在日常工作中，有時(shí)候需要把公司內(nèi)部的某些服務(wù)向外提供服務(wù)，例如FTP服務(wù)、WEB服務(wù)等等，像這種需求，應(yīng)該怎樣解決呢？下面通過一個(gè)簡(jiǎn)單的案例來講解

拓?fù)鋱D

企業(yè)內(nèi)網(wǎng)用戶和FTP服務(wù)器均在同一網(wǎng)段192.168.10.0/24，并且均在Trust安全區(qū)域。企業(yè)采用上行接入Internet(固定IP方式)，IP地址向ISP申請(qǐng)獲得。內(nèi)網(wǎng)用戶和外網(wǎng)用戶均通過公網(wǎng)地址202.102.20.1和端口為2121訪問FTP服務(wù)器。

步驟1：配置接口

[USG6000V1]interface GigabitEthernet 1/0/0

[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.10.254 24

[USG6000V1]interface GigabitEthernet 1/0/1

[USG6000V1-GigabitEthernet1/0/1]ip address 202.102.20.1 24

步驟2：把接口加入到對(duì)應(yīng)的安全區(qū)域

[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0

[USG6000V1]firewall zone trust

[USG6000V1]firewall zone untrust 

[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/1

步驟3：配置安全策略

華為防火墻配置安全策略，建議使用web界面配置，這樣相對(duì)簡(jiǎn)單理解。

步驟4：新建NAT地址池

步驟5：新建源NAT

步驟6：配置服務(wù)器映射關(guān)系

完成以上操作即可在外網(wǎng)通過202.102.20.3和端口2121訪問內(nèi)網(wǎng)的FTP服務(wù)器。下面一起來驗(yàn)證一下啦

在防火墻上通過會(huì)話表也可以驗(yàn)證。

通過本次案例主要的目的是介紹華為USG防火墻的配置NAT方法，在工作中，建議在配置安全策略是最好使用web配置，由于WEB界面友好提示，方便明了。