华为防火墙 NAT 规则配置全攻略:原理+实战+多场景一网打尽
华为防火墙 NAT 规则配置全攻略:原理+实战+多场景一网打尽
- 摘要
- 一、华为防火墙 NAT:核心概念
- 1.1 什么是 NAT
- 1.2 NAT:两大核心类型(必掌握)
- 1.3 NAT:配置前提(必看)
- 二、华为防火墙 NAT:标准配置流程图
- 三、华为防火墙 NAT:基础配置(环境搭建)
- 四、华为防火墙 NAT:源 NAT 配置(内网用户上网)
- 4.1 场景说明
- 4.2 配置方式一:Easy-IP(最常用,推荐)
- 4.3 配置方式二:NAT 地址池(多公网 IP 场景)
- 五、华为防火墙 NAT:目的 NAT 配置(外网访问内网服务器)
- 5.1 场景说明
- 5.2 配置命令(NAT Server)
- 六、华为防火墙 NAT:关键验证命令
- 6.1 查看 NAT 策略配置
- 6.2 查看 NAT Server(端口映射)
- 6.3 查看实时 NAT 会话表(最有效)
- 6.4 查看 NAT 地址池
- 七、华为防火墙 NAT:常见故障排查
- 7.1 故障1:内网无法上网(源 NAT 故障)
- 7.2 故障2:外网无法访问内网服务器(目的 NAT 故障)
- 7.3 故障3:配置正确但偶尔断网
- 八、华为防火墙 NAT:注意事项
- 九、总结
- 关键点回顾
🌺The Begin🌺点点关注,收藏不迷路🌺 |
摘要
本文零基础、超详细、全场景讲解华为防火墙(USG6000/USG9500系列)NAT 规则配置,包含 NAT 原理、配置流程图、源 NAT(上网)、目的 NAT(端口转发)、NAT 高级配置、验证命令、故障排查,是企业网络上网与服务器发布必备核心技能。
一、华为防火墙 NAT:核心概念
1.1 什么是 NAT
NAT(Network Address Translation,网络地址转换):实现内网私有 IP ↔ 公网 IP相互转换,解决公网 IP 不足、隐藏内网拓扑的核心技术。
1.2 NAT:两大核心类型(必掌握)
| 类型 | 作用 | 别名 | 典型场景 |
|---|---|---|---|
| 源 NAT (SNAT) | 内网 → 外网(上网) | Easy-IP、NAPT | 员工电脑访问互联网 |
| 目的 NAT (DNAT) | 外网 → 内网(发布) | 端口映射、NAT Server | 外网访问内网网站/服务器 |
1.3 NAT:配置前提(必看)
- 防火墙接口已加入安全区域(内网:Trust,外网:Untrust)
- 接口已配置正确IP 地址(内网私网、外网公网)
- 防火墙已配置缺省路由指向运营商
- 已配置安全策略放行流量(华为防火墙默认拒绝所有)
二、华为防火墙 NAT:标准配置流程图
渲染错误:Mermaid 渲染失败: Parse error on line 5: ...T]D --> D1[配置源 NAT (内网上网)]D --> D2[配置目 ----------------------^ Expecting 'SQE', 'DOUBLECIRCLEEND', 'PE', '-)', 'STADIUMEND', 'SUBROUTINEEND', 'PIPE', 'CYLINDEREND', 'DIAMOND_STOP', 'TAGEND', 'TRAPEND', 'INVTRAPEND', 'UNICODE_TEXT', 'TEXT', 'TAGSTART', got 'PS'
三、华为防火墙 NAT:基础配置(环境搭建)
在配置 NAT 前,必须先配置接口、区域、路由、安全策略:
# 1. 进入系统视图<USG6000>system-view[USG6000]sysname FW-NAT# 2. 配置内网接口 (GE0/0/1: Trust 区域)[FW-NAT]interface GigabitEthernet0/0/1[FW-NAT-GigabitEthernet0/0/1]ipaddress192.168.10.1255.255.255.0[FW-NAT-GigabitEthernet0/0/1]service-manage http permit# 允许Web管理[FW-NAT-GigabitEthernet0/0/1]service-managepingpermit# 允许Ping[FW-NAT-GigabitEthernet0/0/1]quit[FW-NAT]firewall zone trust[FW-NAT-zone-trust]addinterface GigabitEthernet0/0/1# 加入Trust区域[FW-NAT-zone-trust]quit# 3. 配置外网接口 (GE0/0/2: Untrust 区域, 公网IP 113.20.xx.xx)[FW-NAT]interface GigabitEthernet0/0/2[FW-NAT-GigabitEthernet0/0/2]ipaddress113.20.xx.xx255.255.255.0[FW-NAT-GigabitEthernet0/0/2]quit[FW-NAT]firewall zone untrust[FW-NAT-zone-untrust]addinterface GigabitEthernet0/0/2# 加入Untrust区域[FW-NAT-zone-untrust]quit# 4. 配置默认路由 (指向上网网关)[FW-NAT]iproute-static0.0.0.00.0.0.0113.20.xx.1# 5. 配置安全策略 (允许内网访问外网, 允许外网访问服务器)[FW-NAT]security-policy[FW-NAT-policy-security]rule name policy-trust-untrust[FW-NAT-policy-security-rule-policy-trust-untrust]source-zone trust[FW-NAT-policy-security-rule-policy-trust-untrust]destination-zone untrust[FW-NAT-policy-security-rule-policy-trust-untrust]source-address192.168.10.0 mask255.255.255.0[FW-NAT-policy-security-rule-policy-trust-untrust]action permit[FW-NAT-policy-security-rule-policy-trust-untrust]quit[FW-NAT-policy-security]quit四、华为防火墙 NAT:源 NAT 配置(内网用户上网)
4.1 场景说明
- 内网:192.168.10.0/24
- 需求:内网所有用户通过防火墙公网 IP 上网
4.2 配置方式一:Easy-IP(最常用,推荐)
直接使用外网接口公网 IP进行转换,无需地址池:
