如何實(shí)現(xiàn)防火墻NAT控制分析

如何實(shí)現(xiàn)防火墻NAT控制分析，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

創(chuàng)新互聯(lián)堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿(mǎn)足客戶(hù)于互聯(lián)網(wǎng)時(shí)代的青川網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

一。NAT分類(lèi)
NAT No-pat：類(lèi)似于Cisco的動(dòng)態(tài)轉(zhuǎn)換，只轉(zhuǎn)化源IP地址，網(wǎng)絡(luò)地址，不轉(zhuǎn)化端口，屬于多對(duì)多轉(zhuǎn)換，不能節(jié)約公網(wǎng)IP地址，使用較少
NAPT：（網(wǎng)絡(luò)地址和端口轉(zhuǎn)換）類(lèi)似與Cisco的PAT轉(zhuǎn)換，NAPT即轉(zhuǎn)換報(bào)文的源地址，又轉(zhuǎn)換源端口，
出接口地址：（Easy-IP）轉(zhuǎn)換方式簡(jiǎn)單，和NAPT一樣，即轉(zhuǎn)換源地址又轉(zhuǎn)換源端口，屬于多對(duì)一轉(zhuǎn)換
Smart NAT（智能轉(zhuǎn)換）：通過(guò)預(yù)留一個(gè)公網(wǎng)地址進(jìn)行NAPT轉(zhuǎn)換
三元組NAT：與源IP地址，源du端口和協(xié)議類(lèi)型有關(guān)的一種轉(zhuǎn)換
二，黑洞路由
源地址轉(zhuǎn)換場(chǎng)景下的環(huán)路和無(wú)效ARP問(wèn)題
如何實(shí)現(xiàn)防火墻NAT控制分析

三，Server-map表
通過(guò)Server-map表解決FTP數(shù)據(jù)傳輸問(wèn)題

會(huì)話(huà)表記錄的是連接信息，包括連接狀態(tài)

Server-map在NAT中的應(yīng)用

正向條目攜帶端口信息，用來(lái)使外部用戶(hù)訪問(wèn)202.96.1.10時(shí)直接通過(guò)Server-map表進(jìn)行目標(biāo)地址轉(zhuǎn)換
反向條目不攜帶端口信息，且目標(biāo)地址時(shí)任意的，用來(lái)使服務(wù)器可以訪問(wèn)互聯(lián)網(wǎng)前提是必須是TCP協(xié)議，
四，NAT對(duì)報(bào)文的處理流程
如何實(shí)現(xiàn)防火墻NAT控制分析
NAT配置（三種方法）

(1)NAT No-pat

走一條默認(rèn)路由
配置安全策略

配置NAT地址組，地址組中，地址對(duì)應(yīng)的是公網(wǎng)IP

配置NAT策略

針對(duì)轉(zhuǎn)換后的全局地址（NAT地址組中的地址）配置黑洞路由
如何實(shí)現(xiàn)防火墻NAT控制分析
驗(yàn)證NAT配置，用PC1可以ping外網(wǎng)的PC2，可以查看會(huì)話(huà)表![]
三個(gè)紅框表示為源地址，轉(zhuǎn)化的地址，訪問(wèn)的地址
也可以查看Server-map表

（2）NAPT的配置
還是上面的圖，重做NAPT
配置IP
如何實(shí)現(xiàn)防火墻NAT控制分析

配置安全策略

配置NAT地址組，地址組中對(duì)應(yīng)的是公網(wǎng)IP

配置NAT策略

配置路由黑洞

驗(yàn)證結(jié)果用PC1ping外網(wǎng)PC2

（3）出接口地址（Easy-IP）就是用R1路由器的g0/0/1的接口去訪問(wèn)PC2（重新配置）
配置IP
如何實(shí)現(xiàn)防火墻NAT控制分析

配置安全策略

配置NAT策略

驗(yàn)證可以發(fā)現(xiàn)，都是轉(zhuǎn)換的R1路由器g0/0/1接口IP去訪問(wèn)的

五，綜合案例
要求：

財(cái)務(wù)主機(jī)通過(guò)no-pat訪問(wèn)internet（使用100.2.2.10-11）
學(xué)術(shù)部主機(jī)通過(guò)napt訪問(wèn)internet（使用100.2.2.12）
公司其它部門(mén)通過(guò)g1/0/0訪問(wèn)internet
配置natserver發(fā)布dmz中的服務(wù)器（使用100.2.2.9）

