网络设备安装与调试（eNSP）（AIGC版） 课件 项目5 防火墙技术的配置与调试

任务1防火墙安全策略的配置与调试

——项目5防火墙技术的配置与调试“网络设备安装与调试”系列教学视频本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络设备安装与调试（eNSP）（AIGC版）》出版社：电子工业出版社主编：赵海伟，吴彬，蓝永健副主编：徐龙泉，王汉明出版日期：2026年4月ISBN：

978-7-121-51949-91任务描述PART任务描述：USG6000V上线1任务详细描述项目背景甲方公司新购入华为USG6000V防火墙，项目工程师小王负责首次配置与调试。防火墙作为内外网安全屏障，需划分Trust、DMZ、Untrust三大安全区域。配置需求配置要求包括：Trust区域计算机可相互访问并能与DMZ区域服务器互通，Untrust区域与其他区域完全隔离。实训意义通过本次实训，学员将掌握华为防火墙区域划分、接口配置、安全策略编写及连通性验证的完整流程，为复杂场景交付奠定基础。任务描述1网络拓扑图任务描述1IP地址规划表设备名称接口IP地址网关FWGE1/0/154/24-------GE1/0/254/24-------GE1/0/354/24-------GE1/0/454/24-------PC1-------/2454PC2-------/2454PC3-------/2454Server1-------/24542任务分析PART任务分析201任务目标完成端口IP配置并划分安全区域，编写安全策略实现Trust与DMZ双向通信，通过ping测试验证网络连通性。02验收标准提交配置文件截图、策略命中计数及测试结果，确保PC1可访问Server1与PC2，无法访问PC3，Untrust区域与其他区域零通信。3知识准备PART知识准备3防火墙的安全区域Local区域代表防火墙自身，用于设备管理与内部通信，是防火墙运行的基础区域。Trust区域用于定义内部网络，内部用户可在此区域自由通信，是企业核心业务网络所在。Untrust区域定义非内部网络或互联网，外部用户访问受限，确保企业网络边界安全。DMZ区域用于放置对外服务器，如Web服务器，允许外部访问特定服务，同时保护内部网络。只有当接口加入区域且配置放行策略后，跨区报文才被允许。区域一旦与接口绑定，就不能重复加入其他区域。确保拓扑清晰，理解各区域角色是后续策略设计的前提。知识准备-安全策略匹配流程3匹配流程报文进入防火墙后按顺序匹配安全策略列表，命中即执行permit或deny动作，无匹配则默认拒绝。比较常见的应用是Trust区域访问Untrust区域，这时需要一条由Trust区域访问Untrust区域的安全策略（包括源地址、目的地址等多个参数）。当Trust区域中的数据报文到达防火墙后会匹配安全策略，如果成功匹配安全策略，则Trust区域就可以访问Untrust区域；如果无法匹配安全策略，则Trust区域就不能访问Untrust区域。知识准备——将接口划分到相应区域中3匹配流程将防火墙FW的GE1/0/0接口划分到Untrust区域中，将防火墙FW的GE1/0/1接口划分到Trust区域中，将防火墙FW的GE1/0/2接口划分到DMZ区域中。在匹配对应规则的情况下，不同安全区域的数据报文就可以交换。如果不匹配规则，则数据报文将被丢弃。知识准备-配置防火墙安全策略3命令示例4任务实施PART查看实训任务书查看微课视频请查看教材配套的实训任务书，里面有详细的步骤和提示。请查看教材配套的微课视频，里面有企业专家和授课教师的实际操作介绍。子任务1防火墙初始化与端口IP地址配置任务实施4导入设备包

