如何实现防火墙NAT控制分析-安全-PHP中文网

首页

运维

安全

如何实现防火墙NAT控制分析

王林

May 28, 2023 pm 01:04 PM

防火墙 nat

一。NAT分类
NAT No-pat：类似于Cisco的动态转换，只转化源IP地址，网络地址，不转化端口，属于多对多转换，不能节约公网IP地址，使用较少
NAPT：（网络地址和端口转换）类似与Cisco的PAT转换，NAPT即转换报文的源地址，又转换源端口，
出接口地址：（Easy-IP）转换方式简单，和NAPT一样，即转换源地址又转换源端口，属于多对一转换
Smart NAT（智能转换）：通过预留一个公网地址进行NAPT转换
三元组NAT：与源IP地址，源du端口和协议类型有关的一种转换
二，黑洞路由
源地址转换场景下的环路和无效ARP问题
如何实现防火墙NAT控制分析

三，Server-map表
通过Server-map表解决FTP数据传输问题

会话表记录的是连接信息，包括连接状态

Server-map在NAT中的应用

正向条目携带端口信息，用来使外部用户访问202.96.1.10时直接通过Server-map表进行目标地址转换
反向条目不携带端口信息，且目标地址时任意的，用来使服务器可以访问互联网前提是必须是TCP协议，
四，NAT对报文的处理流程
如何实现防火墙NAT控制分析
NAT配置（三种方法）

(1)NAT No-pat

走一条默认路由
配置安全策略

配置NAT地址组，地址组中，地址对应的是公网IP

配置NAT策略

针对转换后的全局地址（NAT地址组中的地址）配置黑洞路由

验证NAT配置，用PC1可以ping外网的PC2，可以查看会话表![] 如何实现防火墙NAT控制分析
三个红框表示为源地址，转化的地址，访问的地址
也可以查看Server-map表

（2）NAPT的配置
还是上面的图，重做NAPT
配置IP
如何实现防火墙NAT控制分析

配置安全策略

配置NAT地址组，地址组中对应的是公网IP

配置NAT策略

配置路由黑洞

验证结果用PC1ping外网PC2

（3）出接口地址（Easy-IP）就是用R1路由器的g0/0/1的接口去访问PC2（重新配置）
配置IP

配置安全策略
如何实现防火墙NAT控制分析
配置NAT策略

验证可以发现，都是转换的R1路由器g0/0/1接口IP去访问的

五，综合案例
要求：

财务主机通过no-pat访问internet（使用100.2.2.10-11）
学术部主机通过napt访问internet（使用100.2.2.12）
公司其它部门通过g1/0/0访问internet
配置natserver发布dmz中的服务器（使用100.2.2.9）

一、财务主机通过no-pat访问internet
1.配置网络参数及路由
[USG6000V1] int g1/0/2
[USG6000V1-GigabitEthernet1/0/2] ip add 192.168.1.1 24
[USG6000V1-GigabitEthernet1/0/2] undo sh
Info: Interface GigabitEthernet1/0/2 is not shutdown.
[USG6000V1-GigabitEthernet1/0/2] quit
[USG6000V1] int g1/0/0
[USG6000V1-GigabitEthernet1/0/0] ip add 100.1.1.2 30
[USG6000V1-GigabitEthernet1/0/0] undo sh
[USG6000V1-GigabitEthernet1/0/0] quit
[USG6000V1] i proute-static 0.0.0.0 0.0.0.0 100.1.1.1
2.配置安全策略
[USG6000V1] firewall zone trust
[USG6000V1-zone-trust] add int g1/0/2
[USG6000V1-zone-trust] quit
[USG6000V1] firewall zone untrust
[USG6000V1-zone-untrust] add int g1/0/0
[USG6000V1-zone-untrust] quit
[USG6000V1] security-policy
[USG6000V1-policy-security] rule name sec_1
[USG6000V1-policy-security-rule-sec_1] source-address 192.168.1.0 24
[USG6000V1-policy-security-rule-sec_1] destination-zone untrust
[USG6000V1-policy-security-rule-sec_1] action permit
3.配置nat地址组，地址池中的地址对应的是公网地址
[USG6000V1-policy-security] quit
[USG6000V1] nat address-group natgroup
[USG6000V1-address-group-natgroup] section 0 100.2.2.10 100.2.2.11
[USG6000V1-address-group-natgroup] mode no-pat local
[USG6000V1-address-group-natgroup]
4.配置nat策略
[USG6000V1] nat-policy
[USG6000V1-policy-nat] rule name natpolicy
[USG6000V1-policy-nat-rule-natpolicy] source-address 192.168.1.0 24
[USG6000V1-policy-nat-rule-natpolicy] destination-zone untrust
[USG6000V1-policy-nat-rule-natpolicy] action nat address-group natgroup
[USG6000V1-policy-nat-rule-natpolicy] quit
[USG6000V1-policy-nat] quit
5.针对转换后的全局地址配置黑洞路由
[USG6000V1] ip route-static 100.2.2.10 32 null 0
[USG6000V1] ip route-static 100.2.2.11 32 null 0
6.配置r1（isp）
sys
Enter system view, return user view with Ctrl+Z.
[Huawei] sysname r1
[r1] undo info ena
[r1] int g0/0/0
[r1-GigabitEthernet0/0/0] ip add 100.1.1.1 30
[r1-GigabitEthernet0/0/0] int g0/0/1
[r1-GigabitEthernet0/0/1] ip add 200.1.1.1 24
[r1-GigabitEthernet0/0/1] undo sh
[r1-GigabitEthernet0/0/1] quit
[r1] ip route-static 100.2.2.8 29 100.1.1.2
7.测试：从财务客户机上访问internet服务器

