ファイアウォール NAT 制御解析の実装方法-安全性-php.cn

ホームページ

運用・保守

安全性

ファイアウォール NAT 制御解析の実装方法

王林

May 28, 2023 pm 01:04 PM

ファイアウォール nat

＃＃＃＃＃＃1つ。 NAT 分類

NAT No-pat: Cisco の動的変換と同様に、送信元 IP アドレスとネットワークアドレスのみを変換し、ポートは変換しません。多対多の変換であり、パブリックアドレスは保存できません。 IP アドレスなので、あまり使用されませんNAPT: (ネットワークアドレスとポートの変換) は Cisco の PAT 変換に似ています。NAPT はパケットの送信元アドレスを変換し、送信元ポートも変換します。
出力インターフェイスアドレス: ( Easy-IP) 変換方法はシンプルで NAPT に似ています。同じ、送信元アドレスと送信元ポートの変換であり、多対 1 の変換です。
スマート NAT (インテリジェント変換): 予約による NAPT 変換パブリックネットワークアドレス
トリプル NAT: 送信元 IP アドレス、送信元デュポートとプロトコルタイプに関連する一種の変換

2、ブラックホールルーティング
ループと無効な ARP の問題送信元アドレス変換シナリオ

ファイアウォール NAT 制御解析の実装方法
#3、サーバーマップテーブル
#サーバーマップテーブルを通じて FTP データ送信の問題を解決する
セッションテーブルは、接続ステータスを含む接続情報を記録します

NAT でのサーバーマップのアプリケーション
ファイアウォール NAT 制御解析の実装方法

前方エントリはポートを伝送しますこの情報は、外部ユーザーがターゲットアドレス変換用のサーバーマップテーブルを介して 202.96.1.10 に直接アクセスできるようにするために使用されます。
リバースエントリにはポート情報が含まれず、ターゲットアドレスは任意です。ファイアウォール NAT 制御解析の実装方法 #4、NAT レポート記事の処理の流れ

#NAT 設定 (3 つの方法)
(1)NAT No-pat

Go one way デフォルトルート
セキュリティポリシーの設定

NAT アドレスグループを設定します。、アドレスはパブリック IP に対応します

ファイアウォール NAT 制御解析の実装方法 NAT ポリシーの構成

変換されたグローバルアドレス (NAT アドレスグループ内のアドレス) のブラックホールルーティングの構成

NAT 構成を確認します。PC1 を使用して外部ネットワーク上の PC2 に ping を実行すると、セッションテーブルが表示されます![]
##3 つの赤いボックスは、送信元アドレス、変換されたアドレス、およびアクセスされたアドレスを表します。アドレス
サーバーマップテーブルを表示することもできますファイアウォール NAT 制御解析の実装方法

(2) NAPT 構成
上記と同様に、NAPT をやり直します
IP の構成
ファイアウォール NAT 制御解析の実装方法

セキュリティポリシーの構成
# NAT アドレスグループを構成します。アドレスグループはパブリックネットワーク IP

NAT ポリシーの構成

ルーティングブラックホールの構成

検証としてその結果、PC1 は外部ネットワーク PC2

ファイアウォール NAT 制御解析の実装方法
への ping に使用されます。 (3) アウトバウンドインターフェイスアドレス (Easy-IP) は、g0/0/1 インターフェイスを使用します。 PC2 にアクセスするための R1 ルーター (再構成)
IP の構成

ファイアウォール NAT 制御解析の実装方法
セキュリティポリシーの構成

NAT ポリシーの構成

検証は両方とも見つかります。これは、アクセスするために変換された R1 ルーター g0/0/1 インターフェイス IP です。

# 5 つの包括的なケースファイアウォール NAT 制御解析の実装方法要件:

を通じてインターネットにアクセスしています。
dmz でサーバーを公開するように natserver を構成します (100.2.2.9 を使用)

