当前位置：首页 > article >正文

从零到一：基于eNSP的防火墙策略与NAT配置实战

article 2026/3/18 13:35:23

1. 环境准备与拓扑搭建第一次接触防火墙配置时我对着USG6000V的黑色命令行界面手足无措。后来发现用eNSP模拟器搭建实验环境就像玩积木关键在于先把地基打牢。建议先准备这些建筑材料eNSP 1.3带USG6000V镜像的版本USG6000V防火墙镜像文件3台云主机模拟内网PC、DMZ服务器和ISP网关搭建拓扑时有个容易踩的坑很多教程直接教配置命令却不说清楚接口对应关系。我的经验是先用白纸画出三区两线的结构[内网区]--(GE0/0/1)--[USG6000V]--(GE0/0/2)--[DMZ区] | (GE0/0/0) | [ISP网关]实际配置时我习惯先给所有接口贴标签。比如在eNSP里右键防火墙接口把GE0/0/1改名为Trust-LANGE0/0/2改成DMZGE0/0/0标为Untrust-ISP。这个小技巧能避免后续策略绑错接口。2. 接口配置与区域划分2.1 物理接口IP分配给防火墙接口配IP就像给房子装门牌号得先确定哪个区域用什么网段。我常用这套方案# 内网接口配置连接员工区 USG6000V system-view [USG6000V] interface GigabitEthernet 0/0/1 [USG6000V-GigabitEthernet0/0/1] ip address 192.168.10.1 24 [USG6000V-GigabitEthernet0/0/1] service-manage all permit # 临时放通管理权限 # DMZ接口配置服务器区 [USG6000V] interface GigabitEthernet 0/0/2 [USG6000V-GigabitEthernet0/0/2] ip address 172.16.20.1 24 # 外网接口配置ISP上行 [USG6000V] interface GigabitEthernet 0/0/0 [USG6000V-GigabitEthernet0/0/0] ip address 203.179.1.2 24注意实际公网IP要替换成ISP提供的地址这里用示例地址演示2.2 安全区域绑定防火墙的聪明之处在于知道谁是谁。把接口加入安全区域就像给不同房间贴标签[USG6000V] firewall zone trust # 创建信任区域内网 [USG6000V-zone-trust] add interface GigabitEthernet 0/0/1 [USG6000V] firewall zone dmz # 创建DMZ区域 [USG6000V-zone-dmz] add interface GigabitEthernet 0/0/2 [USG6000V] firewall zone untrust # 创建非信任区域外网 [USG6000V-zone-untrust] add interface GigabitEthernet 0/0/0测试时可以用display firewall zone查看绑定效果我曾因为漏绑接口导致整个DMZ区无法访问。3. 安全策略配置实战3.1 基础访问控制策略配置策略就像制定大楼门禁规则建议按从内到外的顺序设置。这里有个我总结的万能模板# 允许内网访问外网员工上网 [USG6000V] security-policy [USG6000V-policy-security] rule name Trust_to_Untrust [USG6000V-policy-security-rule-Trust_to_Untrust] source-zone trust [USG6000V-policy-security-rule-Trust_to_Untrust] destination-zone untrust [USG6000V-policy-security-rule-Trust_to_Untrust] action permit # 允许外网访问DMZ的Web服务 [USG6000V-policy-security] rule name Untrust_to_DMZ_Web [USG6000V-policy-security-rule-Untrust_to_DMZ_Web] source-zone untrust [USG6000V-policy-security-rule-Untrust_to_DMZ_Web] destination-zone dmz [USG6000V-policy-security-rule-Untrust_to_DMZ_Web] destination-address 172.16.20.10 32 # 假设Web服务器IP [USG6000V-policy-security-rule-Untrust_to_DMZ_Web] service http https [USG6000V-policy-security-rule-Untrust_to_DMZ_Web] action permit踩坑提醒策略生效需要commit但eNSP里的USG6000V默认自动提交真机可能需要手动执行commit命令3.2 精细化控制策略真实企业环境往往需要更细致的控制。比如只允许财务部访问特定服务器# 先创建地址组 [USG6000V] ip address-set Finance_Dept [USG6000V-address-set-Finance_Dept] address 192.168.10.100 192.168.10.120 # 再创建服务组财务系统端口 [USG6000V] service-set Finance_Ports [USG6000V-service-set-Finance_Ports] service tcp destination 8080 # 财务系统端口 [USG6000V-service-set-Finance_Ports] service tcp destination 8443 # 最后绑定策略 [USG6000V-policy-security] rule name Finance_Access [USG6000V-policy-security-rule-Finance_Access] source-address address-set Finance_Dept [USG6000V-policy-security-rule-Finance_Access] destination-address 172.16.20.50 32 [USG6000V-policy-security-rule-Finance_Access] service service-set Finance_Ports [USG6000V-policy-security-rule-Finance_Access] action permit4. NAT配置与上网实现4.1 源NAT配置内网上网让内网用户上网就像帮他们代购需要做地址转换。推荐用地址池方式# 创建NAT地址池用外网接口IP [USG6000V] nat address-group Internet_Pool [USG6000V-address-group-Internet_Pool] address 203.179.1.2 203.179.1.2 # 配置源NAT规则 [USG6000V] nat-policy [USG6000V-policy-nat] rule name Outbound_NAT [USG6000V-policy-nat-rule-Outbound_NAT] source-address 192.168.10.0 24 [USG6000V-policy-nat-rule-Outbound_NAT] action source-nat address-group Internet_Pool测试时在内网PC执行ping 8.8.8.8同时在防火墙用display nat session查看转换记录。4.2 目的NAT配置发布DMZ服务把服务器发布到公网就像开店铺挂招牌需要端口映射# 将公网IP的80端口映射到DMZ服务器 [USG6000V-policy-nat] rule name Publish_Web [USG6000V-policy-nat-rule-Publish_Web] destination-address 203.179.1.2 32 [USG6000V-policy-nat-rule-Publish_Web] service http [USG6000V-policy-nat-rule-Publish_Web] action destination-nat static ip 172.16.20.10有个实用技巧用display nat-policy可以查看所有NAT规则优先级我曾因规则顺序错误导致映射失效。5. 验证与排错指南5.1 基础检查命令配置完总要验证效果这几个命令是我的诊断三件套# 查看策略命中情况 display security-policy statistics rule all # 查看NAT会话实时流量 display nat session verbose # 测试连通性从防火墙ping测试 ping -a 192.168.10.1 172.16.20.10 # 测试内网到DMZ5.2 常见问题排查遇到问题时可以按这个流程检查物理连接eNSP中设备连线是否变绿接口状态display interface brief查看端口UP/DOWN路由表display routing-table确认默认路由指向ISP网关策略顺序安全策略是从上往下匹配用display security-policy看规则顺序有次我配置完所有策略却发现内网无法上网最后发现是缺了默认路由[USG6000V] ip route-static 0.0.0.0 0 203.179.1.16. 实验报告撰写要点写实验报告不是记流水账我的结构通常是拓扑说明用Visio或eNSP导出拓扑图标注各区域IP段关键配置只摘录核心命令配上中文注释测试结果截图ping测试和display nat session的输出问题分析记录实验过程中遇到的真实报错及解决方法比如可以这样记录NAT配置片段# 源NAT配置内网192.168.10.0/24 → 公网IP出向 nat-policy rule name Outbound_NAT source-zone trust destination-zone untrust source-address 192.168.10.0 24 action source-nat address-group Internet_Pool最后提醒实验完成后别忘保存配置save否则重启eNSP所有配置都会丢失。建议把关键配置复制到文本文件备份。

