防火墙

防火墙配置三件事

一：接口加入安全域（信任域、非信任域、dmz域）

1、firewall zone trust  进入信任区域

     add int g1/0/1         添加信任区域接口   g1/0/1是连内网口

2、firewall zone untrust   进入非信任域 

     add int g1/0/2             添加外网口

二：放行策略  （从信任区域访问非信任）

1、security-policy (进入安全策略)

2、rule name shangwang 

3、source-zone trust

4、destination-zone untrust

5、action permit 

二、内网主机是私网IP，私网IP不能访问互联网

nat地址转换

华为防火墙

1、nat-policy 进入nat配置

2、rule name 新建nat配置，名字

3、source-zone trust

4、destination-zone untrust

5、action source-nat easy-ip 做地址转换，自动转换成出接口IP

三、回程路由 实际工作特别容易忽视

1、ip route-static 192.168.1.0 255.255.255.0 10.10.10.1