방화벽 NAT 제어 분석 구현 방법
하나. NAT 분류
NAT No-pat: Cisco의 동적 변환과 유사하게 소스 IP 주소와 네트워크 주소만 변환하고 포트는 변환하지 않으며 공용 IP 주소를 저장할 수 없습니다. 거의 사용되지 않습니다
NAPT: (네트워크 주소 및 포트 변환)은 Cisco의 PAT 변환과 유사합니다. NAPT는 메시지의 소스 주소를 변환하고 소스 포트를 변환합니다.
출력 인터페이스 주소: (Easy-IP) 변환 방법은 간단합니다. NAPT와 동일합니다. 즉, 소스 주소와 소스 포트를 다대일 변환에 속합니다.
스마트 NAT(지능형 변환): 공용 네트워크 주소를 예약하여 NAPT 변환
Triple NAT: 원본 IP 주소, 원본 du 포트 및 프로토콜 유형과 관련된 변환
두 번째, 블랙홀 라우팅
원본 주소 변환 시나리오의 루프 및 잘못된 ARP 문제
3, 서버 맵 테이블
FTP 데이터 해결 서버 맵 테이블을 통한 전송 문제
세션 테이블은 연결 상태를 포함한 연결 정보를 기록합니다
NAT에서 서버 맵 적용
포워드 항목은 외부 사용자를 활성화하는 데 사용되는 포트 정보를 전달합니다. 202.96.1.10 접속 시 Server-map 테이블을 통해 대상 주소 변환을 직접 수행하려면
역방향 항목은 포트 정보를 전달하지 않으며 대상 주소는 임의적입니다. 서버가 인터넷에 액세스할 수 있도록 하기 위해 사용되는 전제는 TCP 프로토콜이어야 합니다.
넷째, 메시지의 NAT 처리 흐름
NAT 구성(3가지 방법)
(1)NAT No-pat
기본 경로 사용
보안 정책 구성
NAT 주소 그룹을 구성합니다. 주소 그룹, 주소는 공용 IP에 해당합니다
NAT 정책 구성
변환된 전역 주소에 대한 블랙홀 라우팅 구성(NAT 주소 그룹의 주소) 
PC1을 사용하여 PC2를 ping합니다. []
3개의 빨간색 상자는 소스 주소, 변환된 주소, 액세스된 주소를 나타냅니다
서버 맵 테이블도 볼 수 있습니다
(2) NAPT 구성
여전히 위 그림에서 NAPT를 다시 실행하세요.
IP 구성
보안 정책 구성
NAT 주소 그룹 구성, 주소 그룹은 공용 IP에 해당합니다
NAT 정책 구성 
라우팅 블랙홀 구성
PC1을 이용하여 외부 네트워크 PC2에 ping을 하여 결과 확인
(3) 아웃바운드 인터페이스 주소(Easy-IP)는 R1 라우터의 g0/0/1 인터페이스를 사용함 PC2 접속(재구성)
IP 구성
보안 정책 구성
NAT 정책 구성
변환된 R1 라우터 g0/0/1 인터페이스 IP에 접속된 것을 확인할 수 있음
다섯번째, 종합 case
요구 사항 :
금융 호스트는 no-pat를 통해 인터넷에 접속합니다(100.2.2.10-11 사용)
학부 호스트는 napt를 통해 인터넷에 접속합니다(100.2.2.12 사용)
기타 회사 부서는 g1/0/0을 통과해야 인터넷에 접속할 수 있습니다
dmz에 서버를 게시하도록 natserver 구성(100.2.2.9 사용)
1. 금융 호스트는 no-pat를 통해 인터넷에 액세스합니다.
1 네트워크 매개변수 및 라우팅 구성
[USG6000V1] int g1/0/2
[USG6000V1 -GigabitEthernet1/0/2] ip add 192.168.1.1 24
[USG6000V1-GigabitEthernet1/0/2] undo sh
Info: 인터페이스 GigabitEthernet1/0/2가 종료되지 않았습니다.
