华为 USG 防火墙配置实例 USG5500 系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电 信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网 络边界。USG5500 系列产品部署于网络出口处，有效阻止 Internet 上的黑客入侵、DDoS 攻 击，阻止内网用户访问非法网站，限制带宽，为内部网络提供一个安全可靠的网络环境。 华为 USG 防火墙配置内容： （1） 内部网络通过防火墙访问外部网络(NAT) （2） 外部网络能够访问内部服务器的映射网站 主要配置命令如下： Step 1: 设置内、外网接口 IP interface GigabitEthernet0/0/1 ip address 192.168.10.1 255.255.255.0 interface GigabitEthernet0/0/8 ip address 211.95.1.200 255.255.255.0 Step 2: 指定内网信任区和外网非信任区 firewall zone trust detect ftp (启用 FTP 应用层转换) add interface GigabitEthernet0/0/1 firewall zone untrust add interface GigabitEthernet0/0/8 

step 3 : 开启内网 FTP 服务映射到外网，开通区域间的通信许可 firewall interzone trust untrust detect ftp （开启内网到外网的 FTP 服务映射） firewall packet-filter default permit all step 4:定义 NAT 地址池、配置 NAT Server 发布内网站点服务 nat address-group 1 211.95.1.200 211.95.1.200 nat server zone untrust protocol tcp global 211.95.1.200 www inside 192.168.10.254 www nat server zone untrust protocol tcp global 211.95.1.200 ftp inside 192.168.10.254 ftp nat server zone trust protocol tcp global 211.95.1.200 www inside 192.168.10.254 www nat server zone trust protocol tcp global 211.95.1.200 ftp inside 192.168.10.254 ftp Step 5 :配置 nat 转换，使得内网可以访问外网 nat-policy interzone trust untrust outbound policy 1 action source-nat policy source 192.168.10.0 0.0.0.255 address-group 1 Step 6: 配置源地址转换，强制要求内网用户须通过映射地址访问内部服务器 nat-policy zone trust policy 1 action source-nat policy source 192.168.10.0 0.0.0.255 policy destination 211.95.1.254 0 address-group 1