启动防火墙后，会弹出“导入设备包”对话框。

单击“浏览”按钮，会弹出如图所示的文件管理窗口，找到并选择解压缩后的华为USG6000V防火墙的设备软件包（文件名为vfw_usg），单击“打开”按钮导入该文件。导入成功后，右击防火墙图标，在弹出的快捷菜单中选择启动命令。任务实施--初始化防火墙管理密码4操作示例Username:adminPassword: //输入默认管理密码Admin@123ThepasswordneedstobechangeD．Changenow?[Y/N]:yPleaseenteroldpassword: //输入旧密码，第一次启动为默认管理密码Admin@123Pleaseenternewpassword: //输入新密码，该密码需包含大小写英文字母、数字、字符，如Admin@1234Pleaseconfirmnewpassword: //再次输入新密码，确认新密码<USG6000V1>任务实施-配置防火墙的管理接口4操作示例[USG6000V1]interfaceGigabitEthernet0/0/0[USG6000V1-GigabitEthernet0/0/0]service-manageenable //开启接口管理功能[USG6000V1-GigabitEthernet0/0/0]service-managehttppermit //允许HTTP访问[USG6000V1-GigabitEthernet0/0/0]service-managehttpspermit //允许HTTPS访问[USG6000V1-GigabitEthernet0/0/0]service-managepingpermit //允许接口被ping防火墙的GE0/0/0接口为管理接口，默认已经配置管理IP地址/24，因为是用于管理，所以通常不使用该接口连接终端设备，可以开启这个接口的Web管理和允许被ping。查看实训任务书查看微课视频请查看教材配套的实训任务书，里面有详细的步骤和提示。请查看教材配套的微课视频，里面有企业专家和授课教师的实际操作介绍。子任务2配置防火墙安全策略任务实施--配置防火墙的接口的IP地址4操作示例<USG6000V1>system-view[USG6000V1]sysnameFW[FW]interfaceGigabitEthernet1/0/1[FW-GigabitEthernet1/0/1]ipaddress5424[FW-GigabitEthernet1/0/1]quit[FW]interfaceGigabitEthernet1/0/2[FW-GigabitEthernet1/0/2]ipaddress5424[FW-GigabitEthernet1/0/2]quit[FW]interfaceGigabitEthernet1/0/3[FW-GigabitEthernet1/0/3]ipaddress5424[FW-GigabitEthernet1/0/3]quit[FW]interfaceGigabitEthernet1/0/4[FW-GigabitEthernet1/0/4]ipaddress5424[FW-GigabitEthernet1/0/4]quit任务实施-将防火墙的各个接口划分到对应的区域中4操作实例[FW]firewallzonetrust //进入Trust区域[FW-zone-trust]addinterfaceGigabitEthernet1/0/1 //向该区域中添加接口[FW-zone-trust]addinterfaceGigabitEthernet1/0/2 //向该区域中添加接口[FW-zone-trust]quit[FW]firewallzoneuntrust //进入Untrust区域[FW-zone-untrust]addinterfaceGigabitEthernet1/0/3 //向该区域中添加接口[FW-zone-untrust]quit[FW]firewallzonedmz //进入DMZ区域[FW-zone-dmz]addinterfaceGigabitEthernet1/0/4[FW-zone-dmz]quit将防火墙FW的GE1/0/1接口和GE1/0/2接口划分到Trust区域中，将防火墙的GE1/0/3接口划分到Untrust区域中，将防火墙的GE1/0/4接口划分到DMZ区域中。任务实施--配置安全策略4操作示例[FW]security-policy //进入安全策略编辑模式[FW-policy-security]rulenametr_to_dmz //配置安全策略的名称[FW-policy-security-rule-tr_to_dmz]source-zonetrust //配置源区域为Trust区域[FW-policy-security-rule-tr_to_dmz]destination-zonedmz //配置目的区域为DMZ区域[FW-policy-security-rule-tr_to_dmz]serviceany //配置安全策略包含所有服务[FW-policy-security-rule-tr_to_dmz]actionpermit //配置允许符合安全策略内条件的数据通过[FW-policy-security-rule-tr_to_dmz]quit[FW-policy-security]rulenamedmz_to_tr//配置DMZ区域到Trust区域的反向安全策略并允许符合条件的数据通过[FW-policy-security-rule-dmz_to_tr]source-zonedmz[FW-policy-security-rule-dmz_to_tr]destination-zonetrust[FW-policy-security-rule-dmz_to_tr]serviceany[FW-policy-security-rule-dmz_to_tr]actionpermit[FW-policy-security-rule-dmz_to_tr]quit[FW-policy-security]quit允许Trust区域访问DMZ区域，允许DMZ区域访问Trust区域。5任务测试PART任务测试--各PC的连通性测试5操作示例PC>pingFrom:bytes=32seq=1ttl=254time<1msFrom:bytes=32seq=2ttl=254time<1msFrom:bytes=32seq=3ttl=254time<1msPC>pingFrom:bytes=32seq=2ttl=127time=16msFrom:bytes=32seq=3ttl=127time<1ms----省略部分输出----PC>pingPing:32databytes,PressCtrl_CtobreakRequesttimeout!Requesttimeout!----省略部分输出----PC1与Server1、PC2之间是连通的，PC1与PC3之间是不连通的。任务测试--查看安全策略命中情况5操作示例[FW]displaysecurity-policyallTotal:3RULEIDRULENAMESTATEACTIONHITTED-------------------------------------------------------------------------------0defaultenabledeny281tr_to_dmzenablepermit52dmz_to_trenablepermit0防火墙使用（HITTED）tr_to_dmz策略允许通过（permit）五次，使用default策略拒绝通过（deny）28次6任务拓展PART任务拓展6网络拓扑为了方便后期企业内部人员对防火墙自行进行维护，小王需要开启防火墙的Web管理，并在Web界面中继续编辑安全策略，使Trust区域可以访问Untrust区域，但Untrust区域不能访问Trust区域。任务拓展6操作流程（1）配置本地计算机网卡的IP地址，可以使用虚拟网卡。将其中一个虚拟网卡的IP地址配置为/24，这样可以让其和防火墙FW的管理接口GE0/0/0的IP地址/24连通。（2）配置完本地网卡的IP地址后，打开网络拓扑（先打开网络拓扑会导致无法加载最新的网卡IP地址配置），向网络拓扑中添加云Cloud，双击Cloud。（3）在弹出的窗口的“绑定信息”下拉列表中选择刚配置了/24的那张网卡对应的选项，单击“增加”按钮。任务拓展6操作流程（3）在弹出的窗口的“绑定信息”下拉列表中选择刚配置了/24的那张网卡对应的选项，单击“增加”按钮。任务拓展6操作流程（4）在“绑定信息”下拉列表中选择“UDP”选项，如图所示，单击“增加”按钮。任务拓展6操作流程(5)在“端口映射设置”选区的“入端口编号”下拉列表中选择“1”选项，在“出端口编号”下拉列表中选择“2”选项，勾选“双向通道”复选框，单击“增加”按钮。任务拓展6操作流程Cloud配置好的参数界面如图任务拓展6操作流程（6）启动防火墙，配置好新的管理密码（默认账号为admin，密码为Admin@123，修改后的密码需记住，将在后面步骤中使用），在命令行界面中执行命令，进入GE0/0/0端口，配置该端口允许HTTP、HTTPS和ping等服务访问。（7）使用双绞线将Cloud的端口与防火墙FW的管理端口GE0/0/0相连（，在本地计算机浏览器的地址栏中输入:8443后按Enter键，便可打开华为USG6000V防火墙的Web登录界面。任务拓展6操作流程（8）在华为USG6000V防火墙的Web登录界面中输入账号（admin）和密码（重置后的密码），便可进入防火墙的Web管理界面进行管理。在Web管理界面中选择“策略”选项卡，在左侧列表中选择“安全策略”选项，如所示，在右侧区域中单击“新建安全策略”按钮。任务拓展6操作流程（9）在弹出的“新建安全策略”对话框中，设置新建安全策略的名称为tr_to_untr，设置源安全区域为trust，设置目的安全区域为untrust，设置其余各项均为any，如图所示。设置完成后，单击“确定”按钮，即可完成安全策略的新建。THANKS谢/谢/观/看任务2防火墙NAT的配置与调试设计：吴彬——项目5防火墙技术的配置与调试“网络设备安装与调试”系列教学视频本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络设备安装与调试（eNSP）（AIGC版）》出版社：电子工业出版社主编：赵海伟，吴彬，蓝永健副主编：徐龙泉，王汉明出版日期：2026年4月ISBN：