1. 金融ホストは no-pat 経由でインターネットにアクセスします
1。ネットワークパラメータと Route
[USG6000V1] int g1/0/2
[USG6000V1-GigabitEthernet1/0/2] ip add 192.168.1.1 24
[USG6000V1-GigabitEthernet1/0/2] undo sh
情報: インターフェイス GigabitEthernet1/0/2 はシャットダウンされていません。
[USG6000V1-GigabitEthernet1/0/2] quit
[USG6000V1] int g1/0/0
[USG6000V1-GigabitEthernet1/0/0] ip add 100.1 .1.2 30
[USG6000V1-GigabitEthernet1/0/0] undo sh
[USG6000V1-GigabitEthernet1/0/0] quit
[USG6000V1] i proute-static 0.0.0.0 0.0.0.0 100.1 .1.1
2. セキュリティポリシーを設定します
[USG6000V1] ファイアウォールゾーントラスト
[USG6000V1-zone-trust] add int g1/0/2
[USG6000V1-zone-trust] quit
[USG6000V1] ファイアウォールゾーン untrust
[USG6000V1-zone-untrust] add int g1/0/0
[USG6000V1-zone-untrust] quit
[USG6000V1] security-policy
[USG6000V1-policy] -security] ルール名 sec_1
[USG6000V1-policy-security-rule-sec_1] 送信元アドレス 192.168.1.0 24
[USG6000V1-policy-security-rule-sec_1] 宛先ゾーン untrust
[USG6000V1] -policy-security-rule-sec_1] action allowed
3. nat アドレスグループを構成します。アドレスプール内のアドレスは、パブリックネットワークアドレスに対応します
[USG6000V1-policy-security] quit
[USG6000V1] ] nat アドレスグループ natgroup
[USG6000V1-アドレスグループ natgroup] セクション 0 100.2.2.10 100.2.2.11
[USG6000V1-アドレスグループ natgroup] モード no-pat local
[USG6000V1-アドレス] -group-natgroup]
4. nat ポリシーの設定
[USG6000V1] nat-policy
[USG6000V1-policy-nat] ルール名 natpolicy
[USG6000V1-policy-nat-rule-natpolicy] ソース-address 192.168.1.0 24
[USG6000V1-policy-nat-rule-natpolicy] destination-zone untrust
[USG6000V1-policy-nat-rule-natpolicy] action nat address-group natgroup
[USG 6000V1- policy-nat-rule-natpolicy] quit
[USG6000V1-policy-nat] quit
5. 変換されたグローバルアドレスのブラックホールルーティングを構成する
[USG6000V1] ip Route-static 100.2.2.10 32 null 0
[USG6000V1 ] ip Route-static 100.2.2.11 32 null 0
6.r1 (isp) の設定
sys
システムビューに入り、Ctrl Z でユーザービューに戻ります。
[Huawei] sysname r1
[r1] undo info ena
[r1] int g0/0/0
[r1-GigabitEthernet0/0/0] ip add 100.1.1.1 30
[r1- GigabitEthernet0/0/ 0] int g0/0/1
[r1-GigabitEthernet0/0/1] ip add 200.1.1.1 24
[r1-GigabitEthernet0/0/1] undo sh
[r1- GigabitEthernet0/0/ 1] quit
[r1] ip Route-static 100.2.2.8 29 100.1.1.2
7. テスト: 金融クライアントからインターネットサーバーにアクセス

