首页 > 其他分享 >华为防火墙NAT源地址转换基础配置详解

华为防火墙NAT源地址转换基础配置详解

时间:2024-08-09 14:25:01浏览次数:14  
标签:源地址 转换 配置 防火墙 地址 NAT 服务器

   本次实验主要针对防火墙NAT基本的配置进行详解,内容主要有防火墙Easy IP NAT的基础配置和NAPT以及NO-PAT基本配置实验最后再通过防火墙NAT服务器映射转换。

1.1实验拓扑:

1.2 NAT实验地址规划表:

序号

设备名称

接口

IP地址/掩码

1

出口防火墙

GE0/0/0

192.168..1/24

GE1/0/1

202.100.22.22/24

GE1/0/0

192.168.22.254/24

2

互联网

GE0/0/0

202.100.22.1/24

GE0/0/1

61.128.22.254/24

1.3 服务器和客户端的基本IP配置;

1.4 路由器基本配置(在路由器各接口加入IP地址和子网掩码);

1.5防火墙基本配置

      首先在防火墙各接口加入IP地址和子网掩码,然后在根据实验要求在防火墙上配置所在区域并将接口加入,最后配置到路由器的缺省路由;

1.6 防火墙Easy IP NAT配置;

(1)首先要让实验正常进行并且具有测试性我们先对防火墙默认策略进行允许并且不再配置其他策略后利用服务器来对客户端进行PING测时发现,不能实现通信的,这时我们就需要用到Easy IP NAT(带接口的地址转换技术;

(2)当配置完Easy IP后再用服务器对客户端进行PING测时发现它们可以正常的进行通信了,这时再使用dis firewall session table verbose命令来查看会话表的详细信息会发现源地址被转为了防火墙的出口地址;

1.7 防火墙NAPT配置:

(1)上述配置完Easy IP后,根据实验要求再来进行NAPT的配置与测,NAPT是基于地址池的多对一映射网络地址和端口都做转换它相对于Easy IP的区别是NAPT是需要地址池的;

(2)当配置完成后再来用服务器对客户机进行PING测时可以正常通信的,接着再查看会话表来观测会发现NAPT将私有IP地址和端口号映射到公有IP地址和端口号来实现网络地址转换;

1.8 NO-PAT的NAT地址转换配置:

(1)上述配置NAPT是基于地址池多对一的地址转换,它不仅可以转换地址还可以进行端口的转换而NO-PAT只对IP地址做转换,地址没有强绑定关系,随机一对一的关系它是不带端口的转换;

(2)当配置完成后我们再来通过查看会话表的方式来对此次的实验进行一次验证可以清晰的发现源地址是转换成了公网地址而端口还是源端口并没有变这也就和它的原理一样说明实验是成功;

1.9 防火墙策略的配置:

当配置完不同的NAT后我们利用抓包工具和查看会话表详细信息来对每一个NAT进行验证和分析但这都是基于原先将允许防火墙默认策略下进行的为了更好的进行安全防御,接下来我们需要再防火墙上加入策略并拒绝默认策略;

2.防火墙NAT服务器映射转换:

    2.1 一对一的映射:

      (1)当配置完NAT后也就解决了内网转换公网的问题也让网络有了安全保障,这时我们发现当外网的客户机想访问内网的服务时不能有效的进行访问这时我们就用到服务器映射的转换也就是需要先在设备上配置公网地址和私网地址的固定映射关系让客户机可以通过公网地址来访问服务器所对应的服务;

(2)当配置完成一对一的NAT server映射后按照原理来说当客户机对服务器进行访问时它会使用到上述配置的外网地址来对服务器进行访问这也就提高了服务器的安全性,接下来在服务器分别配置HTTP服务和FTP服务后点击启动再使用客户机来对服务器上这两个服务进行访问是可以正常访问;

(3)上述用客户端测试访问服务器中的服务是可以正常访问到的这时我们再使用dis firewall server-map命令来查看Server-Map表这时设备将会生成该表,用于存放公网地址和私网地址的映射关系;

   2.2 服务器端口的映射:

