项目5-任务2 防火墙源NAT的配置与调试

任务2防火墙NAT的配置与调试设计：吴彬——项目5防火墙技术的配置与调试“网络设备安装与调试”系列教学视频本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络设备安装与调试（eNSP）（AIGC版）》出版社：电子工业出版社主编：赵海伟，吴彬，蓝永健副主编：徐龙泉，王汉明出版日期：2026年4月ISBN：

978-7-121-51949-91任务描述PART任务描述1任务详细描述项目背景为了增强公司的网络安全，公司在其网络边界部署了防火墙作为公司内网到互联网的出口，并承担安全网关的功能。为了让公司内网用户都能安全访问互联网，公司申请了一个公网地址

/24，并需要在防火墙上配置网络地址转换（NAT）。配置需求配置要求包括：配置接口及安全区域，配置Trust区域可访问Untust区域，并需要在防火墙上配置NAT功能。实训意义通过本次任务，学员将掌握华为防火墙NAT的配置方法。任务描述1为防火墙FW的各个接口配置IP地址并划分到对应的安全区域（trust区域和untrust区域）中，配置安全策略，允许公司内网用户可以访问互联网，配置NAT策略使内网IP地址可以转换成公网IP地址。网络拓扑图任务描述1IP地址规划表设备名称接口IP地址网关FWGE1/0/154/24-------GE1/0/254/24-------GE1/0/354/24-------GE1/0/454/24-------PC1-------/2454PC2-------/2454PC3-------/2454Server1-------/24542任务分析PART任务分析2步骤提示1、为防火墙FW的各个端口配置IP地址；2、将端口划分到对应的安全区域（Trust区域和Untrust区域）中；3、配置安全策略，允许公司内网用户可以访问互联网；4、配置NAT策略使内网IP地址可以转换成公网IP地址；3知识准备PART知识准备-IPv4地址不够了！3为什么不够用了？每人不止一个设备

你可能有手机、电脑、平板，家里的摄像头、音箱、电视都要联网——在IPv4下，每个都需要独立地址（或挤在一个地址后面用“小隔间”NAT技术）。早期分配太“壕”

像MIT、斯坦福等机构早年分到上百万个地址，而一些小国甚至只拿到几千个。这种“按申请先到先得”的粗放分配，导致地址利用率不均。物联网爆发

未来的智能汽车、传感器、甚至垃圾桶都可能要IP地址——40亿怎么可能够？知识内容知识准备-私有地址的范围3由于IPv4地址的数量非常有限为了让每个设备都有IP地址可用，划分出了私有网络地址，私网地址可以被内部私有网络重复使用。私网地址的范围如下：A类私有IP地址：~55。B类私有IP地址：~55。

C类私有IP地址：~55。私有IP地址的出现解决了设备配置IP地址的问题，但同时规定私网地址不能直接访问互联网。知识内容知识准备3NAT的作用NAT技术允许将私有IP地址通过若干个（一个或多个）合法的公网IP地址映射到互联网。知识准备3提升安全性

通过NAT技术也可以对外隐藏内网的真实IP地址，外部的主机只能访问到防火墙的出口，从而防止内网被直接访问，这在一定程度上降低了内网被攻击的可能性，提高了内网的安全性。知识准备-NAT技术的好处31、NAT技术允许将私有IP地址通过若干个（一个或多个）合法的公网IP地址映射到互联网上，让私网地址也能向互联网传输数据，以缓解IPv4地址短缺的问题。2、通过NAT技术也可以对外隐藏内部网络的真实IP地址，外部的主机只能访问到防火墙的出口IP地址，从而防止内部网络被直接访问，这在一定程度上降低了内部网络被攻击的可能性。知识内容知识准备3防火墙的NAT类型防火墙常见的NAT类型有以下5种:（1）静态NAT：内网中的每个私有IP地址都固定地映射到一个公有IP地址.（2）动态NAT：与静态NAT类似，不让内网中的某个私有IP地址永久占用某个公网IP地址,而是从IP地址池中临时取用一个公网IP地址用于转换。（3）动态NAPT：区别于静态NAT是永久映射，而动态NAT则是临时映射。动态NAPT使用“一个内网私有IP地址+端口”映射“一个公网IP地址+端口”的形式。（4）EasyIP：是一种简化的NAPT，只使用配置在公网接口上的单个IP地址完成NAT转换。（5）静态