二、学术部主机通过napt访问internet（使用100.2.2.12）
1.配置网络参数
[USG6000V1] int g1/0/3
[USG6000V1-GigabitEthernet1/0/3] ip add 192.168.2.1 24
[USG6000V1-GigabitEthernet1/0/3] quit
[USG6000V1] firewall zone trust
[USG6000V1-zone-trust] add int g1/0/3
[USG6000V1-zone-trust]q uit
2.配置安全策略
[USG6000V1] security-policy
[USG6000V1-policy-security-rule-sec_2] source-address 192.168.2.0 24
[USG6000V1-policy-security-rule-sec_2] destination-zone untrust
[USG6000V1-policy-security-rule-sec_2] action permit
[USG6000V1-policy-security-rule-sec_2] quit
3.配置nat地址组
[USG6000V1] nat address-group natgroup_2.0
[USG6000V1-address-group-natgroup_2.0] section 0 100.2.2.12 100.2.2.12
[USG6000V1-address-group-natgroup_2.0] mode pat
[USG6000V1-address-group-natgroup_2.0] quit
4.配置nat策略
[USG6000V1] nat-policy
[USG6000V1-policy-nat] rule name natpolicy_2.0
[USG6000V1-policy-nat-rule-natpolicy_2.0] source-address 192.168.2.0 24
[USG6000V1-policy-nat-rule-natpolicy_2.0] destination-zone untrust
[USG6000V1-policy-nat-rule-natpolicy_2.0] action nat address-group natgroup_2.0
[USG6000V1-policy-nat-rule-natpolicy_2.0] quit
[USG6000V1-policy-nat] quit
5.针对转换后的全局地址，配置黑洞路由
[USG6000V1] ip route-static 100.2.2.12 32 null 0
6.验证nat配置
.
三、出接口地址（easy-ip）使公司其它部门通过g1/0/0访问internet

1.配置网络参数
[USG6000V1] int g1/0/4
[USG6000V1-GigabitEthernet1/0/4] ip add 192.168.3.1 24
[USG6000V1-GigabitEthernet1/0/4] quit
[USG6000V1] firewall zone trust
[USG6000V1-zone-trust] add int g1/0/4
[USG6000V1-zone-trust]
2.配置安全策略
[USG6000V1] security-policy
[USG6000V1-policy-security] rule name sec_3
[USG6000V1-policy-security-rule-sec_3] source-address 192.168.3.0 24
[USG6000V1-policy-security-rule-sec_3] destination-zone untrust
[USG6000V1-policy-security-rule-sec_3] action permit
[USG6000V1-policy-security-rule-sec_3] quit
[USG6000V1-policy-security] quit
3.配置nat策略
[USG6000V1] nat-policy
[USG6000V1-policy-nat] rule name natpolicy_3.0
[USG6000V1-policy-nat-rule-natpolicy_3.0] source-address 192.168.3.0 24
[USG6000V1-policy-nat-rule-natpolicy_3.0] destination-zone untrust
[USG6000V1-policy-nat-rule-natpolicy_3.0] action nat easy-ip
[USG6000V1-policy-nat-rule-natpolicy_3.0] quit
[USG6000V1-policy-nat] quit
4.验证easy-ip
1）ping测试