978-7-121-51949-91任务描述PART任务描述1任务详细描述项目背景为了增强公司的网络安全，公司在其网络边界部署了防火墙作为公司内网到互联网的出口，并承担安全网关的功能。为了让公司内网用户都能安全访问互联网，公司申请了一个公网地址

/24，并需要在防火墙上配置网络地址转换（NAT）。配置需求配置要求包括：配置接口及安全区域，配置Trust区域可访问Untust区域，并需要在防火墙上配置NAT功能。实训意义通过本次任务，学员将掌握华为防火墙NAT的配置方法。任务描述1为防火墙FW的各个接口配置IP地址并划分到对应的安全区域（trust区域和untrust区域）中，配置安全策略，允许公司内网用户可以访问互联网，配置NAT策略使内网IP地址可以转换成公网IP地址。网络拓扑图任务描述1IP地址规划表设备名称接口IP地址网关FWGE1/0/154/24-------GE1/0/254/24-------GE1/0/354/24-------GE1/0/454/24-------PC1-------/2454PC2-------/2454PC3-------/2454Server1-------/24542任务分析PART任务分析2步骤提示1、为防火墙FW的各个端口配置IP地址；2、将端口划分到对应的安全区域（Trust区域和Untrust区域）中；3、配置安全策略，允许公司内网用户可以访问互联网；4、配置NAT策略使内网IP地址可以转换成公网IP地址；3知识准备PART知识准备-IPv4地址不够了！3为什么不够用了？每人不止一个设备

你可能有手机、电脑、平板，家里的摄像头、音箱、电视都要联网——在IPv4下，每个都需要独立地址（或挤在一个地址后面用“小隔间”NAT技术）。早期分配太“壕”

像MIT、斯坦福等机构早年分到上百万个地址，而一些小国甚至只拿到几千个。这种“按申请先到先得”的粗放分配，导致地址利用率不均。物联网爆发

未来的智能汽车、传感器、甚至垃圾桶都可能要IP地址——40亿怎么可能够？知识内容知识准备-私有地址的范围3由于IPv4地址的数量非常有限为了让每个设备都有IP地址可用，划分出了私有网络地址，私网地址可以被内部私有网络重复使用。私网地址的范围如下：A类私有IP地址：~55。B类私有IP地址：~55。

C类私有IP地址：~55。私有IP地址的出现解决了设备配置IP地址的问题，但同时规定私网地址不能直接访问互联网。知识内容知识准备3NAT的作用NAT技术允许将私有IP地址通过若干个（一个或多个）合法的公网IP地址映射到互联网。知识准备3提升安全性

通过NAT技术也可以对外隐藏内网的真实IP地址，外部的主机只能访问到防火墙的出口，从而防止内网被直接访问，这在一定程度上降低了内网被攻击的可能性，提高了内网的安全性。知识准备-NAT技术的好处31、NAT技术允许将私有IP地址通过若干个（一个或多个）合法的公网IP地址映射到互联网上，让私网地址也能向互联网传输数据，以缓解IPv4地址短缺的问题。2、通过NAT技术也可以对外隐藏内部网络的真实IP地址，外部的主机只能访问到防火墙的出口IP地址，从而防止内部网络被直接访问，这在一定程度上降低了内部网络被攻击的可能性。知识内容知识准备3防火墙的NAT类型防火墙常见的NAT类型有以下5种:（1）静态NAT：内网中的每个私有IP地址都固定地映射到一个公有IP地址.（2）动态NAT：与静态NAT类似，不让内网中的某个私有IP地址永久占用某个公网IP地址,而是从IP地址池中临时取用一个公网IP地址用于转换。（3）动态NAPT：区别于静态NAT是永久映射，而动态NAT则是临时映射。动态NAPT使用“一个内网私有IP地址+端口”映射“一个公网IP地址+端口”的形式。（4）EasyIP：是一种简化的NAPT，只使用配置在公网接口上的单个IP地址完成NAT转换。（5）静态

NAPT：用于允许外网用户访问内网服务器的特定服务场景中。知识准备-防火墙的NAT类型3内部网络中的每个私有IP地址都固定地映射到一个公有IP地址，该类型NAT适用于内部网络中有对外提供服务的服务器。如果内网中有n台服务器，则需要n个公网IP地址与之对应，并且每台服务器永久占用一个公网IP地址，需要占用较多的公网IP地址，公网IP地址资源利用率非常低。静态NAT知识准备-防火墙的NAT类型3与静态NAT类似，不让内网中的某个私有IP地址永久占用某个公网IP地址，而是定义一个IP地址池，向该IP地址池中放入若干个公网IP地址，当内网中的主机需要进入公网时，则从IP地址池中临时取用一个公网IP地址用于转换进入公网，在使用期内这个公网IP地址不能给其他主机使用，但是如果不再需要转换进入公网时，该公网IP地址则释放给其他主机使用。动态NAT知识准备-防火墙的NAT类型3动态NAPT使用“一个内部私有IP地址+端口”映射“一个公网IP地址+端口”的形式，因为一个公网IP地址有65535个端口（可以使用的端口的编号范围是1024~65

