Comment implémenter l'analyse du contrôle NAT du pare-feu
Un. Classification NAT
NAT No-pat : Semblable à la conversion dynamique de Cisco, elle convertit uniquement l'adresse IP source et l'adresse réseau, mais ne convertit pas le port. Il s'agit d'une conversion plusieurs-à-plusieurs et ne peut pas enregistrer les adresses IP publiques. est rarement utilisé
NAPT : (Traduction d'adresse réseau et de port) est similaire à la traduction PAT de Cisco qui convertit l'adresse source du message et convertit l'adresse de l'interface de sortie : (Easy-IP) La méthode de conversion est simple, identique à NAPT, c'est-à-dire convertit l'adresse source et le port source. Port source, qui appartient à la conversion plusieurs-en-un
Smart NAT (conversion intelligente) : conversion NAPT en réservant une adresse de réseau public
Triple NAT : a conversion liée à l'adresse IP source, à la source du port et au type de protocole
Deuxièmement, le routage par trou noirProblèmes de boucle et d'ARP invalides dans les scénarios de traduction d'adresse source
Trois, table de carte de serveurRésolution des données FTP problèmes de transmission via la table Server-map
La table de session enregistre les informations de connexion, y compris l'état de la connexion
Application de Server-map dans NAT
L'entrée de transfert contient des informations sur le port, qui sont utilisées pour activer les utilisateurs externes pour effectuer directement la traduction de l'adresse cible via la table Server-map lors de l'accès à 202.96.1.10
L'entrée inversée ne contient pas d'informations de port et l'adresse cible est arbitraire. La prémisse utilisée pour permettre au serveur d'accéder à Internet doit être le protocole TCP.
Quatre flux de traitement NAT des messages
Configuration NAT (trois méthodes)
(1)NAT No-pat
Prendre un itinéraire par défaut
Configurer la politique de sécurité
Configurer le groupe d'adresses NAT In. le groupe d'adresses, l'adresse correspond à l'IP publique
Configurer la politique NAT
Configurer le routage du trou noir pour l'adresse globale convertie (adresse dans le groupe d'adresses NAT) 
Vérifiez la configuration NAT Utilisez PC1 pour pinger PC2. sur le réseau externe et affichez le tableau des sessions ! []
Trois cases rouges représentent l'adresse source, l'adresse convertie, l'adresse consultée
Vous pouvez également afficher le tableau de la carte du serveur
(2) Configuration NAPT
Toujours l'image ci-dessus, refaire NAPT
Configurer l'IP
Configurer la politique de sécurité
Configurer le groupe d'adresses NAT, le groupe d'adresses correspond à l'IP publique
Configurer la politique NAT 
Configurez le trou noir de routage
Vérifiez les résultats en utilisant PC1 pour pinger le réseau externe PC2
(3) L'adresse de l'interface sortante (Easy-IP) doit utiliser l'interface g0/0/1 du routeur R1 pour accéder au PC2 (reconfigurer)
Configurer l'IP
Configurer la politique de sécurité
Configurer la politique NAT
La vérification peut être constatée que l'adresse IP de l'interface g0/0/1 du routeur R1 converti est accessible
Cinq, complet cas
Exigences :
L'hôte financier accède à Internet via no-pat (en utilisant 100.2.2.10-11)
L'hôte du département académique accède à Internet via napt (utilise 100.2.2.12)
Autre services de l'entreprise pass g1/0/ 0Accès à internet
Configurez natserver pour publier le serveur dans dmz (en utilisant 100.2.2.9)
1. L'hôte financier accède à Internet via no-pat
1 Configurez les paramètres réseau et le routage
[USG6000V1] int g1/0/2.
[USG6000V1 -GigabitEthernet1/0/2] ip add 192.168.1.1 24
[USG6000V1-GigabitEthernet1/0/2] annuler sh
Info : l'interface GigabitEthernet1/0/2 n'est pas arrêtée.