    (1)配置完一对一的NAT server后我们经过测试发现该映射不仅可以访问FTP服务也可以访问其他服务这就存在了一定的安全问题,这时的端口映射就刚刚解决了这个问题,它不仅可以将服务器的地址进行映射还可以基于端口和服务(比如:它可以只允许客户机来访问指定的服务,而拒绝客户机访问其他服务)这样不仅可以精确到服务还提高了服务器的安全性;

  (2)在完成服务器端口的映射和对其server-map表查看后再来对其进行验证,首先我们的配置里只允许客户机访问服务器的FTP服务并且端口为2222现在我们用客户机访问不通的服务进行测试时发现与配置预期的相同;

3.实验数据及结果分析:

   (1) 防火墙Easy IP NAT配置;

       此次实验项目是让服务器上的地址转换为公网地址(也就是防火墙的出接口地址)Easy IP NAT不需要地址池是,但是带接口进行转换;

    (2)防火墙NAPT配置;

        此实验项目是在进行地址转换的同时还需进行端口转换,可以实现多个私网使用公网地址池里的IP地址来进行转换;

    (3) NO-PAT的NAT地址转换配置;

         NO-PAT的NAT地址转换和NAPT相似也是需要将私网的地址映射到地址池中的地址但是它最大的区别是不带端口的转换也就是源端口和转换后的端口是一致可以从会话表中清晰的看到;

(4)防火墙NAT服务器映射转换;

       ①一对一的映射

          它是将私网的服务器映射到一个公网的IP地址上,这样外网的用户就可以通过这个IP地址直接访问到内网的服务器;

      ②服务器端口的映射;

5.实验涉及的理论知识点的理解综述;

(1)NAT技术:是将 IP 数据报文报头中的IP 地址转换为另一个IP 地址的过程,主要用于实现内部网络(私有IP 地址)访问外部网络(公有IP 地址)的功能NAT 技术也就是在<私有地址+端口>与<公有地址+端口>之间进行相互转换。

(2)NO-PAT地址转换:是基于源 IP 地址的 NAT 是指对发起连接的IP报文头中的源地址进行转换。它可以实现内部用户访问外部网络的目的通过将内部主机的私有地址转换为公有地址,使多台主机使用合法地址访问外部资源,有效地隐藏了内部主机IP地址,起到了安全保护的作用。不带端口转换的通过配置 NAT 地址池来实现,NAT 地址池中可以包含多个公网地址。转换时只转换地址,不转换端口,实现私网地址到公网地址一对一的转换。如果地址池中的地址已经全部分配出去,则剩余内网主机访问外网时不会进行 NAT,直到地址池中有空闲地址时才会进行 NAT。

(3)NAPT地址转换:也就是带端口转换也是通过配置 NAT 地址池来实现,NAT 地址池中可以包含一个或多个公网地址。转换时同时转换地址和端口,即可实现多个私网地址共用一个或多个公网地址的需求。由于地址转换的同时还进行端口的转换,可以实现多个私网用户共同使用一个公网地址上网,防火墙根据端口区分不同用户,所以可以支持同时上网的用户数量更多。

(4)Easy IP地址转换:出接口地址方式也称为 Easy IP,即直接使用接口的公网地址作为转换后的地址,不需要配置 NAT 地址池。转换时会同时转换地址和端口,即可实现多个私网地址共用外网接口的公网地址的需求。

(5)server地址转换:内部服务器(NAT Server)功能是指使用一个公网地址来代表内部服务器的对外地址。在防火墙上,可以专门为内部的服务器配置一个对外的公网地址来代表它的私网地址。对外网用户来说,防火墙上配置的外网地址就是内部服务器的地址它隐藏了内部网络的结构,具有“屏蔽”内部主机的作用。

(5)ASPF技术:是一种高级通信过滤技术,负责检查应用层协议信息并且监控连接的应用层协议状态。对于特定的应用层协议的所有连接,每一个连接状态信息都将被ASPF监控并动态地决定数据包是否被允许通过防火墙或丢弃,ASPF还保存着不能由访问控制列表规则保存的重要状态信息。

注:需要源命令或拓扑压缩包的可以点赞加关注后私信哦~

标签:源地址,转换,配置,防火墙,地址,NAT,服务器
From: https://blog.csdn.net/2301_77508242/article/details/141059949