NAPT：用于允许外网用户访问内网服务器的特定服务场景中。知识准备-防火墙的NAT类型3内部网络中的每个私有IP地址都固定地映射到一个公有IP地址，该类型NAT适用于内部网络中有对外提供服务的服务器。如果内网中有n台服务器，则需要n个公网IP地址与之对应，并且每台服务器永久占用一个公网IP地址，需要占用较多的公网IP地址，公网IP地址资源利用率非常低。静态NAT知识准备-防火墙的NAT类型3与静态NAT类似，不让内网中的某个私有IP地址永久占用某个公网IP地址，而是定义一个IP地址池，向该IP地址池中放入若干个公网IP地址，当内网中的主机需要进入公网时，则从IP地址池中临时取用一个公网IP地址用于转换进入公网，在使用期内这个公网IP地址不能给其他主机使用，但是如果不再需要转换进入公网时，该公网IP地址则释放给其他主机使用。动态NAT知识准备-防火墙的NAT类型3动态NAPT使用“一个内部私有IP地址+端口”映射“一个公网IP地址+端口”的形式，因为一个公网IP地址有65535个端口（可以使用的端口的编号范围是1024~65

535），可以提供大量的端口为内部私有IP地址建立临时的映射关系，使用少量几个IP地址（建立公网IP地址池）就可以满足内部大量终端进入公网的需求，公网IP地址资源利用率非常高，应用场景广泛。动态NAPT知识准备-防火墙的NAT类型3EasyIP是一种简化的NAPT，使用EasyIP不需要建立公网IP地址池，而是只使用配置在设备公网出口的IP地址（单个IP地址）用于NAT转换，EasyIP可以广泛应用在家庭和中小型企业的互联网接入服务中，是公网IP地址利用率最高的一种NAT类型。EasyIP知识准备-防火墙的NAT类型3用于允许外网用户访问内网服务器的特定服务场景中。例如，外网用户需要访问内网服务器/24的HTTP服务，而公网IP地址是/24，此时可以通过静态NAPT在NAT设备中建立:80与:80的永久映射，当外网用户访问NAT设备中的80端口时，NAT设备通过该映射将数据传给内网中的80端口接收，这样外网用户就能访问到内网服务器的HTTP服务。静态NAPT任务分析2步骤提示（1）搭建网络拓扑.（2）配置防火墙的端口IP地址和安全区域。

①配置GE1/0/2端口的IP地址。

②配置GE1/0/0端口的IP地址。

③将GE1/0/2端口划分到Untrust区域中。

④将GE1/0/0端口划分到Trust区域中。知识准备-防火墙的NAT类型3内部网络中的每个私有IP地址都固定地映射到一个公有IP地址，该类型NAT适用于内部网络中有对外提供服务的服务器。如果内网中有n台服务器，则需要n个公网IP地址与之对应，并且每台服务器永久占用一个公网IP地址，需要占用较多的公网IP地址，公网IP地址资源利用率非常低。静态NAT知识准备-NAT的工作过程（一次网购之旅）3

你在一栋没有独立门牌的公寓楼里（这就是私有网络，比如你家或公司网络），但整栋楼只有一个对外的公共地址（这就是公网IP，比如）。楼里的每个住户（你的手机、电脑、智能电视）都有一个内部房间号（这就是私有IP，比如）。

问题来了：外部世界（互联网）只能看到整栋楼的公共地址，看不到内部的房间号。那么，当多个住户同时要上网时，怎么确保外部回来的信息能准确送到你手里，而不是送到你室友的手机上？公网IP（大楼地址）：你的电脑（内部住户）：NAT路由器（超级管家）：记得所有住户的外出记录。背景知识准备-NAT的工作过程（一次网购之旅）3你的电脑发起请求（出门）你想访问淘宝（:80）。你的电脑打包一个数据包：源地址：:5566（你的房间号+临时出门编号）目标地址：:80（淘宝地址+门牌）这个包裹先送到管家（NAT路由器）手里。管家一看：“哦，这小家伙想出门。”第一步知识准备-NAT的工作过程（一次网购之旅）3管家知道，这个内部地址不能暴露给外面。于是它做了一件事：收下这个包裹。重写寄件人信息，把它替换成大楼的公共地址，并分配一个独一无二的对外端口号（比如12345），用来代表你。在本子上记下一笔账（NAT转换表）：内部IP:端口