[USG6000V1-GigabitEthernet1/0/2 ] QUIT
[USG6000V1] int G1 / 0/0
[USG6000V1-GIGABITETHERNET1 / 0/0] IP ADD 100.1.1.2 30
[USG6000V1-GIGABITERTERNET1 / 0/0] UNDO SH
[USG6000V1-GIGABITERTERNET1 / 0/0] quitter
[ USG6000V1] i proute-static 0.0.0.0 0.0.0.0 100.1.1.1
2. Configurer la politique de sécurité
[USG6000V1] confiance de la zone de pare-feu
[USG6000V1-zone-trust] ajouter int g1/0/2
[USG6000V1- zone-trust ] quitter
[USG6000V1] pare-feu zone untrust
[USG6000V1-zone-untrust] ajouter int g1/0/0
[USG6000V1-zone-untrust] quitter
[USG6000V1] politique de sécurité
[USG6000V1-policy-security ] nom de la règle sec_1
[USG6000V1-policy-security-rule-sec_1] adresse-source 192.168.1.0 24
[USG6000V1-policy-security-rule-sec_1] zone de destination non fiable
[USG6000V1-policy-security-rule-sec_1 ] action permit
3. Configurez le groupe d'adresses nat. Les adresses dans le pool d'adresses correspondent à l'adresse du réseau public
[USG6000V1-policy-security] quit
[USG6000V1] nat address-group natgroup
[USG6000V1-address-group-. natgroup] section 0 100.2 .2.10 100.2.2.11
[USG6000V1-address-group-natgroup] mode no-pat local
[USG6000V1-address-group-natgroup]
4. Configurer la politique nat
[USG6000V1] nat-policy
[ USG6000V1-policy-nat ] nom de la règle natpolicy
[USG6000V1-policy-nat-rule-natpolicy] adresse-source 192.168.1.0 24
[USG6000V1-policy-nat-rule-natpolicy] zone de destination non fiable
[USG6000V1-policy- nat-rule-natpolicy action nat address-group natgroup 1]ip route-static 100.2 .2.10 32 null 0
[USG6000V1] ip route-static 100.2.2.11 32 null 0
6.Configurer r1 (fai)sys
Entrez dans la vue système, renvoyez la vue utilisateur avec Ctrl+Z.
[Huawei] sysname r1
[r1] annuler les informations ena
[r1] int g0/0/0
[r1-GigabitEthernet0/0/0] ip add 100.1 .1.1 30
[r1-GigabitEthernet0/0/0] int g0/0/ 1
[r1-GigabitEthernet0/0/1] ip add 200.1.1.1 24
[r1-GigabitEthernet0/0/1] annuler sh
[r1 -GigabitEthernet0/0/1] quit
[r1] ip route-static 100.2.8 29 100.1.1.2
7. Test : accéder au serveur Internet depuis le client financier
2. L'hôte du département académique accède à Internet via napt (en utilisant 100.2.2.12)1. Configurer les paramètres réseau
[USG6000V1] int g1/ 0/3[USG6000V1-GigabitEthernet1/0/3] ip add 192.168.2.1 24[USG6000V1-GigabitEthernet1/0/ 3] quitter
[USG6000V1] pare-feu zone trust
[USG6000V1-zone-trust] ajouter int g1/0 /3
[USG6000V1-zone-trust]q uit
2. Configurer la politique de sécurité
[USG6000V1] sécurité-politique
[USG6000V1- politique-sécurité-rule-sec_2] adresse-source 192.168.2.0 24
[USG6000V1-policy-security-rule-sec_2] zone de destination non fiable
[USG6000V1-policy-security-rule-sec_2] permis d'action
[USG6000V1-policy -security-rule-sec_2] quitter
3. Configurer le groupe d'adresses nat
[USG6000V1] adresse nat -group natgroup_2.0
[USG6000V1-address-group-natgroup_2.0] section 0 100.2.2.12 100.2.2.12
[USG6000V1- address-group-natgroup_2.0] mode pat
[USG6000V1-address-group-natgroup_2.0 ] quit
4. Configurez la stratégie nat
[USG6000V1] nat-policy
[USG6000V1-policy-nat] nom de la règle natpolicy_2.0
[USG6000V1-policy-nat-rule-natpolicy_2.0] adresse-source 192.168.2.0 24
[USG6000V1-policy-nat-rule-natpolicy_2.0] zone de destination non fiable
[USG6000V1-policy-nat-rule-natpolicy_2. 0] action nat address-group natgroup_2.0
[USG6000V1-policy-nat-rule-natpolicy_2 .0] quit
[USG6000V1-policy-nat] quit
5. Configurez la route du trou noir pour l'adresse globale convertie
[USG6000V1. ] ip route-static 100.2.2.12 32 null 0
6. Vérifiez la configuration nationale
.
