华为的防火墙 带ac控制器吗

当主机与某WEB服务器同在防火墙的INSIDE口，但DNS服务器只存在于公网中，(OUTSIDE口)且防火墙上对内网的WEB服务器进行了静态NAT映射以与外界通信并被外界DNS解析，为了防止本地用户在访问WEB服务器URL时被外网解析DNS为防火墙映射公网地址，需要对外网DNS reply进行修改。1用户穿过查询web服务器DNSDNS回应给用户WEB服务器的公网地址防火墙上收到该DNS reply，并进行修改用户得到一个将WEB服务器解析为内网地址的DNS reply相关命令：static (inside,outside) 公网地址 内网地址 netmask dns

在全局模式下把:

undo nat server zone trust protocol tcp global 120192117235 89 89 inside 192168015 89

undo nat server zone trust protocol tcp global 120192117235 5872 5872 inside 192168015 5872

undo nat server zone trust protocol tcp global 120192117235 3389 3389 inside 192168015 3389

undo nat server zone trust protocol tcp global 120192117235 6872 6872 inside 192168015 6872

去掉

然后把192168016的配置写上去:

nat server zone trust protocol tcp global 120192117235 89 89 inside 192168016 89

nat server zone trust protocol tcp global 120192117235 5872 5872 inside 192168016 5872

nat server zone trust protocol tcp global 120192117235 3389 3389 inside 192168016 3389

nat server zone trust protocol tcp global 120192117235 6872 6872 inside 192168016 6872

连接方式：

电信--防火墙--交换机--服务器，

电信进来之后有3个地址，你只需要取其中一个来配置在防火墙的任意一个端口，然后把端口加入到trunst区域，配置另一个端口做内网口，加入到trust区域，然后在nat里面做好nat，在域间策略里面做好trust到untrust和untrust到trust的策略，（一般情况下trust到untrust所有放开，untrust到trust放开需要映射的端口号），然后如果服务器需要映射，在NAT里面有虚拟服务器，做好映射即可

我说的这个是用web方式操作的大致步骤，如果你想用命令行，那么请告知具体点的需求，我给你做个配置

这防火墙你就用了俩口，你意思是就两个安全区域，一个untrust 一个DMZ区域了，首先划分区域如图

把G1 设置为untrust   G0为DMZ

然后设置安全策略如图

DMZ 到untrust   设成permit

然后添加映射如图

继续

第一行DMZ

第二行untrust

第三行192168016/32

第四行60101010/32

下面学easy ip   接口选择G1

基本就ok了

你试试

华为的防火墙一般是配置安全策略的时候用web较为方便，而配置路由策略的时候当然是命令行更为方便，而且就算web端的配置最后还是会在命令行生成命令，所以说掌握命令行配置才是关键，web是辅助。如果是ISP双归接入，如果要分别，一般也是ABC部门把路由用ACL匹配出来，在出口为X的ISP调用，把DEF的匹配出来，在出口为Y的ISP调用，端口映射也是一样的。