项目5-任务3 防火墙NAT Server的配置与调试

任务3防火墙NATServer的配置与调试设计：吴彬——项目5防火墙技术的配置与调试“网络设备安装与调试”系列教学视频本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络设备安装与调试（eNSP）（AIGC版）》出版社：电子工业出版社主编：赵海伟，吴彬，蓝永健副主编：徐龙泉，王汉明出版日期：2026年4月ISBN：

978-7-121-51949-91任务描述PART任务描述1任务背景为了实现公司内部网络中的Web服务器和FTP服务器能够安全地向外界提供服务，公司申请了两个IP地址，分别为0/24和1/24，0/24用于NATServer建立内外网的映射，1/24用于内网用户访问互联网。公司安排小王在防火墙FW上启用NATServer功能，该功能可以让互联网用户通过防火墙的出口公网IP地址访问内部服务器。2任务分析PART任务分析21、配置安全策略，使DMZ区域中的服务器和终端可以访问Untrust区域；2、Untrust区域能访问DMZ区域；3、配置NAT策略，使DMZ区域中的终端能通过转换访问Untrust区域中的PC1；4、配置NATServer，将“防火墙出口的公网IP地址+端口”与“内网服务器的IP地址+端口”建立映射；步骤提示3知识准备PART知识准备-NATServer的基本原理3NATServer属于静态NAPT，它将“内网服务器的IP地址+端口”和“公网IP地址（通常配置在防火墙的出口）+端口”建立永久映射，当公网用户访问“防火墙出口的公网IP地址+端口”时，防火墙会根据映射的信息将报文转发给“内网服务器的IP地址+端口”。NATServer实现了内网服务器通过防火墙对外提供服务的需求，同时保护了内网服务器的私网IP地址不向互联网用户直接暴露。知识内容知识准备-NATServer的配置示例3配置示例命令如下：[FW]natserverprotocoltcpglobal080inside080其中，0和80分别为防火墙出口的公网IP地址和端口号，0和80分别为内部私网的IP地址和端口号。当有互联网用户从外网访问防火墙公网（global）IP地址0的80端口时，会触发这条映射关系，防火墙会将这些数据包转发给内网（inside）IP地址为0的服务器的80端口接收。知识内容4任务实施PART查看实训任务书查看微课视频请查看教材配套的实训任务书，里面有详细的步骤和提示。请查看教材配套的微课视频，里面有企业专家和授课教师的实际操作介绍。子任务1搭建网络拓扑任务实施4IP规划表设备名称接口IP地址网关FWGE1/0/11/24无GE1/0/2/24无R1GE0/0/054/24无GE0/0/154/24无PC1NIC/2454/24PC2NIC/24/24Web服务器、FTP服务器NIC/24/24任务实施--配置R1的接口IP地址4[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress5424 //配置GE0/0/0接口的IP地址[R1-GigabitEthernet0/0/0]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/0]ipaddress5424 //配置GE0/0/1接口的IP地址[R1-GigabitEthernet0/0/0]quit配置示例任务实施--配置FW的接口IP地址4<FW>system-view[FW]interfaceGigabitEthernet1/0/1[FW-GigabitEthernet1/0/1]ipaddress124 //配置GE1/0/1接口的IP地址[FW-GigabitEthernet1/0/1]quit[FW]interfaceGigabitEthernet1/0/2[FW-GigabitEthernet1/0/2]ipaddress24 //配置GE1/0/2接口的IP地址[FW-GigabitEthernet1/0/2]quit配置示例任务实施--配置安全区域4①将FW的GE1/0/1接口划分到Untrust区域中。FW]firewallzoneuntrust[FW-zone-untrust]addinterfaceGigabitEthernet1/0/1[FW-zone-untrust]quit②将FW的GE1/0/2接口划分到DMZ区域中。[FW]firewallzonedmz[FW-zone-dmz]addinterfaceGigabitEthernet1/0/2[FW-zone-dmz]quit配置示例查看实训任务书查看微课视频请查看教材配套的实训任务书，里面有详细的步骤和提示。请查看教材配套的微课视频，里面有企业专家和授课教师的实际操作介绍。