3. L'adresse de l'interface sortante (easy-ip) permet aux autres services de l'entreprise d'accéder à Internet via g1/0/0.
1. Configurer les paramètres réseau[USG6000V1] int g1/0/4
[USG6000V1-GigabitEthernet1/0/4] ip add 192.168.3.1 24[USG6000V1-GigabitEthernet1/0/4] quitter
[USG600 0V1] pare-feu zone trust
[USG6000V1-zone-trust] ajouter int g1/0/4
[USG6000V1-zone-trust]
2 .Configurer la politique de sécurité
[USG6000V1] security-policy
[USG6000V1-policy-security] nom de la règle sec_3
[USG6000V1-policy-security-rule-sec_3] adresse-source 192.168.3.0 24
[USG6000V1-policy-security-rule-sec_3] zone de destination non fiable
[USG6000V1-policy-security-rule- sec_3] permis d'action
[USG6000V1-policy-security-rule-sec_3] quit
[USG6000V1-policy-security] quit
3.配置nat策略
[USG6000V1] nat- Policy
[USG6000V1-policy-nat] nom de la règle natpolicy_3.0
[USG6000V1-policy-nat-rule-natpolicy_3.0] adresse-source 192.168.3.0 24
[USG6000V1-policy- nat-rule-natpolicy_3.0] zone de destination non fiable
[USG6000V1-policy-nat-rule-natpolicy_3.0] action nat easy-ip
[USG6000V1-policy-nat-rule-natpolicy_3.0 ] quit
[USG6000V1-policy-nat] quit
4.验证easy-ip
1)ping测试
四、 natserver发布dmz中的服务器(使用100.2.2.9)
1. 0/0] int g1/0/1
[ USG6000V1-GigabitEthernet1/0/1] ip ajouter 192.168.0.1 24
[USG6000V1-GigabitEthernet1/0/1] quitter
[USG6000V1] zone de pare-feu dmz
[USG6000V1-zone-dmz ] ajouter int g1/0/1
[USG6000V1-zone-dmz] quit
2.配置安全策略
[USG6000V1] security-policy
[USG6000V1-policy-security] nom de la règle sec_4
[USG6000V1-policy-security-rule-sec_4] zone-source untrust
[USG6000V1-policy-security-rule-sec_4] adresse-de destination 192.168.0.0 24
[USG6000V1-policy -security-rule-sec_4] action permit
[USG6000V1-policy-security] quit
3. )
[USG6000V1] pare-feu inter trust untrust
[USG6000V1-interzone-trust-untrust] détecter ftp
[USG6000V1-interzone-trust-untrust] quitter
4.配置serveur nat
[USG6000V1] serveur nat natserver global 100.2.2.9 à l'intérieur de 192.168.0.2
5.配置黑洞路由
[USG6000V1] ip route-static 100.2.2.9 32 null 0
6.验证#🎜 🎜#1)在互联网主机上访问dmz中的服务器
1. Configurer les paramètres réseau 
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
AI Hentai Generator
Générez AI Hentai gratuitement.
