华为防火墙配置端口映射,并且局域网也用公网的IP和端口访问

小型企业,一般就在路由器和防火墙之间二选一,不太会同时上两个设备,在他们眼里,防火墙和路由器都一样,无非就是用来上网,这么认为其实也的确无可厚非,因为现在的产品,边界越来越模糊,小型网络里面,用户要求不高,貌似选哪个都差不多 。
但是事实上,还是有不同的,这不路由器毕竟没有防火墙的功能,服务器被恶意中继了,然后IP就被电信运营商封了 。
——苏州某企业,凡是http的网站,全部都上不去,其他一切正常,笔者的笔记本电脑直接插到光猫,也不行,很明显就是被电信运营商封禁了,代客户提出申请后,运营商暂时把客户的IP放到白名单里了 。
今天为客户上硬件防火墙:华为USG6305E,原来的Tp-link企业级路由器降级成为AC控制器,拓扑图如下:

华为防火墙配置端口映射,并且局域网也用公网的IP和端口访问

文章插图
配置内外网络接口,并且使内网计算机能连接互联网一、配置网络接口
1、先把防火墙电源线插上,打开电源 。这不是多此一举地凑字数,而是提醒你,防火墙启动比较慢,所以先让它上电比较重要,能节省时间;
2、给电脑的有线网卡设置一个IP地址:192.168.0.11,子网掩码:255.255.255.0,其他不必填写;电脑网线连接到防火墙的mgnt接口,即管理接口,这个接口默认的IP是192.168.0.1;
3、打开浏览器,输入https://192.168.0.1:8443,就能看到防火墙的登录界面了
华为防火墙配置端口映射,并且局域网也用公网的IP和端口访问

文章插图
默认的用户名和密码,就写在随机说明上,咱们就不在这里多说了 。
4、第一次登录,需要按照系统提示修改密码,注意要满足复杂性要求,最好有大小写英文字母、数字和特殊符号组成;
5、配置内网接口,笔者将GE0/0/1配置为内网卡,IP地址为:192.168.1.1/24
华为防火墙配置端口映射,并且局域网也用公网的IP和端口访问

文章插图
6、配置外网接口,注意,Wan0/0/0接口,是固定IP的城域网,IP地址就不贴出来了,配置方法参考上图,注意子网掩码的不同之处 。Wan0/0/1接口上的ADSL 。暂时还没安装到位,等电信安装后再配置
二、启用DHCP服务,配置DHCP地址池
IP地址范围,根据自己的需要配置; IP地址的租期,这里配置为2小时,因为有些是顾客的手机,不会停留太长时间,要让IP及时释放 。
华为防火墙配置端口映射,并且局域网也用公网的IP和端口访问

文章插图
三、配置静态路由
目的地址配置为0.0.0.0/0,即任意地址;出接口选择Wan0/0/0,下一跳地址为电信运营商提供的网关地址
华为防火墙配置端口映射,并且局域网也用公网的IP和端口访问

文章插图
四、配置NAT,使内网计算机能够访问互联网
华为防火墙配置端口映射,并且局域网也用公网的IP和端口访问

文章插图
配置服务器映射,即端口映射,使得外网能访问内网服务器【华为防火墙配置端口映射,并且局域网也用公网的IP和端口访问】名称:随意填写,但是最好有一定意义,以便于识别;公网地址:电信运营商提供的IP地址;私网地址:即内网的服务器;协议:根据需要选择,此处选择TCP,公网接口:在外网开放给用记的端口,为安全起见,最好不要和内网真正使用的端口相同;私网接口:内网服务器真正使用的服务端口
华为防火墙配置端口映射,并且局域网也用公网的IP和端口访问

文章插图
配置完成后,可以在外网,用telnet命令检测,映射是否生效:
telnet 电信运营商IP 公网端口号
如果有反应,就表示配置成功,如果连接失败,那么需要在内网执行命令
telnet 内网服务器IP 私网端口号
如果有反应,就表示端口服务正常工作中,那么前面在外网连接失败,要从防火墙上找原因;如果连接失败,那么需要检查服务器上的相关服务是否已启动 。
华为防火墙配置端口映射,并且局域网也用公网的IP和端口访问

文章插图
配置特殊的NAT,使内网计算机能通过公网的IP地址和端口来访问内网的服务器本以为工作可以暂时告一段落,但是客户说ERP系统无法登录,定向开发的ERP系统,看到不任何配置文件,打给客服,只是说开放一个端口即可,经检查,端口已经正常开放,讨论半天,才知道,ERP公司把公网IP写在程序里面了,需要把服务器DMZ到公网,瞬间被笔者否决了,理由就一个,不安全 。
程序员说改代码很麻烦的,让笔者想办法,好吧,以前也这么配置过,但是是防火墙品牌不同,参考意义不大,所以还得折腾一下:新建一个NAT


推荐阅读