[USG6000V1-GigabitEthernet1/0/2 ] quit
[USG6000V1] int g1/0/0
[USG6000V1-GigabitEthernet1/0/0] ip add 100.1.1.2 30
[USG6000V1-GigabitEthernet1/0/0] undo sh
[USG6000V1-GigabitEthernet1/0/0] quit
[ USG6000V1] i proute-static 0.0.0.0 0.0.0.0 100.1.1.1
2. 보안 정책 구성
[USG6000V1] 방화벽 영역 신뢰
[USG6000V1-zone-trust] add int g1/0/2
[USG6000V1- zone-trust] ] quit
[USG6000V1] 방화벽 영역 untrust
[USG6000V1-zone-untrust] add int g1/0/0
[USG6000V1-zone-untrust] quit
[USG6000V1] security-policy
[USG6000V1-policy- security] 규칙 이름 sec_1
[USG6000V1-policy-security-rule-sec_1] 소스 주소 192.168.1.0 24
[USG6000V1-policy-security-rule-sec_1] 대상 영역 untrust
[USG6000V1-policy-security-rule- sec_1] 작업 허용
3 주소 풀의 주소는 공용 네트워크 주소
[USG6000V1-policy-security] quit
[USG6000V1] nat address-group natgroup
[USG6000V1-address-group]에 해당합니다. -natgroup] 섹션 0 100.2 .2.10 100.2.2.11
[USG6000V1-address-group-natgroup] 모드 no-pat local
[USG6000V1-address-group-natgroup]
4 nat 정책 구성
[USG6000V1] nat-policy
[USG6000V1-policy-nat ] 규칙 이름 natpolicy
[USG6000V1-policy-nat-rule-natpolicy] 소스 주소 192.168.1.0 24
[USG6000V1-policy-nat-rule-natpolicy] 대상 영역 untrust
[USG6000V1-policy -nat-rule-natpolicy 작업 nat address-group natgroup 1]ip Route-static 100.2 .2.10 32 null 0
[USG6000V1] ip Route-static 100.2.2.11 32 null 0
6.r1 구성(isp)시스템 보기에 들어가서 Ctrl+Z를 눌러 사용자 보기로 돌아갑니다.
[Huawei] sysname r1
[r1] 실행 취소 정보 ena
[r1] int g0/0/0
[r1-GigabitEthernet0/0/0] ip add 100.1.1.1 30
[r1-GigabitEthernet0/0/0] int g0/0/ 1
[r1-GigabitEthernet0/0/1] ip 추가 200.1.1.1 24
[r1-GigabitEthernet0/0/1] sh
[ 실행 취소 r1-GigabitEthernet0/0/1] quit
[r1] ip Route-static 100.2.2.8 29 100.1.1.2
7. 테스트: 금융 클라이언트에서 인터넷 서버에 접속합니다.
2. 학과 호스트가 인터넷에 접속합니다. napt를 통해(100.2.2.12 사용)1. 네트워크 매개변수 구성
[USG6000V1] int g1/ 0/3[USG6000V1-GigabitEthernet1/0/3] ip add 192.168.2.1 24[USG6000V1-GigabitEthernet1/0/ 3 ] quit
[USG6000V1] 방화벽 영역 trust
[USG6000V1-zone-trust] add int g1/0 /3
[USG6000V1-zone-trust]q uit
2 보안 정책 구성
[USG6000V1] security-policy
[USG6000V1 -policy-security-rule-sec_2] 소스 주소 192.168.2.0 24
[USG6000V1-policy-security-rule-sec_2] 대상 영역 untrust
[USG6000V1-policy-security-rule-sec_2] 작업 허용
[USG6000V1- policy-security-rule-sec_2] quit
3. nat 주소 그룹 구성
[USG6000V1] nat address -group natgroup_2.0
[USG6000V1-address-group-natgroup_2.0] 섹션 0 100.2.2.12 100.2.2.12
[USG6000V1 -address-group-natgroup_2.0] 모드 pat
[USG6000V1-address-group-natgroup_2.0 ] quit
4. nat 정책 구성
[USG6000V1] nat-policy
[USG6000V1-policy-nat] 규칙 이름 natpolicy_2.0
[USG6000V1-policy-nat-rule-natpolicy_2.0] 소스 주소 192.168.2.0 24
[USG6000V1-policy-nat-rule-natpolicy_2.0] 대상 영역 비신뢰
[USG6000V1-policy-nat-rule-natpolicy_2 .0] action nat address-group natgroup_2.0
[USG6000V1-policy-nat-rule-natpolicy_2 .0] quit
[USG6000V1-policy-nat] quit
5 변환된 전역 주소에 대한 블랙홀 경로를 구성합니다
[ USG6000V1] ip Route-static 100.2.2.12 32 null 0
6. nat 구성을 확인하세요
.