相关文章

  • 华为ENSP实验之防火墙基础配置与安全区域配置(保姆级教程)
    1.1实验拓扑   本次实验使用华为USG6000V防火墙和Cloud以及AR2220路由器、交换机、客户机、PC机来搭建起网络安全拓扑图:1.2设备IPv4地址规划表: 序号设备名称接口IPv4地址/掩码1FWGE0/0/0192.168.0.1/24GE1/0/010.10.122.1/24GE1/0/11......
  • Cisco Firepower 1000 Series FTD Software 7.4.2 & ASA Software 9.20.3 发布下载 -
    CiscoFirepower1000SeriesFTDSoftware7.4.2&ASASoftware9.20.3FirepowerThreatDefense(FTD)Software请访问原文链接:https://sysin.org/blog/cisco-firepower-1000/,查看最新版。原创作品,转载请保留出处。为什么选择CiscoSecure防火墙CiscoSecure防火墙为行......
  • 分页:Paginator
    提要:列表分页主要是明白:列表当前需要显示内容索引=(列表当前页数-1)*每页显示条数 至 列表当前页数*每页显示条数一、Django的内置分页Django内置的分页需要使用到3个类:Paginator、EmptyPage、PageNotAnInteger1.1Paginator介绍paginator=Paginator(全部数据,每页显示条......
  • Flutter实现启动页、闪屏广告页、引导页Flutter的flutter_native_splash库
    ///yaml文件中的配置信息,可以参考官方文档color:"#42a5f5"#图片格式必须是pngimage:images/avata.png///在main文件中添加代码,主要用来初始化包,并且启动splash页面;WidgetsBindingwidgetsBinding=WidgetsFlutterBinding.ensureInitialized();FlutterNative......
  • 关于在firewall防火墙无法阻止Docker 容器映射端口被外部访问问题的回顾
    这个问题是很早之前处理的,我自己已经没有印象了,今天同事拿了一个处理安全的文档来找我,上面赫然出现了我的名字,比较懵逼。。。这个问题的现象实际上是 docker映射的端口,通过firewalld 防火墙禁用端口不生效,外部还是能访问到,公司在进行安全扫描的时候总是被抓。。。。在firewall......
  • Apple Intelligence提示词曝光:Do not hallucinate;XLabs-AI 又发布两个脚本x-flux;吴恩
    ✨1:Somepre-promptinstructionsforAppleAppleIntelligence提示词曝光:Donothallucinate苹果在其最新的开发者测试版中推出了一些生成型AI功能,这些功能已经在WWDC大会上宣布,计划在未来几个月内陆续登陆iPhone、iPad和Mac等设备。一位用户在macOS15.1开发者测......
  • linux查看防火墙状态
    原文:https://www.zhihu.com/tardis/zm/art/447288815?source_id=1005inux查看防火墙状态的方法:一、iptables防火墙1、基本操作#查看防火墙状态serviceiptablesstatus#停止防火墙serviceiptablesstop#启动防火墙serviceiptablesstart#重启防火墙servic......
  • java 打 graalvm native 包
    ​ 最近v2ex上java的热门话题是java太占内存了balabala,就挺感慨,java当年从一个在家电之类的小型嵌入设备语言,发展到今天的“企业级”应用语言,确实变成吃内存大户了,当然如今的环境下,多个百十来M的内存,和jvm、spring全家桶带给我们的开发便利与稳定性相比,就不值一提了。几篇帖子的......
  • Ubuntu防火墙相关命令
    在Ubuntu系统中,启用防火墙可以通过ufw(UncomplicatedFirewall)来完成。以下是如何启用和配置ufw的步骤:1.安装ufw(如果尚未安装)sudoaptupdatesudoaptinstallufw2Ubuntu启用防火墙ufw:sudoufwenable3.Ubuntu检查防火墙状态sudoufwstatus4.设置默认策略(可选,......
  • 使用STUN进行NAT行为发现
     NAT模式对NAT行为模式进行分类,经历了几个阶段。最初,使用术语“完全锥形”、“受限锥形”、“端口限制锥形”和“对称”来表示NAT的不同变体。完全锥形-FullCone限制锥形-RestrictedCone端口限制锥形-PortRestrictedCone对称-SymmetricRFC4787对NAT行为模式进行了细......