四、配置natserver发布dmz中的服务器（使用100.2.2.9）
1.配置网络参数
[USG6000V1-GigabitEthernet1/0/0] int g1/0/1
[USG6000V1-GigabitEthernet1/0/1] ip add 192.168.0.1 24
[USG6000V1-GigabitEthernet1/0/1] quit
[USG6000V1] firewall zone dmz
[USG6000V1-zone-dmz] add int g1/0/1
[USG6000V1-zone-dmz] quit
2.配置安全策略
[USG6000V1] security-policy
[USG6000V1-policy-security] rule name sec_4
[USG6000V1-policy-security-rule-sec_4] source-zone untrust
[USG6000V1-policy-security-rule-sec_4] destination-address 192.168.0.0 24
[USG6000V1-policy-security-rule-sec_4] action permit
[USG6000V1-policy-security] quit
3.配置ftp应用层检测（此步骤可以省略，默认已经开启）
[USG6000V1] firewall inter trust untrust
[USG6000V1-interzone-trust-untrust] detect ftp
[USG6000V1-interzone-trust-untrust] quit
4.配置nat server
[USG6000V1] nat server natserver global 100.2.2.9 inside 192.168.0.2
5.配置黑洞路由
[USG6000V1] ip route-static 100.2.2.9 32 null 0
6.验证
1）在互联网主机上访问dmz中的服务器

以上是如何实现防火墙NAT控制分析的详细内容。更多信息请关注PHP中文网其他相关文章！

本站声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

热AI工具

Undresser.AI Undress

人工智能驱动的应用程序，用于创建逼真的裸体照片

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

免费脱衣服图片

Clothoff.io

AI脱衣机

AI Hentai Generator

免费生成ai无尽的。

显示更多

热工具

记事本++7.3.1

好用且免费的代码编辑器

SublimeText3汉化版

中文版，非常好用

禅工作室 13.0.1

功能强大的PHP集成开发环境

Dreamweaver CS6

视觉化网页开发工具

SublimeText3 Mac版

神级代码编辑软件(SublimeText3)

显示更多

热门话题

gmail邮箱登陆入口在哪里

7428

CakePHP 教程

1359

steam的账户名称是什么格式

win11激活密钥永久

显示更多

Related knowledge

如何修复OneDrive中的“错误：0x80070185，云操作不成功” May 16, 2023 pm 04:26 PM

OneDrive是微软提供的流行的云存储应用程序。我们大多数人使用OneDrive来存储我们的文件，文件夹，文档等。但是一些用户抱怨说，当他们尝试访问OneDrive上的共享文件时，它会给出错误，指出“错误：0x80070185，云操作不成功”。因此，他们无法在OneDrive上执行任何操作，例如复制文件，粘贴，下载共享文件等。如今，有必要在我们的日常工作中使用这些操作。此错误可以轻松解决，为此，我们有一些方法可以应用并尝试解决问题。让我们开始吧！方法1–注销并重新登录到OneDrive应用步骤

NAT Boost与游戏的Qos；哪个更好？ Feb 19, 2024 pm 07:00 PM

在当下几乎所有游戏都在线的情况下，忽视家庭网络的优化是不可取的。几乎所有路由器都配备了NATBoost和QoS功能，旨在提升用户的游戏体验。本文将探讨NATBoost和QoS的定义、优势和劣势。NATBoost与游戏的Qos；哪个更好？NATBoost，又称网络地址转换Boost，是一种内置于路由器的功能，可提升其性能。对于游戏而言尤为重要，因为它有助于减少网络延迟，即游戏设备和服务器之间数据传输的时间。通过优化路由器内的数据处理方式，NATBoost实现了更快的数据处理速度和更低的延迟，从而改