从零到一：基于eNSP的防火墙策略与NAT配置实战

相关文章：

从零到一：基于eNSP的防火墙策略与NAT配置实战

SpringBoot+小程序构建流浪动物救助平台：从技术选型到社会价值实现

ROS2实战：如何在rviz2中绘制动态多边形（附完整代码）

C++ vector性能优化：从reserve到emplace_back的7个实战技巧

零代码玩转阿里云百炼：用智能体应用3小时搭建电商文案生成器

x64dbg调试实战：如何绕过406D1388和E06D7363异常（附隐藏调试器技巧）

Step3-VL-10B部署教程：GPU直通虚拟机中Step3-VL-10B性能调优指南

gte-base-zh开箱即用：Xinference部署与WebUI体验全流程

Nunchaku-flux-1-dev在Ubuntu20.04上的保姆级部署教程

技术探索：文本驱动CAD建模的技术原理与实践路径

PyMAVLink：无人机通信的Python桥梁——从入门到实践指南

[函数设计实战] 巧用循环与幂运算，高效求解特殊a串数列和

ELISPOT显色底物选择指南

圣女司幼幽-造相Z-Turbo实战教程：使用LoRA权重切换不同圣女造型风格

高效掌握MissionPlanner：面向无人机开发者的开源地面控制站指南

立创EDA开源项目：基于RDA5807的徽章式FM收音机硬件设计详解

飞牛NAS+Docker+DDNS：三步搞定动态域名解析与二级域名配置

Android Jetpack实战：FragmentContainerView与Navigation组件的完美搭配（避坑指南）

SAM 3快速入门：等待3分钟加载，点击Web图标开始你的分割体验

基于MCP协议构建Granite TimeSeries模型服务：实现标准化模型调用

Qwen2.5-7B-Instruct参数详解：28层GQA架构与RMSNorm优化原理

PWM电压型同步Buck系统设计避坑指南：从原理图到仿真全流程解析

BGE Reranker-v2-m3入门指南：理解bge-reranker-v2-m3相比v1版本在中文长文本上的改进

ESP32+VScode环境配置踩坑实录：解决‘python.exe -m pip无效’的6种方法

Python量化交易实战：如何用抛物线SAR指标捕捉苹果股票买卖点（附完整代码）

工业以太网组态避坑指南：基恩士KV 7500与RIO20-EIP模块的EDS文件配置详解

基于Mirage Flow的智能API文档生成：开发效率提升神器

mPLUG图片分析案例分享：复杂场景下的问答表现

ChatGLM3-6B模型解释性研究：理解大模型的决策过程

突破茅台预约困境：5大自动化策略构建智能抢购系统