# 2. 学術部門ホストは napt 経由でインターネットにアクセスします (100.2.2.12 を使用) 1. ネットワークパラメーターの構成
[USG6000V1] int g1/0/3
[USG6000V1-GigabitEthernet1/0] /3] ip add 192.168. 2.1 24
[USG6000V1-GigabitEthernet1/0/3] quit
[USG6000V1] ファイアウォールゾーントラスト
[USG6000V1-zone-trust] add int g1/0/3
[USG6000V1-zone-trust ]quit
2. セキュリティポリシーを設定します
[USG6000V1] security-policy
[USG6000V1-policy-security-rule-sec_2]source-address 192.168.2.0 24
[USG6000V1-policy-security -rule-sec_2] destination-zone untrust
[USG6000V1-policy-security-rule-sec_2] アクション許可
[USG6000V1-policy-security-rule-sec_2] quit
3. nat アドレスグループを設定します
[USG6000V1] nat アドレスグループ natgroup_2.0
[USG6000V1-address-group-natgroup_2.0] セクション 0 100.2.2.12 100.2.2.12
[USG6000V1-address-group] -natgroup_2.0] mode pat
[USG6000V1-address-group-natgroup_2.0] quit
4. nat ポリシーの構成
[USG6000V1] nat-policy
[USG6000V1-policy-nat] ルール名前 natpolicy_2.0
[USG6000V1-policy-nat-rule-natpolicy_2.0] 送信元アドレス 192.168.2.0 24
[USG6000V1-policy-nat-rule-natpolicy_2.0] 宛先ゾーン untrust
[USG6000V1-policy-nat-rule-natpolicy_2.0] アクション nat アドレス-グループ natgroup_2.0
[USG6000V1-policy-nat-rule-natpolicy_2.0] quit
[USG6000V1-policy-nat] quit
5. グローバルアドレスの変換後、ブラックホールルーティングを設定します
[USG6000V1] ip Route-static 100.2.2.12 32 null 0
6. nat 設定を確認します
.

3. アウトバウンドインターフェイスアドレス (easy-ip) により、会社の他の部門が g1/0/0
1 経由でインターネットにアクセスできるようになります。ネットワークパラメーターを構成します
[USG6000V1] int g1/0 /4
[USG6000V1-GigabitEthernet1/ 0/4] ip add 192.168.3.1 24
[USG6000V1-GigabitEthernet1/0/4] quit
[USG6000V1] ファイアウォールゾーン trust
[USG6000V1-zone- trust] add int g1/0/4
[USG6000V1-zone-trust]
2. セキュリティポリシーの構成
[USG6000V1] security-policy
[USG6000V1-policy-security] ルール名 sec_3
[USG6000V1-policy-security-rule-sec_3] 送信元アドレス 192.168.3.0 24
[USG6000V1-policy-security-rule-sec_3] 宛先ゾーン untrust
[USG6000V1-policy-security-rule-sec_3]アクション許可
[USG6000V1-policy-security-rule-sec_3] quit
[USG6000V1-policy-security] quit
3. nat ポリシーの構成
[USG6000V1] nat-policy
[USG6000V1] -policy-nat] ルール名 natpolicy_3.0
[USG6000V1-policy-nat-rule-natpolicy_3.0] 送信元アドレス 192.168.3.0 24
[USG6000V1-policy-nat-rule-natpolicy_3.0] 宛先-zone untrust
[USG6000V1-policy-nat-rule-natpolicy_3.0] action nat easy-ip
[USG6000V1-policy-nat-rule-natpolicy_3.0] quit
[USG6000V1-policy-nat] ] quit
4. easy-ip を確認します
1) Ping テスト

4. dmz でサーバーを公開するように natserver を設定します (100.2.2.9 を使用)
1. ネットワークパラメータを設定します
[USG6000V1-GigabitEthernet1/0/0] int g1/0/1
[USG6000V1-GigabitEthernet1/0/1] ip add 192.168.0.1 24
[USG6000V1-GigabitEthernet1] / 0/1] quit
[USG6000V1] ファイアウォールゾーン dmz
[USG6000V1-zone-dmz] add int g1/0/1
[USG6000V1-zone-dmz] quit
2. セキュリティを構成するポリシー
[USG6000V1] security-policy
[USG6000V1-policy-security] ルール名 sec_4
[USG6000V1-policy-security-rule-sec_4] ソースゾーン untrust
[USG6000V1-policy-security] - ルール-sec_4] 宛先アドレス 192.168.0.0 24
[USG6000V1-policy-security-rule-sec_4] アクション許可
[USG6000V1-policy-security] quit
3. FTP アプリケーション層検出を構成します (このステップは省略できます。デフォルトで有効になっています)
[USG6000V1] firewall inter trust untrust
[USG6000V1-interzone-trust-untrust] detect ftp
[USG6000V1-interzone-trust-untrust] quit
4. nat サーバーの構成
[USG6000V1] nat サーバー natserver global 100.2.2.9 inside 192.168.0.2
5. ブラックホールルーティングの構成
[USG6000V1] ip Route-static 100.2.2.9 32 null 0
6. 確認
1) インターネットホスト

