华为防火墙的NAT介绍及配置详解(华为ensp防火墙nat配置实例)

网友投稿 2883 2022-09-24


华为防火墙的NAT介绍及配置详解(华为ensp防火墙nat配置实例)

一、华为防火墙NAT的六个分类

华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少。 NAPT(Network Address and Port Translation,网络地址和端口转换):类似于Cisco的PAT转换,NAPT即转换报文的源地址,又转换源端口。转换后的地址不能是外网接口IP地址,属于多对多或多对一转换,可以节约公网IP地址,使用场景较多。 出接口地址(Easy-IP):因其转换方式非常简单,所以也被称为Easy-IP、和NAPT一样,即转换源IP地址,又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址,属于多对一转换,可以节约IP地址。 NAT Server:静态一对一发布,主要用于内部服务器需要对Internet提供服务时使用,。 Smart NAT(智能转换):通过预留一个公网地址进行NAPT转换,而其他的公网地址用来进行NAT No-PAT转换,该方式不太常用。 三元组NAT:与源IP地址、源端口和协议类型有关的一种转换,将源IP地址和源端口转换为固定公网IP地址和端口,能解决一些特殊应用在普遍NAT中无法实现的问题。主要应用于外部用户访问局域网的一些P2P应用。

NAT Server(粗泛):是NAT Server转换类型中的一种,表示源地址和转换后的地址只有简单的映射关系,没有涉及端口等映射,如源地址为192.168.1.2,转换后的地址为33.2.55.6,如果做的是NAT Server(粗泛)这种类型的NAT,那么所有访问33.2.55.6的数据包都将转发给192.168.1.2这个地址。 NAT Server(精细):也是NAT Server转换类型中的一种,表示源地址和转换后的地址映射关系,已经具体定位到某个端口,如:源地址为192.168.1.2,转换后的地址为33.2.55.6,做了NAT Server(精细)的NAT转换,那么可能是访问33.2.55.6的FTP流量(21端口)会转发到192.168.1.2这个地址,但若访问33.2.55.6的Web流量(80/443端口),就不一定还是转发到192.168.1.2这个地址,可以说NAT Server(精细)是基于端口的NAT转换。

三、server-map表的作用我们都知道,状态化防火墙中会有一张表叫做会话表,用来记录的是内网访问外网时的一个连接信息,当外网返回的数据匹配到会话表的记录时,直接放行相关返回流量。

那么server-map表又是什么呢?具体解释其原理的话,可能又是一大篇,写了也不一定能写明白,写明白了你们也不一定看懂,看懂了你们也不一定会打赏,哈哈,不开玩笑了,直接总结对比一下server-map表和会话表的区别吧,

区别如下: 会话表记录的是连接信息,包括连接状态。 server-map表记录的不是当前的连接信息,而是通过分析当前连接的报文后得到的信息,该信息用来解决接下来的数据流通过防火墙的问题。可以将server-map表的作用理解为通过未雨绸缪解决将来的问题,如像FTP这种的多端口协议,在从一开始的三次握手,到最后完成数据的传输,其过程中,可能端口会发生改变等问题,server-map正好可以解决这种问题。

然而在NAT中也需要这个server-map表,就是在有数据流量通过NAT的方式穿越防火墙时,server-map表会记录其源地址和转换后地址的对应关系,从而使后续流量可以不用查看NAT策略,直接匹配到server-map表,从而实现高效的NAT转换。若用户通过互联网访问转换后的地址时,也可以匹配到server-map表,从而高效的将数据转发到内网真实主机(必须保证安全策略允许通过)。

server-map表不用手动配置,是自动生成的,这里只是简单介绍下server-map表是个什么鬼。

正向条目携带端口信息,用来使Internet用户访问内网中的服务器时直接通过server-map表来进行目标地址转换。 反向条目(Reverse):不携带端口信息,且目标地址是任意的,用来使服务器可以访问Internet。

