网络设备安装与调试（eNSP）（AIGC版）课后习题答案-项目5

练习题1．选择题（1）（B）答案解析：NATServer用于将公网IP映射为私网IP，允许外部用户访问内部服务器。A选项源NAT是用于内网访问外网。（2）（A）答案解析：在配置防火墙NAT之前，首先必须明确接口所在的区域（如Trust/Untrust）以及区域间的安全策略，这是防火墙工作的基础。（3）（C）答案解析：NATServer配置中，公网IP地址（GlobalIP）是外部用户访问时使用的地址，它会被转换为内网服务器的私有IP。（4）（C）答案解析：华为防火墙通常默认包含4个安全区域：Local（本端）、Trust（信任/内网）、Untrust（非信任/外网）、DMZ（非军事化区/服务器区）。（5）（C）答案解析：DMZ区域专门用于放置对外提供服务的服务器（如Web、FTP），既允许外网有限访问，又与内网隔离，安全性较高。2．实训题小王需要配置公司的防火墙FW，使PC1和PC2可以通过防火墙的NAT访问互联网中的

PC3，PC3

可以通过防火墙的NATServer访问内网服务器提供的FTP服务和HTTP服务。网络拓扑图如图5-23所示。图5-23实训题的网络拓扑图关键步骤提示如下：（1）配置FW的端口IP地址，将端口划分到FW的安全区域中。<USG6000V>system-view<USG6000V>system-view[USG6000V]sysnameFW//1.配置内网接口(Trust)[FW]interfaceGigabitEthernet1/0/0[FW-GigabitEthernet1/0/0]ipaddress5424[FW-GigabitEthernet1/0/0]quit//2.配置服务器接口(DMZ)[FW]interfaceGigabitEthernet1/0/1[FW-GigabitEthernet1/0/1]ipaddress5424[FW-GigabitEthernet1/0/1]quit//3.配置外网接口(Untrust)-修正点：GE1/0/2连接互联网[FW]interfaceGigabitEthernet1/0/2[FW-GigabitEthernet1/0/2]ipaddress5424[FW-GigabitEthernet1/0/2]quit//4.将接口加入对应的安全区域//内网口加入Trust[FW]firewallzonetrust[FW-zone-trust]addinterfaceGigabitEthernet1/0/0[FW-zone-trust]quit//服务器口加入DMZ(修正点)[FW]firewallzonedmz[FW-zone-dmz]addinterfaceGigabitEthernet1/0/1[FW-zone-dmz]quit//外网口加入Untrust[FW]firewallzoneuntrust[FW-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW-zone-untrust]quit（2）配置防火墙NAT，使内网中的PC1和PC2可以通过IP地址/24访问互联网中的PC3。//1.配置源NAT策略(Easy-IP模式或地址池模式)//题目要求使用特定IP，因此配置地址池[FW]nataddress-group1[FW-address-group-1]section//定义NAT转换后的公网IP[FW-address-group-1]modepat//启用端口转换[FW-address-group-1]routeenable[FW-address-group-1]quit//1.创建NAT地址组(定义转换后的公网IP)[FW]nataddress-groupOUTBOUND_POOL[FW-address-group-OUTBOUND_POOL]section0[FW-address-group-OUTBOUND_POOL]modepat//开启端口复用[FW-address-group-OUTBOUND_POOL]quit//2.配置NAT策略[FW]nat-policy//进入NAT策略视图[FW-policy-nat]rulenameNAT-OUT//创建规则并命名[FW-policy-nat-rule-NAT-OUT]source-zonetrust//匹配源区域：内网[FW-policy-nat-rule-NAT-OUT]destination-zoneuntrust//匹配目的区域：外网[FW-policy-nat-rule-NAT-OUT]source-address24//匹配源网段[FW-policy-nat-rule-NAT-OUT]actionsource-nataddress-groupOUTBOUND_POOL//执行源NAT，使用地址组[FW-policy-nat-rule-NAT-OUT]quit[FW-policy-nat]quit//3.配置安全策略(防火墙必须放行流量)[FW]security-policy[FW-policy-security]rulenameTRUST_TO_UNTRUST[FW-policy-security-rule-TRUST_TO_UNTRUST]source-zonetrust[FW-policy-security-rule-TRUST_TO_UNTRUST]destination-zoneuntrust[FW-policy-security-rule-TRUST_TO_UNTRUST]source-address24[FW-policy-security-rule-TRUST_TO_UNTRUST]actionpermit[FW-policy-security-rule-TRUST_TO_UNTRUST]quit[FW-policy-security]quit[FW-policy-security]quit（3）配置防火墙NATServer，使PC3可以通过IP地址/24访问内网服务器提供的FTP服务和HTTP服务。//1.配置NATServer(端口映射)//将公网的21端口映射到内网服务器的21端口[FW]natserverFTP_MAPprotocoltcpglobal21inside21//将公网的80端口映射到内网服务器的80端口[FW]natserverWEB_MAPprotocoltcpglobal80inside80//2.配置安全策略(放行Untrust->DMZ)[FW]security-policy[FW-policy-security]rulenameUntrust_TO_DMZ[FW-policy-security-rule-Untrust_TO_DMZ]source-zoneuntrust[FW-policy-security-rule-Untrust_TO_DMZ]destination-zonedmz[FW-policy-security-rule-Untrust_TO_DMZ]destination-address32//目标为新的服务器IP[FW-policy-security-rule-Untrust_TO_DMZ]serviceftp[FW-po