535），可以提供大量的端口为内部私有IP地址建立临时的映射关系，使用少量几个IP地址（建立公网IP地址池）就可以满足内部大量终端进入公网的需求，公网IP地址资源利用率非常高，应用场景广泛。动态NAPT知识准备-防火墙的NAT类型3EasyIP是一种简化的NAPT，使用EasyIP不需要建立公网IP地址池，而是只使用配置在设备公网出口的IP地址（单个IP地址）用于NAT转换，EasyIP可以广泛应用在家庭和中小型企业的互联网接入服务中，是公网IP地址利用率最高的一种NAT类型。EasyIP知识准备-防火墙的NAT类型3用于允许外网用户访问内网服务器的特定服务场景中。例如，外网用户需要访问内网服务器/24的HTTP服务，而公网IP地址是/24，此时可以通过静态NAPT在NAT设备中建立:80与:80的永久映射，当外网用户访问NAT设备中的80端口时，NAT设备通过该映射将数据传给内网中的80端口接收，这样外网用户就能访问到内网服务器的HTTP服务。静态NAPT任务分析2步骤提示（1）搭建网络拓扑.（2）配置防火墙的端口IP地址和安全区域。

①配置GE1/0/2端口的IP地址。

②配置GE1/0/0端口的IP地址。

③将GE1/0/2端口划分到Untrust区域中。

④将GE1/0/0端口划分到Trust区域中。知识准备-防火墙的NAT类型3内部网络中的每个私有IP地址都固定地映射到一个公有IP地址，该类型NAT适用于内部网络中有对外提供服务的服务器。如果内网中有n台服务器，则需要n个公网IP地址与之对应，并且每台服务器永久占用一个公网IP地址，需要占用较多的公网IP地址，公网IP地址资源利用率非常低。静态NAT知识准备-NAT的工作过程（一次网购之旅）3

你在一栋没有独立门牌的公寓楼里（这就是私有网络，比如你家或公司网络），但整栋楼只有一个对外的公共地址（这就是公网IP，比如）。楼里的每个住户（你的手机、电脑、智能电视）都有一个内部房间号（这就是私有IP，比如）。

问题来了：外部世界（互联网）只能看到整栋楼的公共地址，看不到内部的房间号。那么，当多个住户同时要上网时，怎么确保外部回来的信息能准确送到你手里，而不是送到你室友的手机上？公网IP（大楼地址）：你的电脑（内部住户）：NAT路由器（超级管家）：记得所有住户的外出记录。背景知识准备-NAT的工作过程（一次网购之旅）3你的电脑发起请求（出门）你想访问淘宝（:80）。你的电脑打包一个数据包：源地址：:5566（你的房间号+临时出门编号）目标地址：:80（淘宝地址+门牌）这个包裹先送到管家（NAT路由器）手里。管家一看：“哦，这小家伙想出门。”第一步知识准备-NAT的工作过程（一次网购之旅）3管家知道，这个内部地址不能暴露给外面。于是它做了一件事：收下这个包裹。重写寄件人信息，把它替换成大楼的公共地址，并分配一个独一无二的对外端口号（比如12345），用来代表你。在本子上记下一笔账（NAT转换表）：内部IP:端口