3 아웃바운드 인터페이스 주소(easy-ip)를 사용하면 회사의 다른 부서에서 g1/0/을 통해 인터넷에 액세스할 수 있습니다. 0
1. 네트워크 매개변수 구성[USG6000V1] int g1/0/4
[USG6000V1-GigabitEthernet1/0/4 ] ip add 192.168.3.1 24[USG6000V1-GigabitEthernet1/0/4] quit
[USG600 0V1] Firewall zone trust
[USG6000V1-zone-trust] add int g1/0/4
[USG6000V1-zone-trust]
2 .보안 정책 구성
[USG6000V1] security-policy
[USG6000V1-policy-security] 규칙 이름 sec_3
[USG6000V1-policy-security-rule-sec_3] 소스 주소 192.168.3.0 24
[USG6000V1-policy-security-rule-sec_3] 대상 영역 untrust
[USG6000V1-policy-security-rule-sec_3] 작업 허용
[ USG6000V1-policy-security-rule-sec_3] quit
[USG6000V1-policy-security] quit
3.配置nat策略
[USG6000V1] nat-policy
[USG6000V1-policy-nat] 규칙 이름 natpolicy_3.0
[USG6000V 1- 정책-nat-rule-natpolicy_3.0] 소스 주소 192.168.3.0 24
[USG6000V1-policy-nat-rule-natpolicy_3.0] 대상 영역 untrust
[USG6000V1-policy-nat-rule-natpolicy_3.0] 작업 nat easy-IP
[USG6000V1-Policy-Nat-Rule-Natpolicy_3.0] quit
[USG6000V1-Policy-Nat] quit
4. 验证 Easy-IP
1 찾고 Ping 测试 测试
、 配置 Natserver 发布 DMZ中的服务器(使用100.2.2.9)
1.配置网络参数
[USG6000V1-GigabitEthernet1/0/0] int g1/0/1
[USG6000V1-GigabitEthernet1/0/1] ip add 192. 168.0.1 24
[ USG6000V1-GigabitEthernet1/0/1] quit
[USG6000V1] 방화벽 영역 dmz
[USG6000V1-zone-dmz] add int g1/0/1
[USG6000V1-zone-dmz] quit
2.配置안전전策略
[USG6000V 1] security-policy
[USG6000V1-policy-security] 규칙 이름 sec_4
[USG6000V1-policy-security-rule-sec_4] 소스 영역 untrust
[USG6000V1-policy-security-rule-sec_4] 대상 주소 192.168.0.0 24
[USG6000V1-policy-security-rule-sec_4] 작업 허용
[USG6000V1-policy-security] quit
3.配置ftp应用层检测(此步骤可以省略,默认已经开启)
[USG60 00V1] 방화벽 상호 신뢰 불신
[ USG6000V1-interzone-trust-untrust] ftp
감지[USG6000V1-interzone-trust-untrust] quit
4.配置nat server
[USG6000V1] nat server natserver global 100.2.2.9 inside 192.168.0.2
5.配置黑洞路由
[ USG6000V1] ip 경로 고정 100.2.2.9 32 null 0
6.验证
1)지금 互联网主机上访问dmz中的服务器
1. 네트워크 매개변수 구성 
위 내용은 방화벽 NAT 제어 분석 구현 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
뜨거운 주제
7465
15
1376
52
77
11
45
19
18
19
OneDrive에서 '오류: 0x80070185, 클라우드 작업에 실패했습니다'를 해결하는 방법
May 16, 2023 pm 04:26 PM
OneDrive는 Microsoft에서 제공하는 널리 사용되는 클라우드 저장소 응용 프로그램입니다. 우리 대부분은 OneDrive를 사용하여 파일, 폴더, 문서 등을 저장합니다. 그러나 일부 사용자는 OneDrive에서 공유 파일에 액세스하려고 할 때 "오류: 0x80070185, 클라우드 작업이 실패했습니다"라는 오류가 표시된다고 불평했습니다. 따라서 OneDrive에서 파일 복사, 붙여넣기, 공유 파일 다운로드 등의 작업을 수행할 수 없습니다. 요즘에는 일상 업무에서 이러한 작업을 사용해야 합니다. 이 오류는 쉽게 해결할 수 있으며 이를 위해 적용하고 문제를 해결하려고 시도할 수 있는 몇 가지 방법이 있습니다. 시작하자! 방법 1 - 로그아웃한 후 OneDrive 앱 단계에 다시 로그인
게임에 대한 NAT Boost와 Qos 중 어느 것이 더 낫습니까?