Article chaud
Outils chauds
Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Sujets chauds
Comment corriger « Erreur : 0x80070185, l'opération Cloud a échoué » dans OneDrive
May 16, 2023 pm 04:26 PM
OneDrive est une application de stockage cloud populaire fournie par Microsoft. La plupart d'entre nous utilisent OneDrive pour stocker nos fichiers, dossiers, documents, etc. Mais certains utilisateurs se sont plaints du fait que lorsqu'ils tentent d'accéder à des fichiers partagés sur OneDrive, une erreur indiquant « Erreur : 0x80070185, l'opération Cloud a échoué ». Par conséquent, ils ne peuvent effectuer aucune opération sur OneDrive telle que copier des fichiers, coller, télécharger des fichiers partagés, etc. De nos jours, il est nécessaire d’utiliser ces opérations dans notre travail quotidien. Cette erreur peut être facilement résolue et pour cela, nous disposons de quelques méthodes que nous pouvons appliquer et essayer de résoudre le problème. Commençons ! Méthode 1 – Déconnectez-vous et reconnectez-vous aux étapes de l’application OneDrive
NAT Boost vs Qos pour les jeux ; lequel est le meilleur ?
Feb 19, 2024 pm 07:00 PM
Dans la situation actuelle où presque tous les jeux sont en ligne, il n'est pas conseillé d'ignorer l'optimisation du réseau domestique. Presque tous les routeurs sont équipés de fonctionnalités NATBoost et QoS conçues pour améliorer l'expérience de jeu des utilisateurs. Cet article explorera la définition, les avantages et les inconvénients de NATBoost et QoS. NATBoost vs Qos pour les jeux ; lequel est le meilleur ? NATBoost, également connu sous le nom de Network Address Translation Boost, est une fonctionnalité intégrée aux routeurs qui améliore leurs performances. C'est particulièrement important pour les jeux, car cela permet de réduire la latence du réseau, c'est-à-dire le temps nécessaire au transfert des données entre l'appareil de jeu et le serveur. En optimisant la méthode de traitement des données au sein du routeur, NATBoost atteint une vitesse de traitement des données plus rapide et une latence plus faible, modifiant ainsi le
8 gros correctifs si Grammarly ne fonctionne pas sur le navigateur Windows 10
May 05, 2023 pm 02:16 PM
Si vous rencontrez des problèmes de syntaxe sur votre PC Windows 10 ou 11, cet article vous aidera à résoudre le problème. Grammarly est l'un des assistants de saisie les plus populaires pour corriger la grammaire, l'orthographe, la clarté, etc. C’est devenu un élément essentiel des professionnels de l’écriture. Cependant, si cela ne fonctionne pas correctement, cela peut être une expérience très frustrante. De nombreux utilisateurs de Windows ont signalé que cet outil ne fonctionnait pas correctement sur leur ordinateur. Nous avons effectué une analyse approfondie et trouvé la cause et la solution de ce problème. Pourquoi Grammarly ne fonctionne-t-il pas sur mon PC ? Grammarly sur PC peut ne pas fonctionner correctement pour plusieurs raisons courantes. Il comprend les éléments suivants
Solution grise des paramètres avancés du pare-feu Win11
Dec 24, 2023 pm 07:53 PM
Lors de la configuration du pare-feu, de nombreux amis constatent que les paramètres avancés de leur pare-feu Win11 sont grisés et ne peuvent pas être cliqués. Cela peut être dû au fait de ne pas avoir ajouté d’unité de contrôle ou à une ouverture incorrecte des paramètres avancés. Voyons comment résoudre ce problème. Les paramètres avancés du pare-feu Win11 sont grisés Méthode 1 : 1. Tout d'abord, cliquez sur le menu Démarrer ci-dessous, recherchez et ouvrez « Panneau de configuration » en haut 2. Ensuite, ouvrez « Pare-feu Windows Defender » 3. Après avoir entré, vous pouvez ouvrir « Avancé ». Paramètres" dans la colonne de gauche. Méthode 2 : 1. Si la méthode ci-dessus ne peut pas être ouverte, vous pouvez cliquer avec le bouton droit sur « Menu Démarrer » et ouvrir « Exécuter ». 2. Entrez ensuite « mmc » et appuyez sur Entrée pour confirmer l'ouverture. 3. Après ouverture, cliquez en haut à gauche
Comment activer ou désactiver le pare-feu sur Alpine Linux ?