转换为的公网IP:端口

目标服务器:5566

1.1.1.2:12345

1.1.1.1:80管家把改写后的新包裹发往互联网：新源地址：1.1.1.2:12345（大楼地址+管家给你的专属代号）目标地址：1.1.1.1:80第二步知识准备-NAT的工作过程（一次网购之旅）3外部世界（淘宝）收到请求：淘宝服务器看到的包裹，完全不知道的存在。它只知道是来自1.1.1.2:12345这个地址的请求。它处理请求后，把商品页面打包，准备回信：源地址：1.1.1.1:80（淘宝）目标地址：1.1.1.2:12345（寄给管家的那个专属代号）第三步知识准备-NAT的工作过程（一次网购之旅）3管家精准派送（反向转换）包裹回到大楼（NAT路由器）。管家一看到目标端口是12345，立刻翻看自己的小本本（NAT表）：“12345号？哦，这对应的是内部:5566那个小家伙。”于是，管家把包裹上的目标地址，从1.1.1.2:12345，重写回:5566，然后准确地把包裹送到了你的电脑里。第四步4任务实施PART查看实训任务书查看微课视频请查看教材配套的实训任务书，里面有详细的步骤和提示。请查看教材配套的微课视频，里面有企业专家和授课教师的实际操作介绍。子任务1搭建网络拓扑任务实施-配置GE1/0/2接口的IP地址4[USG6000V1]system-view[USG6000V1]sysnameFW[FW]interfaceGigabitEthernet1/0/2[FW-GigabitEthernet1/0/2]ipaddress24[FW-GigabitEthernet1/0/2]quit操作示例任务实施-配置GE1/0/0接口的IP地址4[FW]interfaceGigabitEthernet1/0/0[FW-GigabitEthernet1/0/0]ipaddress5424[FW-GigabitEthernet1/0/0]quit操作示例任务实施-GE1/0/2划分到Untrust区域中4[FW]firewallzonetrust[FW-zone-trust]addinterfaceGigabitEthernet1/0/0[FW-zone-trust]quit操作示例任务实施-GE1/0/0划分到Trust区域中4[FW]firewallzoneuntrust[FW-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW-zone-untrust]quit操作示例查看实训任务书查看微课视频请查看教材配套的实训任务书，里面有详细的步骤和提示。请查看教材配套的微课视频，里面有企业专家和授课教师的实际操作介绍。子任务2任务实施--配置NAT策略4配置安全策略，允许内部网络（Trust区域）访问互联网（Untrust区域）[FW]security-policy[FW-policy-security]rulenamepolicyA

//配置安全策略的名称为policyA[FW-policysecurity-rulepolicyA]source-zonetrust //配置源区域为Trust区域[FW-policy-security-rulepolicyA]destination-zoneuntrust

//配置目的区域为Untrust区域[FW-policy-security-rulepolicyA]source-address24 //配置源地址为/24[FW-policy-security-rulepolicyA]destination-addressany //配置目标地址为任意[FW-policy-security-rule-policyA]actionpermit //配置允许符合安全策略内条件的数据通过[FW-policy-security-rule-policyA]quit[FW-policy-security]quit操作示例任务实施--配置NAT策略4使用EasyIP的方法，允许Trust区域中的/24网段能转换成出口地址访问Untrust区域[FW]nat-policy[FW-policy-nat]rulenamepolicy_nat //配置NAT策略的名称为policy_nat [FW-policy-nat-rule-policy_nat]source-address24 //配置源地址为/24[FW-policy-nat-rule-policy_nat]destination-addressany //配置目的地址为任意[FW-policy-nat-rule-policy_nat]source-zonetrust

//配置源安全区域为Trust区域[FW-policy-nat-rule-policy_nat]destination-zoneuntrust //配置目的安全区域为Untrust区域[FW-policy-nat-rule-policy_nat]egress-interfaceGigabitEthernet1/0/2

//配置NAT策略的出站接口[FW-policy-nat-rule-policy_nat]actionsource-nateasy-ip //使用EasyIP方法进行转换[FW-policy-nat-rule-policy_nat]quit操作示例任务实施--配置默认路由4配置默认路由，使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。[FW]iproute-static操作示例5任务测试PART任务测试5在PC1上使用ping命令测试其与模拟互联网的PC3（IP地址为）之间的连通性。操作示例PC>pingPing:32databytes,PressCtrl_CtobreakRequesttimeout!From:bytes=32seq=2ttl=127time=31msFrom:bytes=32seq=3ttl=127time=32msFrom:bytes=32seq=4ttl=127time=47msFrom:bytes=32seq=5ttl=127time=46ms任务测试5在FW上使用displayfirewallsessiontable命令查看NAT转换情况。操作示例[FW]displayfirewallsessiontableCurrentTotalSessions:5icmpVPN:public-->public:2022[:2048]-->:2048icmpVPN:public-->public:2534[:2049]-->:2048icmpVPN:public-->public:2790[:2050]-->:2048icmpVPN:public-->public:3046[:2051]-->:2048icmpVPN:public-->public:3302[:2052]-->:2048防火墙将源地址转换成了出口地址。6任务拓展PART任务拓展6随着公司的扩大，划分了不同的VLAN，因此采购了三层交换机用于实现VLAN间路由，还采购了服务器用于提升工作效率。小王需要重新配置三层交换机和防火墙，实现T