防火墙NAT策略
>理论讲解:
NAT概述
NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术。
NAT分类
在内外网的边界,流量有出、入两个方向,所以NAT技术包含源地址转换和目标地址转换两类。一般情况下,源地址转换主要用于解决内部局域网计算机访问Internet的场景;而目标地址转换主要用于解决Internet用户访问局域网服务器的场景,目标地址通常被称为服务器地址映射。
NAT No-PAT:类似于Cisco的动态转换,只转换IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,实际情况使用较少,主要适用于需要上网的用户较少,而公网地址又足够的情况下。
NAPT (Network Address and port Translation,网络地址和端口转换):类似于Cisco的PAT转换,NAPT既转换报文的源地址,又转换原端口。转换后的地址不能是外网接口IP地址,属于多对多或多对一转换,可以节约IP地址使用场景较多,主要适用于内部大量用户需要上网,同时仅有少数几个公网IP地址可用的场景下。
出接口地址(Easy-IP):因其转换方式非常简单,所以也称为Easy-IP,和NAPT一样,既转换源IP地址,又转换源端口。区别是出接口地址方式后的地址只能是NAT设备外网接口所配置的IP地址,属于多对一转换,可以节约IP地址,主要是适用于没有额外的公网地址可用,内部上网用户非常多的场景下,直接通过外网接口本身的IP地址作为转换目标。
本文重点介绍前三种源地址转换。
华为的目标地址转换技术主要是NAT Server,可以基于IP地址转换,也可以基于“IP+端口+协议”进行转换。
配置NAT策略
拓扑图:
\推荐步骤:\
1.路由器配置IP地址,将防火墙接口加入指定的区域配置IP地址,内网服务器配置为FTP和web服务器,外网服务器配置web服务器使用内2.网client1访问内网服务器是否正常,client2访问外网web服务器是否正常
3.防火墙访问外网使用默认路由,路由器访问内网使用静态路由,防火墙设置安全策略允许内网访问外网使用ping命令测试全网互通
4.防火墙配置Easy-IP的NAT将内网访问外网的流量映射到防火墙外网接口上查看会话表验证
- 防火墙配置Nat Server将web01服务器的80和21端口分别映射到外网IP地址192.168.100.3和192.168.100.4的80端口和21号端口外网客户端访问验证
\实验步骤:\
路由器配置IP地址,将防火墙接口加入指定的区域配置IP地址,内网服务器配置为FTP和web服务器,外网服务器配置web服务器使用内网client1访问内网服务器是否正常,client2访问外网web服务器是否正常
1)路由器配置IP地址,将防火墙接口加入指定的区域配置IP地址
2)内网服务器配置为FTP和web服务器
3)外网服务器配置web服务器
4)client1访问内网服务器是否正常,client2访问外网web服务器是否正常
5)防火墙访问外网使用默认路由,路由器访问内网使用静态路由,防火墙设置安全策略允许内网访问外网使用ping命令测试全网互通
6)防火墙配置Easy-IP的NAT将内网访问外网的流量映射到防火墙外网接口上查看会话表验证
7)防火墙配置Nat Server将web01服务器的80和21端口分别映射到外网IP地址192.168.100.3和192.168.100.4的80端口和21号端口外网客户端访问验证
感谢阅读 !如有技术错误欢迎指正!!!