上の dmz 内のサーバーにアクセスします。

以上がファイアウォール NAT 制御解析の実装方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AIヘンタイを無料で生成します。

ホットツール

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

神レベルのコード編集ソフト（SublimeText3）

ホットトピック

Gmailメールのログイン入り口はどこですか？

7517

CakePHP チュートリアル

1378

Steamのアカウント名の形式は何ですか

Win11 Activation Key Permanent

NYTの接続はヒントと回答です

Related knowledge

OneDrive の「エラー: 0x80070185、クラウド操作は失敗しました」を修正する方法 May 16, 2023 pm 04:26 PM

OneDrive は、Microsoft が提供する人気のクラウドストレージアプリケーションです。私たちのほとんどは、ファイル、フォルダー、ドキュメントなどを保存するために OneDrive を使用しています。しかし、一部のユーザーは、OneDrive 上の共有ファイルにアクセスしようとすると、「エラー: 0x80070185、クラウド操作は失敗しました」というエラーが表示されると苦情を申し立てました。したがって、OneDrive 上でファイルのコピー、貼り付け、共有ファイルのダウンロードなどの操作を実行することはできません。現代では、これらの操作を日常の業務に活用することが必要です。このエラーは簡単に解決できます。このために、適用して問題の解決を試みることができるいくつかの方法があります。はじめましょう！方法 1 – サインアウトして OneDrive アプリに再度サインインする手順

ゲームの NAT ブーストと Qos、どちらが優れていますか? Feb 19, 2024 pm 07:00 PM

ほぼすべてのゲームがオンラインになっている今日の状況では、ホームネットワークの最適化を無視することはお勧めできません。ほぼすべてのルーターには、ユーザーのゲーム体験を向上させるために設計された NATBoost および QoS 機能が装備されています。この記事では、NATBoost と QoS の定義、利点、欠点について説明します。ゲームの NATBoost と Qos、どちらが優れていますか? NATBoost は、ネットワークアドレス変換ブーストとも呼ばれ、ルーターのパフォーマンスを向上させるためにルーターに組み込まれている機能です。これは、ゲームデバイスとサーバーの間でデータが転送されるのにかかる時間であるネットワーク遅延を短縮するのに役立つため、ゲームにとって特に重要です。 NATBoostはルーター内のデータ処理方式を最適化することで、データ処理速度の高速化と遅延の低減を実現し、

Windows 10 ブラウザで文法的に動作しない場合の 8 つの大きな修正 May 05, 2023 pm 02:16 PM

Windows 10 または 11 PC で構文の問題が発生した場合は、この記事が問題の解決に役立ちます。 Grammarly は、文法、スペル、明瞭さなどを修正するための最も人気のあるタイピングアシスタントの 1 つです。それは執筆の専門家にとって不可欠な部分となっています。ただし、それが適切に機能しない場合は、非常にイライラする経験になる可能性があります。多くの Windows ユーザーが、このツールが自分のコンピュータでうまく動作しないと報告しています。私たちは詳細な分析を行い、この問題の原因と解決策を見つけました。私の PC では Grammarly が動作しないのはなぜですか? PC 上の Grammarly は、いくつかの一般的な理由により正しく動作しない場合があります。以下のものが含まれます

Win11 ファイアウォールの詳細設定のグレーのソリューション Dec 24, 2023 pm 07:53 PM

ファイアウォールを設定するときに、多くの友人が、Win11 ファイアウォールの詳細設定がグレー表示になってクリックできないことに気づきました。コントロールユニットを追加していない、または詳細設定を正しく開いていないことが原因である可能性がありますので、解決方法を見てみましょう。 Win11 ファイアウォールの詳細設定グレーの方法 1: 1. まず、下のスタートメニューをクリックし、上部にある「コントロールパネル」を検索して開きます。 2. 次に、「Windows Defender ファイアウォール」を開きます。 3. 入力後、「詳細設定」を開くことができます。左の列。方法 2: 1. 上記の方法が開けない場合は、[スタートメニュー] を右クリックして [ファイル名を指定して実行] を開きます。 2. 次に、「mmc」と入力し、Enter キーを押して開くことを確認します。 3. 開いたら、左上のをクリックします