转换为的公网IP:端口

目标服务器:5566

1.1.1.2:12345

1.1.1.1:80管家把改写后的新包裹发往互联网：新源地址：1.1.1.2:12345（大楼地址+管家给你的专属代号）目标地址：1.1.1.1:80第二步知识准备-NAT的工作过程（一次网购之旅）3外部世界（淘宝）收到请求：淘宝服务器看到的包裹，完全不知道的存在。它只知道是来自1.1.1.2:12345这个地址的请求。它处理请求后，把商品页面打包，准备回信：源地址：1.1.1.1:80（淘宝）目标地址：1.1.1.2:12345（寄给管家的那个专属代号）第三步知识准备-NAT的工作过程（一次网购之旅）3管家精准派送（反向转换）包裹回到大楼（NAT路由器）。管家一看到目标端口是12345，立刻翻看自己的小本本（NAT表）：“12345号？哦，这对应的是内部:5566那个小家伙。”于是，管家把包裹上的目标地址，从1.1.1.2:12345，重写回:5566，然后准确地把包裹送到了你的电脑里。第四步4任务实施PART查看实训任务书查看微课视频请查看教材配套的实训任务书，里面有详细的步骤和提示。请查看教材配套的微课视频，里面有企业专家和授课教师的实际操作介绍。子任务1搭建网络拓扑任务实施-配置GE1/0/2接口的IP地址4[USG6000V1]system-view[USG6000V1]sysnameFW[FW]interfaceGigabitEthernet1/0/2[FW-GigabitEthernet1/0/2]ipaddress24[FW-GigabitEthernet1/0/2]quit操作示例任务实施-配置GE1/0/0接口的IP地址4[FW]interfaceGigabitEthernet1/0/0[FW-GigabitEthernet1/0/0]ipaddress5424[FW-GigabitEthernet1/0/0]quit操作示例任务实施-GE1/0/2划分到Untrust区域中4[FW]firewallzonetrust[FW-zone-trust]addinterfaceGigabitEthernet1/0/0[FW-zone-trust]quit操作示例任务实施-GE1/0/0划分到Trust区域中4[FW]firewallzoneuntrust[FW-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW-zone-untrust]quit操作示例查看实训任务书查看微课视频请查看教材配套的实训任务书，里面有详细的步骤和提示。请查看教材配套的微课视频，里面有企业专家和授课教师的实际操作介绍。子任务2任务实施--配置NAT策略4配置安全策略，允许内部网络（Trust区域）访问互联网（Untrust区域）[FW]security-policy[FW-policy-security]rulenamepolicyA

//配置安全策略的名称为policyA[FW-policysecurity-rulepolicyA]source-zonetrust //配置源区域为Trust区域[FW-policy-security-rulepolicyA]destination-zoneuntrust

//配置目的区域为Untrust区域[FW-policy-security-rulepolicyA]source-address24 //配置源地址为/24[FW-policy-security-rulepolicyA]destination-addressany //配置目标地址为任意[FW-policy-security-rule-policyA]actionpermit //配置允许符合安全策略内条件的数据通过[FW-policy-security-rule-policyA]quit[FW-policy-security]quit操作示例任务实施--配置NAT策略4使用EasyIP的方法，允许Trust区域中的/24网段能转换成出口地址访问Untrust区域[FW]nat-policy[FW-policy-nat]rulenamepolicy_nat //配置NAT策略的名称为policy_nat [FW-policy-nat-rule-policy_nat]source-address24 //配置源地址为/24[FW-policy-nat-rule-policy_nat]destination-addressany //配置目的地址为任意[FW-policy-nat-rule-policy_nat]source-zonetrust

//配置源安全区域为Trust区域[FW-policy-nat-rule-policy_nat]destination-zoneuntrust //配置目的安全区域为Untrust区域[FW-policy-nat-rule-policy_nat]egress-interfaceGigabitEthernet1/0/2