# 配置 NAT 策略[FW-NAT]nat-policy[FW-NAT-policy-nat]rule name nat-trust-untrust# 创建NAT规则[FW-NAT-policy-nat-rule-nat-trust-untrust]source-zone trust# 源区域[FW-NAT-policy-nat-rule-nat-trust-untrust]destination-zone untrust# 目的区域[FW-NAT-policy-nat-rule-nat-trust-untrust]source-address192.168.10.0 mask255.255.255.0# 源网段[FW-NAT-policy-nat-rule-nat-trust-untrust]action nat easy-ip# 核心:Easy-IP转换[FW-NAT-policy-nat-rule-nat-trust-untrust]quit[FW-NAT-policy-nat]quit4.3 配置方式二:NAT 地址池(多公网 IP 场景)
# 1. 创建公网地址池 (113.20.xx.10 ~ 113.20.xx.20)[FW-NAT]nat address-group1# 创建地址池1[FW-NAT-nat-address-group-1]section113.20.xx.10113.20.xx.20[FW-NAT-nat-address-group-1]quit# 2. 配置 NAT 策略调用地址池[FW-NAT]nat-policy[FW-NAT-policy-nat]rule name nat-pool[FW-NAT-policy-nat-rule-nat-pool]source-zone trust[FW-NAT-policy-nat-rule-nat-pool]destination-zone untrust[FW-NAT-policy-nat-rule-nat-pool]source-address192.168.10.0 mask255.255.255.0[FW-NAT-policy-nat-rule-nat-pool]action nat address-group1# 调用地址池[FW-NAT-policy-nat-rule-nat-pool]quit[FW-NAT-policy-nat]quit五、华为防火墙 NAT:目的 NAT 配置(外网访问内网服务器)
5.1 场景说明
- 内网 Web 服务器:192.168.10.100:80
- 需求:外网访问防火墙公网 IP 113.20.xx.xx:80 → 转发到内网服务器
5.2 配置命令(NAT Server)
# 1. 配置 NAT Server (端口映射)[FW-NAT]firewall zone untrust# 在Untrust区域配置[FW-NAT-zone-untrust]nat server protocol tcp global113.20.xx.xx80inside192.168.10.10080# 核心命令[FW-NAT-zone-untrust]quit# 2. 配置安全策略放行外网流量 (必须配置!)[FW-NAT]security-policy[FW-NAT-policy-security]rule name policy-untrust-trust-server[FW-NAT-policy-security-rule-policy-untrust-trust-server]source-zone untrust# 源:外网[FW-NAT-policy-security-rule-policy-untrust-trust-server]destination-zone trust# 目的:内网[FW-NAT-policy-security-rule-policy-untrust-trust-server]destination-address192.168.10.100 mask255.255.255.255# 服务器IP[FW-NAT-policy-security-rule-policy-untrust-trust-server]servicehttp# 服务:80端口[FW-NAT-policy-security-rule-policy-untrust-trust-server]action permit# 允许[FW-NAT-policy-security-rule-policy-untrust-trust-server]quit[FW-NAT-policy-security]quit六、华为防火墙 NAT:关键验证命令
6.1 查看 NAT 策略配置
<FW-NAT>display nat-policy✅ 预期结果:显示源 NAT 规则、状态、源/目的区域
6.2 查看 NAT Server(端口映射)
<FW-NAT>display nat server✅ 预期结果:显示公网 IP、端口、内网 IP、端口
6.3 查看实时 NAT 会话表(最有效)
<FW-NAT>display firewall session table✅ 预期结果:显示内网 IP 转换为公网 IP 的会话记录
6.4 查看 NAT 地址池
<FW-NAT>display nat address-group七、华为防火墙 NAT:常见故障排查
7.1 故障1:内网无法上网(源 NAT 故障)
- 未配置安全策略:Trust → Untrust 默认拒绝
- NAT 策略配置错误:源/目的区域、网段写错
- 缺省路由缺失:防火墙无法将流量送出外网
- 接口区域划分错误:外网口未加入 Untrust
7.2 故障2:外网无法访问内网服务器(目的 NAT 故障)
- 未配置安全策略:Untrust → Trust 未放行
- NAT Server 命令错误:公网/内网端口颠倒
- 服务器网关错误:服务器网关未指向防火墙
- 服务器防火墙拦截:关闭服务器本机防火墙
7.3 故障3:配置正确但偶尔断网
- 公网 IP 冲突
- NAT 会话表满
- 运营商链路不稳定
八、华为防火墙 NAT:注意事项
- 安全策略优先于 NAT:必须先放行流量,NAT 才能生效
- Easy-IP 优先:单公网 IP 场景,直接用 Easy-IP,最简单稳定
- 区域划分:内网 Trust,外网 Untrust,千万不能搞反
- 目的 NAT:必须在Untrust 区域下配置
nat server - 配置完必保存:
save
九、总结
本文完整讲解华为防火墙 NAT 配置全流程,核心掌握两点:
- 源 NAT(Easy-IP):解决内网上网问题
- 目的 NAT(NAT Server):解决外网访问内网服务器问题
NAT 是防火墙最核心功能,配合安全策略,实现企业网络安全上网与服务发布。
关键点回顾
- 两大类型:源 NAT(上网)、目的 NAT(发布)
- 上网首选:
action nat easy-ip - 发布首选:
nat server global ... inside ... - 重中之重:必须配置安全策略放行流量
- 验证核心:
display firewall session table
🌺The End🌺点点关注,收藏不迷路🌺 |