华为防火墙NAT源地址转换基础配置详解

   本次实验主要针对防火墙NAT基本的配置进行详解，内容主要有防火墙Easy IP NAT的基础配置和NAPT以及NO-PAT基本配置实验最后再通过防火墙NAT服务器映射转换。

1.1实验拓扑：

1.2 NAT实验地址规划表：

1.3 服务器和客户端的基本IP配置；

1.4 路由器基本配置（在路由器各接口加入IP地址和子网掩码）；

1.5防火墙基本配置

      首先在防火墙各接口加入IP地址和子网掩码，然后在根据实验要求在防火墙上配置所在区域并将接口加入，最后配置到路由器的缺省路由；

1.6 防火墙Easy IP NAT配置；

（1）首先要让实验正常进行并且具有测试性我们先对防火墙默认策略进行允许并且不再配置其他策略后利用服务器来对客户端进行PING测时发现，不能实现通信的，这时我们就需要用到Easy IP NAT（带接口的地址转换技术；

（2）当配置完Easy IP后再用服务器对客户端进行PING测时发现它们可以正常的进行通信了，这时再使用dis firewall session table verbose命令来查看会话表的详细信息会发现源地址被转为了防火墙的出口地址；

1.7 防火墙NAPT配置：

（1）上述配置完Easy IP后，根据实验要求再来进行NAPT的配置与测，NAPT是基于地址池的多对一映射网络地址和端口都做转换它相对于Easy IP的区别是NAPT是需要地址池的；

（2）当配置完成后再来用服务器对客户机进行PING测时可以正常通信的，接着再查看会话表来观测会发现NAPT将私有IP地址和端口号映射到公有IP地址和端口号来实现网络地址转换；

1.8 NO-PAT的NAT地址转换配置：

（1）上述配置NAPT是基于地址池多对一的地址转换，它不仅可以转换地址还可以进行端口的转换而NO-PAT只对IP地址做转换，地址没有强绑定关系，随机一对一的关系它是不带端口的转换；

（2）当配置完成后我们再来通过查看会话表的方式来对此次的实验进行一次验证可以清晰的发现源地址是转换成了公网地址而端口还是源端口并没有变这也就和它的原理一样说明实验是成功；

1.9 防火墙策略的配置：

当配置完不同的NAT后我们利用抓包工具和查看会话表详细信息来对每一个NAT进行验证和分析但这都是基于原先将允许防火墙默认策略下进行的为了更好的进行安全防御，接下来我们需要再防火墙上加入策略并拒绝默认策略；

2.防火墙NAT服务器映射转换：

    2.1 一对一的映射：

      （1）当配置完NAT后也就解决了内网转换公网的问题也让网络有了安全保障，这时我们发现当外网的客户机想访问内网的服务时不能有效的进行访问这时我们就用到服务器映射的转换也就是需要先在设备上配置公网地址和私网地址的固定映射关系让客户机可以通过公网地址来访问服务器所对应的服务；

（2）当配置完成一对一的NAT server映射后按照原理来说当客户机对服务器进行访问时它会使用到上述配置的外网地址来对服务器进行访问这也就提高了服务器的安全性，接下来在服务器分别配置HTTP服务和FTP服务后点击启动再使用客户机来对服务器上这两个服务进行访问是可以正常访问；

（3）上述用客户端测试访问服务器中的服务是可以正常访问到的这时我们再使用dis firewall server-map命令来查看Server-Map表这时设备将会生成该表，用于存放公网地址和私网地址的映射关系；

   2.2 服务器端口的映射：

    （1）配置完一对一的NAT server后我们经过测试发现该映射不仅可以访问FTP服务也可以访问其他服务这就存在了一定的安全问题，这时的端口映射就刚刚解决了这个问题，它不仅可以将服务器的地址进行映射还可以基于端口和服务（比如：它可以只允许客户机来访问指定的服务，而拒绝客户机访问其他服务）这样不仅可以精确到服务还提高了服务器的安全性；

  （2）在完成服务器端口的映射和对其server-map表查看后再来对其进行验证，首先我们的配置里只允许客户机访问服务器的FTP服务并且端口为2222现在我们用客户机访问不通的服务进行测试时发现与配置预期的相同；

3.实验数据及结果分析:

   (1) 防火墙Easy IP NAT配置；

       此次实验项目是让服务器上的地址转换为公网地址（也就是防火墙的出接口地址）Easy IP NAT不需要地址池是，但是带接口进行转换;

    (2)防火墙NAPT配置；

        此实验项目是在进行地址转换的同时还需进行端口转换，可以实现多个私网使用公网地址池里的IP地址来进行转换；

    (3) NO-PAT的NAT地址转换配置；

         NO-PAT的NAT地址转换和NAPT相似也是需要将私网的地址映射到地址池中的地址但是它最大的区别是不带端口的转换也就是源端口和转换后的端口是一致可以从会话表中清晰的看到；

（4）防火墙NAT服务器映射转换；

       ①一对一的映射

          它是将私网的服务器映射到一个公网的IP地址上，这样外网的用户就可以通过这个IP地址直接访问到内网的服务器；

      ②服务器端口的映射；

5.实验涉及的理论知识点的理解综述；

（1）NAT技术：是将 IP 数据报文报头中的IP 地址转换为另一个IP 地址的过程，主要用于实现内部网络(私有IP 地址)访问外部网络(公有IP 地址)的功能NAT 技术也就是在<私有地址+端口>与<公有地址+端口>之间进行相互转换。

（2）NO-PAT地址转换：是基于源 IP 地址的 NAT 是指对发起连接的IP报文头中的源地址进行转换。它可以实现内部用户访问外部网络的目的通过将内部主机的私有地址转换为公有地址，使多台主机使用合法地址访问外部资源，有效地隐藏了内部主机IP地址，起到了安全保护的作用。不带端口转换的通过配置 NAT 地址池来实现，NAT 地址池中可以包含多个公网地址。转换时只转换地址，不转换端口，实现私网地址到公网地址一对一的转换。如果地址池中的地址已经全部分配出去，则剩余内网主机访问外网时不会进行 NAT，直到地址池中有空闲地址时才会进行 NAT。

（3）NAPT地址转换：也就是带端口转换也是通过配置 NAT 地址池来实现，NAT 地址池中可以包含一个或多个公网地址。转换时同时转换地址和端口，即可实现多个私网地址共用一个或多个公网地址的需求。由于地址转换的同时还进行端口的转换，可以实现多个私网用户共同使用一个公网地址上网，防火墙根据端口区分不同用户，所以可以支持同时上网的用户数量更多。

（4）Easy IP地址转换：出接口地址方式也称为 Easy IP，即直接使用接口的公网地址作为转换后的地址，不需要配置 NAT 地址池。转换时会同时转换地址和端口，即可实现多个私网地址共用外网接口的公网地址的需求。

（5）server地址转换：内部服务器(NAT Server)功能是指使用一个公网地址来代表内部服务器的对外地址。在防火墙上，可以专门为内部的服务器配置一个对外的公网地址来代表它的私网地址。对外网用户来说，防火墙上配置的外网地址就是内部服务器的地址它隐藏了内部网络的结构，具有“屏蔽”内部主机的作用。

（5）ASPF技术：是一种高级通信过滤技术，负责检查应用层协议信息并且监控连接的应用层协议状态。对于特定的应用层协议的所有连接，每一个连接状态信息都将被ASPF监控并动态地决定数据包是否被允许通过防火墙或丢弃，ASPF还保存着不能由访问控制列表规则保存的重要状态信息。

注：需要源命令或拓扑压缩包的可以点赞加关注后私信哦~