如果 Grammarly 无法在 Windows 10 浏览器上运行的 8 个重大修复 May 05, 2023 pm 02:16 PM

如果您在Windows10或11PC上遇到语法问题，本文将帮助您解决此问题。Grammarly是最流行的打字助手之一，用于修复语法、拼写、清晰度等。它已经成为写作专业人士必不可少的一部分。但是，如果它不能正常工作，它可能是一个非常令人沮丧的体验。许多Windows用户报告说此工具在他们的计算机上运行不佳。我们做了深入的分析，找到了这个问题的原因和解决方案。为什么Grammarly无法在我的PC上运行？由于几个常见原因，PC上的Grammarly可能无法正常工作。它包括以下内

win11防火墙高级设置灰色解决方法 Dec 24, 2023 pm 07:53 PM

很多朋友在设置防火墙的时候，发现自己的win11防火墙高级设置灰色了，无法点击。这可能是由于没有添加控制单元导致的，也可能是没有通过正确的方法打开高级设置，下面一起来看看怎么解决吧。win11防火墙高级设置灰色方法一：1、首先点击下方开始菜单，在上方搜索并打开“控制面板”2、接着打开其中的“Windowsdefender防火墙”3、进入后，在左边栏就可以打开“高级设置”了。方法二：1、如果上面方法也打不开，可以右键“开始菜单”，打开“运行”2、然后输入“mmc”回车确定打开。3、打开后，点击左上

如何在 Alpine Linux 上启用或禁用防火墙？ Feb 21, 2024 pm 12:45 PM

在AlpineLinux上，你可以使用iptables工具来配置和管理防火墙规则。以下是在AlpineLinux上启用或禁用防火墙的基本步骤：检查防火墙状态：sudoiptables-L如果输出结果中显示有规则（例如，有一些INPUT、OUTPUT或FORWARD规则），则表示防火墙已启用。如果输出结果为空，则表示防火墙当前处于禁用状态。启用防火墙：sudoiptables-PINPUTACCEPTsudoiptables-POUTPUTACCEPTsudoiptables-PFORWARDAC

解决 Windows 11 激活时出现的错误代码 0xc004f074。 May 08, 2023 pm 07:10 PM

在您的PC上安装最新的操作系统后，激活您的Windows11副本是主要的工作。它不仅释放了Windows11操作系统的真正潜力，而且还摆脱了“激活你的Windows11”的恼人消息。但是，对于一些用户来说，Windows11激活错误0xc004f074阻碍了激活的顺利进行。此错误明显阻止用户激活Windows11并强制他们使用功能有限的操作系统。Windows11激活错误代码0xc004f074与密钥管理服务有关。当KMS不可用时，您将遇到此问题。好吧，这就是本教程

修复：Windows 11 防火墙阻止打印机 May 01, 2023 pm 08:28 PM

防火墙监控网络流量，并可以阻止某些程序和硬件的网络连接。Windows11包含自己的WindowsDefender防火墙，可能会阻止打印机访问Web。因此，当防火墙阻止时，受影响的用户无法使用他们的Brother打印机。请记住，此问题也会影响其他品牌，但今天我们将向您展示如何解决该问题。为什么我的Brother打印机被防火墙阻止了？此问题有多种原因，您很可能需要先打开某些端口，然后您的打印机才能访问网络。打印机软件也可能导致问题，因此请务必更新它以及您的打印机驱动程序。继续阅读以了解如

如何移除Win10桌面图标上的防火墙标志? Jan 01, 2024 pm 12:21 PM

很多使用win10系统的小伙伴发现，电脑桌面的图标上有防火墙的标志，这是什么情况呢?这让很多有强迫症的小伙伴特别难受，其实我们只要打开控制面板，在用户账户中的“更改用户账户控制设置”更改就可以解决了，具体的教程一起来看看吧。win10桌面图标有防火墙标志怎么取消1、首先，通过鼠标右键点击计算机开机画面旁的开始菜单按钮，然后从弹出的菜单中选取控制面板功能。2、紧接着选择其中的“用户账户”选项，从接下来出现的新界面中选择“更改用户账户控制设置”这一项目。3、在调整窗口中的滑块至底部之后，点击确认退出

See all articles

如何实现防火墙NAT控制分析

热AI工具

Undresser.AI Undress

AI Clothes Remover

Undress AI Tool

Clothoff.io

AI Hentai Generator

热门文章

热工具

记事本++7.3.1

SublimeText3汉化版

禅工作室 13.0.1

Dreamweaver CS6

SublimeText3 Mac版

热门话题