//配置NAT策略的出站接口[FW-policy-nat-rule-policy_nat]actionsource-nateasy-ip //使用EasyIP方法进行转换[FW-policy-nat-rule-policy_nat]quit操作示例任务实施--配置默认路由4配置默认路由，使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。[FW]iproute-static操作示例5任务测试PART任务测试5在PC1上使用ping命令测试其与模拟互联网的PC3（IP地址为）之间的连通性。操作示例PC>pingPing:32databytes,PressCtrl_CtobreakRequesttimeout!From:bytes=32seq=2ttl=127time=31msFrom:bytes=32seq=3ttl=127time=32msFrom:bytes=32seq=4ttl=127time=47msFrom:bytes=32seq=5ttl=127time=46ms任务测试5在FW上使用displayfirewallsessiontable命令查看NAT转换情况。操作示例[FW]displayfirewallsessiontableCurrentTotalSessions:5icmpVPN:public-->public:2022[:2048]-->:2048icmpVPN:public-->public:2534[:2049]-->:2048icmpVPN:public-->public:2790[:2050]-->:2048icmpVPN:public-->public:3046[:2051]-->:2048icmpVPN:public-->public:3302[:2052]-->:2048防火墙将源地址转换成了出口地址。6任务拓展PART任务拓展6随着公司的扩大，划分了不同的VLAN，因此采购了三层交换机用于实现VLAN间路由，还采购了服务器用于提升工作效率。小王需要重新配置三层交换机和防火墙，实现Trust区域与DMZ区域的互访，Trust区域可以访问Untrust区域，DMZ区域可以访问Untrust区域，Trust区域和DMZ区域能通过NAT转换成防火墙的出口地址访问互联网。任务背景任务拓展6IP规划表设备名称接口/VLANIFIP地址网关FWGE1/0/054/24无GE1/0/2/24无GE1/0/354/24无SW1VLAN10IF54/24无VLAN20IF54/24无VLAN100IF/24无PC1VLAN10/2454PC2VLAN20/2454公司服务器NIC/2454/24PC3（模拟互联网）NIC/24无任务拓展6（1）根据表配置各设备的IP地址。SW1使用S5700，FW使用USG6000V。（2）配置SW1的三层交换，使VLAN10和VLAN20能相互访问，能通过SW1的GE0/0/3接口（VLAN100IF）访问防火墙。（3）配置防火墙的接口IP地址和安全区域，将防火墙的GE1/0/0接口划分到Trust区域中，将防火墙的GE1/0/2接口划分到Untrust区域中，将防火墙的GE1/0/3接口划分到DMZ区域中。（4）配置防火墙安全策略，允许Trust区域访问DMZ区域，允许DMZ区域访问Trust区域，允许Trust区域访问Untrust区域，允许DMZ区域访问Untrust区域。（5）配置NAT策略，使用EasyIP的方法，允许Trust区域中的/24网段和/24网段均能转换成出口地址（GE1/0/2中的IP地址）访问Untrust区域。（6）在FW上配置默认路由，使内网的数据可以正常转发至互联网。（7）在FW上配置静态路由，使从互联网返回的数据可以被正常转发至SW1。[FW]iproute-static[FW]iproute-static配置步骤THANKS谢/谢/观/看任务3防火墙NATServer的配置与调试设计：吴彬——项目5防火墙技术的配置与调试“网络设备安装与调试”系列教学视频本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络设备安装与调试（eNSP）（AIGC版）》出版社：电子工业出版社主编：赵海伟，吴彬，蓝永健副主编：徐龙泉，王汉明出版日期：2026年4月ISBN：

