57258570的博客
11-19 7980
、网络中的攻击类型 1.木马 :木马是一种伪装技术,把一段程序(夺权或开启后门)伪装到一个正常的文件或程序中。获取管理员权限,盗取账号等。 2.后门 :人为给系统留漏洞,便于下一次的入侵行为。 3.病毒 :为破坏系统或文件。 4.广播攻击 : 攻击网络通讯,使网络变慢或瘫痪。 5.拒绝服务攻击:针对指定的服务或服务器进行攻击,使其无法提供服务。 6.欺骗 :sql注入,html页面脚本,收集客户端的信息。 2、华为防火墙 1.型号:USG2000...
华为防火墙dmztrust互通配置
06-11
3. 配置NAT:在防火墙上配置NAT,将DMZ中的服务器地址映射为Trust中的地址。 ``` nat server global 202.112.34.56 inside 192.168.0.10 ``` 这里将DMZ中的192.168.0.10服务器映射为公网IP地址202.112.34.56。 ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值