一个报文,一般在同一个网络设备上,只会存在一种转换条目,即要么转换源地址(除NAT-Server类型的NAT转换之外),要么转换目的地址(NAT-Server类型的NAT转换)。源地址和目的地址的转换不会同时存在同一个网络设备上。五、各种NAT类型的配置方法在文章开头的NAT分类中,Smart NAT(智能转换)和三元组NAT这两种NAT类型我也没有配置过,不太了解,所以无法将这两种的配置写下来,只能将前四种NAT类型写下来咯!一般够用了(前面介绍的黑洞路由及查看一些相关表的命令都将在配置过程中,写下来,请仔细看注释)。

sys [Huawei]in g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 100.1.1.1 30 [Huawei-GigabitEthernet0/0/0]in g0/0/1 [Huawei-GigabitEthernet0/0/1]ip add 200.1.1.1 24 [Huawei-GigabitEthernet0/0/1]quit [Huawei]ip route-static 100.2.2.8 29 100.1.1.2

2、防火墙配置如下:

sys [USG6000V1]in g1/0/0 [USG6000V1-GigabitEthernet1/0/0]ip add 100.1.1.2 30 [USG6000V1-GigabitEthernet1/0/0]in g1/0/4 [USG6000V1-GigabitEthernet1/0/4]ip add 192.168.3.1 24 [USG6000V1-GigabitEthernet1/0/4]in g1/0/3 [USG6000V1-GigabitEthernet1/0/3]ip add 192.168.2.1 24 [USG6000V1-GigabitEthernet1/0/3]in g1/0/2 [USG6000V1-GigabitEthernet1/0/2]ip add 192.168.1.1 24 [USG6000V1-GigabitEthernet0/0/0]in g1/0/1 [USG6000V1-GigabitEthernet1/0/1]ip add 192.168.0.1 24 [USG6000V1-GigabitEthernet1/0/1]quit [USG6000V1]ip route-static 0.0.0.0 0.0.0.0 100.1.1.1 [USG6000V1]firewall zone trust [USG6000V1-zone-trust]add in g1/0/4 [USG6000V1-zone-trust]add in g1/0/3 [USG6000V1-zone-trust]add in g1/0/2 [USG6000V1-zone-trust]quit [USG6000V1]firewall zone dmz [USG6000V1-zone-dmz]add in g1/0/1 [USG6000V1-zone-dmz]quit [USG6000V1]firewall zone untrust [USG6000V1-zone-untrust]add in g1/0/0

基础部分的配置至此结束。.开始配置各种类型的NAT:1、技术部属于trust区域,通过Easy-ip访问Internet。(1)防火墙配置如下:1)配置安全策略:

[USG6000V1]security-policy [USG6000V1-policy-security]rule name easy [USG6000V1-policy-security-rule-easy]source-zone trust [USG6000V1-policy-security-rule-easy]destination-zone untrust [USG6000V1-policy-security-rule-easy]action permit [USG6000V1-policy-security-rule-easy]quit [USG6000V1-policy-security]quit

2)配置NAT策略:

[USG6000V1]nat-policy [USG6000V1-policy-nat]rule name easypolicy [USG6000V1-policy-nat-rule-easypolicy]source-address 192.168.1.0 24 [USG6000V1-policy-nat-rule-easypolicy]source-zone trust [USG6000V1-policy-nat-rule-easypolicy]destination-zone untrust [USG6000V1-policy-nat-rule-easypolicy]action nat easy-ip [USG6000V1-policy-nat-rule-easypolicy]quit [USG6000V1-policy-nat]quit

现在就可以使用PC4 ping外网的200.1.1.2进行验证了,在ping的过程中查看会话表(时间长了该会话表将没有任何内容),可以看到具体的转换条目。

[USG6000V1]dis firewall session table Current Total Sessions : 5 icmp ×××: public --> public 192.168.3.2:28884[100.1.1.2:2051] --> 200.1.1.2:2:048 ..............................