子任务2-配置NATServer策略任务实施--配置防火墙安全策略41）配置安全策略，允许互联网用户（Untrust区域）访问内网服务器（DMZ区域）[FW]security-policy[FW-policy-security]rulenameuntr_to_dmz //配置安全策略的名称[FW-policy-security-rule-untr_to_dmz]source-zoneuntrust //配置源安全区域[FW-policy-security-rule-untr_to_dmz]destination-zonetrust //配置目的安全区域[FW-policy-security-rule-untr_to_dmz]destination-address24 //配置目的地址范围[FW-policy-security-rule-untr_to_dmz]servicehttpftp //关联http和ftp服务[FW-policy-security-rule-untr_to_dmz]actionpermit//配置允许符合安全策略中条件的数据通过[FW-policy-security-rule-untr_to_dmz]quit操作示例任务实施--配置防火墙安全策略42）配置安全策略，允许内网用户（DMZ区域）访问互联网（Untrust区域）[FW-policy-security]rulenamedmz_to_untr //配置安全策略的名称[FW-policy-security-rule-dmz_to_untr]source-zonedmz//配置源安全区域[FW-policy-security-rule-dmz_to_untr]destination-zoneuntrust //配置目的安全区域[FW-policy-security-rule-dmz_to_untr]source-address24//配置源地址范围[FW-policy-security-rule-dmz_to_untr]destination-addressany //配置目的地址为任意地址[FW-policy-security-rule-dmz_to_untr]actionpermit //配置允许安全策略内条件的数据通过[FW-policy-security-rule-dmz_to_untr]quit[FW-policy-security]quit操作示例任务实施--配置NAT地址池4配置NAT地址池，由于用于内部NAT转换到外部的只有一个地址，因此配置的NAT地址池中的第一个地址和最后一个地址相同。[FW]nataddress-groupadd_pool[FW-address-group-add_pool]modepat[FW-address-group-add_pool]section11 //配置NAT地址池的范围[FW-address-group-add_pool]routeenable[FW-address-group-add_pool]quit操作示例任务实施--配置NAT策略4[FW]nat-policy[FW-policy-nat]rulenamepolicy_nat [FW-policy-nat-rule-policy_nat]source-zonedmz[FW-policy-nat-rule-policy_nat]destination-zoneuntrust [FW-policy-nat-rule-policy_nat]source-addressany //允许内网任意地址转换[FW-policy-nat-rule-policy_nat]actionsource-nataddress-groupadd_pool //引用配置的NAT地址池[FW-policy-nat-rule-policy_nat]quit[FW-policy-nat]quit操作示例任务实施--配置NATServer功能4创建两条静态NAPT映射，从另一个公网IP地址0（1已用于NAPT）的TCP80端口和TCP21端口分别映射到内网的Web服务器（TCP80）和FTP服务器（TCP21）。具体映射哪些端口可以使用服务名称，如ftp、www等，也可以使用具体的端口号，如21、80。[FW]natserverpolicy_webprotocoltcpglobal080inside80[FW]natserverpolicy_ftpprotocoltcpglobal0ftpinsideftp操作示例任务实施--配置默认路由4配置默认路由，使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。[FW]iproute-static54操作示例5任务测试PART任务测试5（1）在PC2上ping互联网中PC1的IP地址。在PC2上ping互联网中PC1的IP地址。在能ping通的同时立即在FW上使用displayfirewallsessiontable命令查看NAT转换情况。[FW]displayfirewallsessiontableCurrentTotalSessions:6icmpVPN:public-->public:20205[1:2053]-->:2048icmpVPN:public-->public:19693[1:2051]-->:2048icmpVPN:public-->public:19437[1:2050]-->:2048icmpVPN:public-->public:20461[1:2054]-->:2048icmpVPN:public-->public:19949[1:2052]-->:2048由上述结果可知，防火墙将源地址转换成了NAT地址池中的1。操作示例任务测试--启动FTP服务5操作示例任务测试--启动Web服务器5操作示例任务测试--测试能否成功访问FTP服务器5在PC1中配置使用“客户端”的FtpClient访问防火墙的出口地址0操作示例6任务拓展PART任务拓展6随着公司的扩大，划分了不同的VLAN，因此采购了三层交换机用于实现VLAN间路由，还采购了服务器用于提升工作效率。小王需要重新配置三层交换机和防火墙，实现内网能正常访问互联网的同时，公司内的Web服务器和FTP服务器也能被外网的用户访问。任务背景任务拓展6（1）根据表5-6配置各设备的IP地址。SW1使用S5700，FW使用USG6000V。（2）配置SW1的三层交换，使VLAN10和VLAN