Feb 19, 2024 pm 07:00 PM
거의 모든 게임이 온라인으로 진행되는 오늘날의 상황에서 홈 네트워크의 최적화를 무시하는 것은 바람직하지 않습니다. 거의 모든 라우터에는 사용자의 게임 경험을 향상시키도록 설계된 NATBoost 및 QoS 기능이 탑재되어 있습니다. 이 기사에서는 NATBoost 및 QoS의 정의, 장점 및 단점을 살펴보겠습니다. 게임에 대한 NATBoost와 Qos 중 어느 것이 더 낫습니까? 네트워크 주소 변환 부스트(Network Address Translation Boost)라고도 알려진 NATBoost는 성능을 향상시키는 라우터에 내장된 기능입니다. 이는 게임 장치와 서버 간에 데이터가 전송되는 데 걸리는 시간인 네트워크 대기 시간을 줄이는 데 도움이 되기 때문에 게임에 특히 중요합니다. NATBoost는 라우터 내의 데이터 처리 방법을 최적화하여 더 빠른 데이터 처리 속도와 더 낮은 대기 시간을 달성하여
Windows 10 브라우저에서 문법이 작동하지 않는 경우의 8가지 주요 수정 사항
May 05, 2023 pm 02:16 PM
Windows 10 또는 11 PC에 구문 문제가 있는 경우 이 문서가 문제 해결에 도움이 될 것입니다. Grammarly는 문법, 철자법, 명확성 등을 수정하는 가장 인기 있는 타이핑 도우미 중 하나입니다. 이는 글쓰기 전문가에게 필수적인 부분이 되었습니다. 그러나 제대로 작동하지 않으면 매우 실망스러운 경험이 될 수 있습니다. 많은 Windows 사용자는 이 도구가 자신의 컴퓨터에서 제대로 작동하지 않는다고 보고했습니다. 우리는 심층 분석을 수행하여 이 문제의 원인과 해결책을 찾았습니다. 내 PC에서 Grammarly가 작동하지 않는 이유는 무엇입니까? 몇 가지 일반적인 이유로 인해 PC의 문법이 제대로 작동하지 않을 수 있습니다. 여기에는 다음이 포함됩니다.
Win11 방화벽 고급 설정 회색 솔루션
Dec 24, 2023 pm 07:53 PM
방화벽을 설정할 때 많은 친구들이 win11 방화벽 고급 설정이 회색으로 표시되어 클릭할 수 없다는 사실을 알게 됩니다. 이는 컨트롤 유닛을 추가하지 않았거나, 고급 설정을 올바른 방법으로 열지 않았기 때문에 발생할 수 있습니다. 해결 방법을 살펴보겠습니다. Win11 방화벽 고급 설정이 회색으로 표시됩니다. 방법 1: 1. 먼저 아래 시작 메뉴를 클릭하고 상단의 "제어판"을 검색하여 엽니다. 2. 그런 다음 "Windows Defender 방화벽"을 엽니다. 3. 입력한 후 "고급"을 열 수 있습니다. 설정'을 왼쪽 열에 표시합니다. 방법 2: 1. 위의 방법을 열 수 없는 경우 "시작 메뉴"를 마우스 오른쪽 버튼으로 클릭하고 "실행"을 엽니다. 2. 그런 다음 "mmc"를 입력하고 Enter를 눌러 열기를 확인합니다. 3. 개봉 후 좌측상단 클릭
수정: Windows 11 방화벽이 프린터를 차단합니다.