修正: Windows 11 ファイアウォールがプリンターをブロックする May 01, 2023 pm 08:28 PM

ファイアウォールはネットワークトラフィックを監視し、特定のプログラムやハードウェアのネットワーク接続をブロックすることがあります。 Windows 11 には独自の Windows Defender ファイアウォールが含まれており、プリンターによる Web へのアクセスをブロックする可能性があります。したがって、影響を受けるユーザーは、ファイアウォールがブラザープリンターをブロックすると、ブラザープリンターを使用できなくなります。この問題は他のブランドにも影響することに注意してください。ただし、今日はそれを修正する方法を説明します。 Brother プリンターがファイアウォールによってブロックされているのはなぜですか?この問題にはいくつかの原因が考えられますが、多くの場合、プリンターがネットワークにアクセスできるようにするには、特定のポートを開く必要があります。プリンターソフトウェアも問題を引き起こす可能性があるため、プリンタードライバーと同様にプリンターソフトウェアも必ず更新してください。その方法については読み続けてください

Alpine Linux でファイアウォールを有効または無効にする方法は? Feb 21, 2024 pm 12:45 PM

AlpineLinux では、iptables ツールを使用してファイアウォールルールを構成および管理できます。 AlpineLinux でファイアウォールを有効または無効にする基本的な手順は次のとおりです。ファイアウォールのステータスを確認します。 sudoiptables -L 出力にルールが表示されている場合 (たとえば、いくつかの INPUT、OUTPUT、または FORWARD ルールがある)、ファイアウォールは有効になっています。出力が空の場合、ファイアウォールは現在無効になっています。ファイアウォールを有効にする: sudoiptables-PINPUTACCEPTsudoiptables-POUTPUTACCEPTsudoiptables-PFORWARDAC

Windows 11 のライセンス認証時のエラーコード 0xc004f074 を解決します。 May 08, 2023 pm 07:10 PM

PC に最新のオペレーティングシステムをインストールした後の主な作業は、Windows 11 のライセンス認証です。 Windows 11 オペレーティングシステムの真の可能性を解放するだけでなく、迷惑な「Windows 11 のライセンス認証を行ってください」というメッセージも削除されます。ただし、一部のユーザーにとって、Windows 11 ライセンス認証エラー 0xc004f074 はライセンス認証のスムーズな進行を妨げます。このバグにより、ユーザーは Windows 11 をアクティブ化できなくなり、機能が制限されたオペレーティングシステムの使用が強制されるようです。 Windows 11 ライセンス認証エラーコード 0xc004f074 は、キーマネージメントサービスに関連しています。 KMS が利用できない場合、この問題が発生します。さて、このチュートリアルはこれで終わりです

Win10 デスクトップアイコン上のファイアウォールロゴを削除するにはどうすればよいですか? Jan 01, 2024 pm 12:21 PM

win10 システムを使用している多くの友人は、コンピューターのデスクトップ上のアイコンにファイアウォールのロゴがあることに気づきました。何が起こっているのでしょうか?これは、強迫性障害を持つ多くの友人を特に不快にさせます。実際、コントロールパネルを開いて、「ユーザーアカウント制御設定の変更」を変更することで解決できます。具体的なチュートリアルを見てみましょう。 Windows 10 のデスクトップアイコンのファイアウォールロゴを解除する方法 1. パソコン起動画面の横にある「スタート」メニューボタンを右クリックし、ポップアップメニューから「コントロールパネル」機能を選択します。 2. 次に、[ユーザーアカウント] オプションを選択し、表示される新しいインターフェイスから [ユーザーアカウント制御設定の変更] 項目を選択します。 3. ウィンドウ内のスライダーを一番下まで調整した後、「確認」をクリックして終了します。

See all articles