978-7-121-51949-91任务描述PART任务描述1任务背景为了实现公司内部网络中的Web服务器和FTP服务器能够安全地向外界提供服务，公司申请了两个IP地址，分别为0/24和1/24，0/24用于NATServer建立内外网的映射，1/24用于内网用户访问互联网。公司安排小王在防火墙FW上启用NATServer功能，该功能可以让互联网用户通过防火墙的出口公网IP地址访问内部服务器。2任务分析PART任务分析21、配置安全策略，使DMZ区域中的服务器和终端可以访问Untrust区域；2、Untrust区域能访问DMZ区域；3、配置NAT策略，使DMZ区域中的终端能通过转换访问Untrust区域中的PC1；4、配置NATServer，将“防火墙出口的公网IP地址+端口”与“内网服务器的IP地址+端口”建立映射；步骤提示3知识准备PART知识准备-NATServer的基本原理3NATServer属于静态NAPT，它将“内网服务器的IP地址+端口”和“公网IP地址（通常配置在防火墙的出口）+端口”建立永久映射，当公网用户访问“防火墙出口的公网IP地址+端口”时，防火墙会根据映射的信息将报文转发给“内网服务器的IP地址+端口”。NATServer实现了内网服务器通过防火墙对外提供服务的需求，同时保护了内网服务器的私网IP地址不向互联网用户直接暴露。知识内容知识准备-NATServer的配置示例3配置示例命令如下：[FW]natserverprotocoltcpglobal080inside080其中，0和80分别为防火墙出口的公网IP地址和端口号，0和80分别为内部私网的IP地址和端口号。当有互联网用户从外网访问防火墙公网（global）IP地址0的80端口时，会触发这条映射关系，防火墙会将这些数据包转发给内网（inside）IP地址为0的服务器的80端口接收。知识内容4任务实施PART查看实训任务书查看微课视频请查看教材配套的实训任务书，里面有详细的步骤和提示。请查看教材配套的微课视频，里面有企业专家和授课教师的实际操作介绍。子任务1搭建网络拓扑任务实施4IP规划表设备名称接口IP地址网关FWGE1/0/11/24无GE1/0/2/24无R1GE0/0/054/24无GE0/0/154/24无PC1NIC/2454/24PC2NIC/24/24Web服务器、FTP服务器NIC/24/24任务实施--配置R1的接口IP地址4[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress5424 //配置GE0/0/0接口的IP地址[R1-GigabitEthernet0/0/0]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/0]ipaddress5424 //配置GE0/0/1接口的IP地址[R1-GigabitEthernet0/0/0]quit配置示例任务实施--配置FW的接口IP地址4<FW>system-view[FW]interfaceGigabitEthernet1/0/1[FW-GigabitEthernet1/0/1]ipaddress124 //配置GE1/0/1接口的IP地址[FW-GigabitEthernet1/0/1]quit[FW]interfaceGigabitEthernet1/0/2[FW-GigabitEthernet1/0/2]ipaddress24 //配置GE1/0/2接口的IP地址[FW-GigabitEthernet1/0/2]quit配置示例任务实施--配置安全区域4①将FW的GE1/0/1接口划分到Untrust区域中。FW]firewallzoneuntrust[FW-zone-untrust]addinterfaceGigabitEthernet1/0/1[FW-zone-untrust]quit②将FW的GE1/0/2接口划分到DMZ区域中。[FW]firewallzonedmz[FW-zone-dmz]addinterfaceGigabitEthernet1/0/2[FW-zone-dmz]quit配置示例查看实训任务书查看微课视频请查看教材配套的实训任务书，里面有详细的步骤和提示。请查看教材配套的微课视频，里面有企业专家和授课教师的实际操作介绍。子任务2-配置NATServer策略任务实施--配置防火墙安全策略41）配置安全策略，允许互联网用户（Untrust区域）访问内网服务器（DMZ区域）[FW]security-policy[FW-policy-security]rulenameuntr_to_dmz //配置安全策略的名称[FW-policy-security-rule-untr_to_dmz]source-zoneuntrust //配置源安全区域[FW-policy-security-rule-untr_to_dmz]destination-zonetrust //配置目的安全区域[FW-policy-security-rule-untr_to_dmz]destination-address24 //配置目的地址范围[FW-policy-security-rule-untr_to_dmz]servicehttpftp //关联http和ftp服务[FW-policy-security-rule-untr_to_dmz]actionpermit//配置允许符合安全策略中条件的数据通过[FW-policy-security-rule-untr_to_dmz]quit操作示例任务实施--配置防火墙安全策略42）配置安全策略，允许内网用户（DMZ区域）访问互联网（Untrust区域）[FW-policy-security]rulenamedmz_to_untr //配置安全策略的名称[FW-policy-security-rule-dmz_to_untr]source-zonedmz//配置源安全区域[FW-policy-security-rule-dmz_to_untr]destination-zoneuntrust //配置目的安全区域[FW-policy-security-rule-dmz_to_untr]source-address24//配置源地址范围[FW-policy-security-rule-dmz_to_untr]destination-addressany //配置目的地址为任意地址[FW-policy-security-rule-dmz_to_untr]actionpermit //配置允许安全策略内条件的数据通过[FW-policy-security-rule-dmz_to_untr]quit[FW-policy-security]quit操作示例任务实施--配置NAT地址池4配置NAT地址池，由于用于内部NAT转换到外部的只有一个地址，因此配置的NAT地址池中的第一个地址和最后一个地址相同。[FW]nataddress-groupadd_pool[FW-address-group-add_pool]modepat[FW-address-group-add_pool]section11 //配置NAT地址池的范围[FW-address-group-add_pool]routeenable[FW-address-group-add_pool]quit操作示例任务实施--配置NAT策略4[FW]nat-policy[FW-policy-nat]rulenamepolicy_n