May 01, 2023 pm 08:28 PM
방화벽은 네트워크 트래픽을 모니터링하고 특정 프로그램 및 하드웨어에 대한 네트워크 연결을 차단할 수 있습니다. Windows 11에는 웹에 대한 프린터 액세스를 차단할 수 있는 자체 Windows Defender 방화벽이 포함되어 있습니다. 따라서 영향을 받는 사용자는 방화벽이 차단하면 Brother 프린터를 사용할 수 없습니다. 이 문제는 다른 브랜드에도 영향을 미치지만 오늘은 해결 방법을 알려 드리겠습니다. 내 Brother 프린터가 방화벽에 의해 차단되는 이유는 무엇입니까? 이 문제에는 여러 가지 원인이 있으며, 프린터가 네트워크에 액세스하려면 먼저 특정 포트를 열어야 할 가능성이 높습니다. 프린터 소프트웨어도 문제를 일으킬 수 있으므로 해당 소프트웨어와 프린터 드라이버를 업데이트하시기 바랍니다. 방법을 알아보려면 계속 읽어보세요.
Alpine Linux에서 방화벽을 활성화하거나 비활성화하는 방법은 무엇입니까?
Feb 21, 2024 pm 12:45 PM
AlpineLinux에서는 iptables 도구를 사용하여 방화벽 규칙을 구성하고 관리할 수 있습니다. AlpineLinux에서 방화벽을 활성화 또는 비활성화하는 기본 단계는 다음과 같습니다. 방화벽 상태를 확인하십시오: sudoiptables -L 출력에 규칙이 표시되면(예: 일부 INPUT, OUTPUT 또는 FORWARD 규칙이 있음) 방화벽이 활성화된 것입니다. 출력이 비어 있으면 방화벽이 현재 비활성화된 것입니다. 방화벽 활성화: sudoiptables-PINPUTACCEPTsudoiptables-POUTPUTACCEPTsudoiptables-PFORWARDAC
Windows 11 정품 인증 시 오류 코드 0xc004f074를 해결하세요.
May 08, 2023 pm 07:10 PM
PC에 최신 운영 체제를 설치한 후 Windows 11을 정품 인증하는 것이 주요 작업입니다. Windows 11 운영 체제의 진정한 잠재력을 발휘할 뿐만 아니라, 귀찮은 "Windows 11 활성화" 메시지도 제거합니다. 그러나 일부 사용자의 경우 Windows 11 정품 인증 오류 0xc004f074로 인해 정품 인증이 원활하게 진행되지 않습니다. 이 버그는 사용자가 Windows 11을 활성화하는 것을 방해하고 기능이 제한된 운영 체제를 사용하도록 강제합니다. Windows 11 정품 인증 오류 코드 0xc004f074는 키 관리 서비스와 관련이 있습니다. KMS를 사용할 수 없을 때 이 문제가 발생합니다. 좋습니다. 이번 튜토리얼은 여기까지입니다
Win10 바탕 화면 아이콘에서 방화벽 로고를 제거하는 방법은 무엇입니까?
Jan 01, 2024 pm 12:21 PM
win10 시스템을 사용하는 많은 친구들이 컴퓨터 바탕 화면의 아이콘에 방화벽 로고가 있다는 것을 발견했습니다. 무슨 일이 일어나고 있는 걸까요? 이로 인해 강박 장애가 있는 많은 친구들이 실제로 제어판만 열어도 불편해집니다. "사용자 계정 컨트롤 설정 변경"을 변경하면 문제가 해결될 수 있습니다. 구체적인 튜토리얼을 살펴보겠습니다. Windows 10 바탕 화면 아이콘의 방화벽 로고를 취소하는 방법 1. 먼저 컴퓨터 시작 화면 옆에 있는 시작 메뉴 버튼을 마우스 오른쪽 버튼으로 클릭한 후 팝업 메뉴에서 제어판 기능을 선택합니다. 2. 그런 다음 "사용자 계정" 옵션을 선택하고 나타나는 새 인터페이스에서 "사용자 계정 컨트롤 설정 변경" 항목을 선택하십시오. 3. 창의 슬라이더를 하단으로 조정한 후 확인을 클릭하여 종료합니다.