Feb 21, 2024 pm 12:45 PM
Sur AlpineLinux, vous pouvez utiliser l'outil iptables pour configurer et gérer les règles de pare-feu. Voici les étapes de base pour activer ou désactiver le pare-feu sur AlpineLinux : Vérifiez l'état du pare-feu : sudoiptables -L Si la sortie affiche des règles (par exemple, il existe des règles INPUT, OUTPUT ou FORWARD), le pare-feu est activé. Si la sortie est vide, le pare-feu est actuellement désactivé. Activer le pare-feu : sudoiptables-PINPUTACCEPTsudoiptables-POUTPUTACCEPTsudoiptables-PFORWARDAC
Résolvez le code d'erreur 0xc004f074 lors de l'activation de Windows 11.
May 08, 2023 pm 07:10 PM
Après avoir installé le dernier système d'exploitation sur votre PC, l'activation de votre copie de Windows 11 est la tâche principale. Non seulement il libère le véritable potentiel du système d'exploitation Windows 11, mais il élimine également le message ennuyeux « Activez votre Windows 11 ». Cependant, pour certains utilisateurs, l'erreur d'activation de Windows 11 0xc004f074 entrave le bon déroulement de l'activation. Ce bug empêche apparemment les utilisateurs d’activer Windows 11 et les oblige à utiliser un système d’exploitation aux fonctionnalités limitées. Le code d’erreur d’activation de Windows 11 0xc004f074 est lié au service de gestion de clés. Vous rencontrerez ce problème lorsque KMS n'est pas disponible. Ok, c'est tout pour ce tutoriel
Correctif : le pare-feu Windows 11 bloque l'imprimante
May 01, 2023 pm 08:28 PM
Les pare-feu surveillent le trafic réseau et peuvent bloquer les connexions réseau pour certains programmes et matériels. Windows 11 inclut son propre pare-feu Windows Defender, qui peut empêcher les imprimantes d'accéder au Web. Par conséquent, les utilisateurs concernés ne peuvent pas utiliser leurs imprimantes Brother lorsque le pare-feu la bloque. Gardez à l’esprit que ce problème affecte également d’autres marques, mais aujourd’hui, nous allons vous montrer comment le résoudre. Pourquoi mon imprimante Brother est-elle bloquée par le pare-feu ? Ce problème a plusieurs causes et vous devrez probablement ouvrir certains ports avant que votre imprimante puisse accéder au réseau. Le logiciel d'imprimante peut également causer des problèmes, alors assurez-vous de le mettre à jour ainsi que votre pilote d'imprimante. Lisez la suite pour savoir comment
Comment supprimer le logo du pare-feu sur l'icône du bureau Win10 ?
Jan 01, 2024 pm 12:21 PM
De nombreux amis qui utilisent le système Win10 constatent qu'il y a un logo de pare-feu sur l'icône du bureau de l'ordinateur. Que se passe-t-il ? Cela rend de nombreux amis souffrant de troubles obsessionnels compulsifs particulièrement mal à l'aise. En fait, il suffit d'ouvrir le panneau de configuration et de le faire. cliquez sur " Cela peut être résolu en modifiant "Modifier les paramètres de contrôle de compte d'utilisateur". Jetons un coup d'œil au didacticiel spécifique. Comment annuler le logo du pare-feu sur l'icône du bureau dans Windows 10 1. Tout d'abord, cliquez avec le bouton droit sur le bouton du menu Démarrer à côté de l'écran de démarrage de l'ordinateur, puis sélectionnez la fonction Panneau de configuration dans le menu contextuel. 2. Sélectionnez ensuite l'option « Compte d'utilisateur » et sélectionnez l'élément « Modifier les paramètres de contrôle de compte d'utilisateur » dans la nouvelle interface qui apparaît. 3. Après avoir ajusté le curseur dans la fenêtre vers le bas, cliquez sur Confirmer pour quitter.