注:Easy-ip类型的NAT不会产生server-map。2、配置行政部属于trust区域,通过NAPT访问internet(使用100.2.2.12/29)。由于在上面配置Easy-ip的NAT类型时,配置了安全策略,所以接下来trust区域访问untrust区域的流量就不用配置安全策略了。

(1)防火墙配置如下:1)配置NAT地址组,地址组中的地址对应的是公网地址100.2.2.12/29。

[USG6000V1]nat address-group napt [USG6000V1-address-group-napt]section 0 100.2.2.12 [USG6000V1-address-group-napt]mode pat [USG6000V1-address-group-napt]quit

2)配置NAT策略

[USG6000V1]nat-policy [USG6000V1-policy-nat]rule name napt [USG6000V1-policy-nat-rule-napt]source-address 192.168.2.0 24 [USG6000V1-policy-nat-rule-napt]source-zone trust [USG6000V1-policy-nat-rule-napt]destination-zone untrust [USG6000V1-policy-nat-rule-napt]action nat address-group napt

3)NAPT的NAT类型要配置黑洞路由,所以要针对转换后的全局地址100.2.2.12/32配置黑洞路由。

[USG6000V1]ip route-static 100.2.2.12 32 NULL 0

4)NAPT配置至此就完成了,可以自行验证,并查看会话表,查看是否转换为指定的地址。3、配置财务部属于trust区域,通过no-pat访问internet(使用100.2.2.10/29-100.2.2.11/29)(1)防火墙配置如下:

1)配置NAT地址组,地址组中的地址对应的是公网地址100.2.2.10--100.2.2.11:

[USG6000V1]nat address-group natnopat [USG6000V1-address-group-natnopat]section 0 100.2.2.10 100.2.2.11 [USG6000V1-address-group-natnopat]mode no-pat local [USG6000V1-address-group-natnopat]quit

2)配置NAT策略:

[USG6000V1]nat-policy [USG6000V1-policy-nat]rule name nopat [USG6000V1-policy-nat-rule-nopat]source-address 192.168.1.0 24 [USG6000V1-policy-nat-rule-nopat]source-zone trust [USG6000V1-policy-nat-rule-nopat]destination-zone untrust [USG6000V1-policy-nat-rule-nopat]action nat address-group natnopat [USG6000V1-policy-nat-rule-nopat]quit [USG6000V1-policy-nat]quit

3)针对转换后的全局地址(NAT地址组中的地址)配置黑洞路由:

[USG6000V1]ip route-static 100.2.2.10 32 NULL 0 [USG6000V1]ip route-static 100.2.2.11 32 NULL 0

至此,NAT No-PAT配置完成了,可以自行验证,并且会产生server-map表:

[USG6000V1]dis firewall server-map [USG6000V1]dis firewall session table

4、配置DMZ区域中的两台服务器配置NAT-Server发布,分别提供FTP服务及web服务(使用100.2.2.9/29)1)配置安全策略:

由于之前配置的是trust访问untrust区域的安全策略,所以对DMZ区域没关系,这里是要将DMZ区域的服务器发布出去,使Internet用户可以访问到这些服务器,所以应该放行UNtrust到DMZ区域相关服务的流量。

[USG6000V1-policy-security]rule name todmz [USG6000V1-policy-security-rule-todmz]source-zone untrust [USG6000V1-policy-security-rule-todmz]destination-zone dmz [USG6000V1-policy-security-rule-todmz]destination-address 192.168.0.0 24 [USG6000V1-policy-security-rule-todmz]service ftp [USG6000V1-policy-security-rule-todmz]service http [USG6000V1-policy-security-rule-todmz]action permit

2)配置NAT server:

[USG6000V1]nat server ftp protocol tcp global 100.2.2.9 21 inside 192.168.0.2 21 [USG6000V1]nat server protocol tcp global 100.2.2.9 80 inside 192.168.0.3 80

1、扩展一些NAT Server的其他配置类型:

[USG6000V1]nat server ftp1 protocol tcp global 100.2.2.14 2121 inside 192.168.0.2 21 [USG6000V1]nat server ftp1 protocol tcp global 100.2.2.14 21 inside 192.168.0.2 21 no-reverse [USG6000V1]nat server natserver global 100.2.2.19 inside 100.2.2.9

2、如何删除NAT Server:那么我们在配置NAT Server时,配置错误的话,想要删除掉,与别的配置删除不太一样,需要使用以下命令删除配置错误的NAT Server:

[USG6000V1]undo nat server name [USG6000V1]undo nat server ID 0


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:H3C产品简介及基础配置命令(H3C配置)
下一篇:MybatisPlus实现分页查询和动态SQL查询的示例代码
相关文章

 发表评论

暂时没有评论,来抢沙发吧~