一、財(cái)務(wù)主機(jī)通過(guò)no-pat訪問(wèn)internet
1.配置網(wǎng)絡(luò)參數(shù)及路由
[USG6000V1] int g1/0/2
[USG6000V1-GigabitEthernet1/0/2] ip add 192.168.1.1 24
[USG6000V1-GigabitEthernet1/0/2] undo sh
Info: Interface GigabitEthernet1/0/2 is not shutdown.
[USG6000V1-GigabitEthernet1/0/2] quit
[USG6000V1] int g1/0/0
[USG6000V1-GigabitEthernet1/0/0] ip add 100.1.1.2 30
[USG6000V1-GigabitEthernet1/0/0] undo sh
[USG6000V1-GigabitEthernet1/0/0] quit
[USG6000V1] i proute-static 0.0.0.0 0.0.0.0 100.1.1.1
2.配置安全策略
[USG6000V1] firewall zone trust
[USG6000V1-zone-trust] add int g1/0/2
[USG6000V1-zone-trust] quit
[USG6000V1] firewall zone untrust
[USG6000V1-zone-untrust] add int g1/0/0
[USG6000V1-zone-untrust] quit
[USG6000V1] security-policy
[USG6000V1-policy-security] rule name sec_1
[USG6000V1-policy-security-rule-sec_1] source-address 192.168.1.0 24
[USG6000V1-policy-security-rule-sec_1] destination-zone untrust
[USG6000V1-policy-security-rule-sec_1] action permit
3.配置nat地址組，地址池中的地址對(duì)應(yīng)的是公網(wǎng)地址
[USG6000V1-policy-security] quit
[USG6000V1] nat address-group natgroup
[USG6000V1-address-group-natgroup] section 0 100.2.2.10 100.2.2.11
[USG6000V1-address-group-natgroup] mode no-pat local
[USG6000V1-address-group-natgroup]
4.配置nat策略
[USG6000V1] nat-policy
[USG6000V1-policy-nat] rule name natpolicy
[USG6000V1-policy-nat-rule-natpolicy] source-address 192.168.1.0 24
[USG6000V1-policy-nat-rule-natpolicy] destination-zone untrust
[USG6000V1-policy-nat-rule-natpolicy] action nat address-group natgroup
[USG6000V1-policy-nat-rule-natpolicy] quit
[USG6000V1-policy-nat] quit
5.針對(duì)轉(zhuǎn)換后的全局地址配置黑洞路由
[USG6000V1] ip route-static 100.2.2.10 32 null 0
[USG6000V1] ip route-static 100.2.2.11 32 null 0
6.配置r1（isp）
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei] sysname r1
[r1] undo info ena
[r1] int g0/0/0
[r1-GigabitEthernet0/0/0] ip add 100.1.1.1 30
[r1-GigabitEthernet0/0/0] int g0/0/1
[r1-GigabitEthernet0/0/1] ip add 200.1.1.1 24
[r1-GigabitEthernet0/0/1] undo sh
[r1-GigabitEthernet0/0/1] quit
[r1] ip route-static 100.2.2.8 29 100.1.1.2
7.測(cè)試：從財(cái)務(wù)客戶(hù)機(jī)上訪問(wèn)internet服務(wù)器

二、學(xué)術(shù)部主機(jī)通過(guò)napt訪問(wèn)internet（使用100.2.2.12）
1.配置網(wǎng)絡(luò)參數(shù)
[USG6000V1] int g1/0/3
[USG6000V1-GigabitEthernet1/0/3] ip add 192.168.2.1 24
[USG6000V1-GigabitEthernet1/0/3] quit
[USG6000V1] firewall zone trust
[USG6000V1-zone-trust] add int g1/0/3
[USG6000V1-zone-trust]q uit
2.配置安全策略
[USG6000V1] security-policy
[USG6000V1-policy-security-rule-sec_2] source-address 192.168.2.0 24
[USG6000V1-policy-security-rule-sec_2] destination-zone untrust
[USG6000V1-policy-security-rule-sec_2] action permit
[USG6000V1-policy-security-rule-sec_2] quit
3.配置nat地址組
[USG6000V1] nat address-group natgroup_2.0
[USG6000V1-address-group-natgroup_2.0] section 0 100.2.2.12 100.2.2.12
[USG6000V1-address-group-natgroup_2.0] mode pat
[USG6000V1-address-group-natgroup_2.0] quit
4.配置nat策略
[USG6000V1] nat-policy
[USG6000V1-policy-nat] rule name natpolicy_2.0
[USG6000V1-policy-nat-rule-natpolicy_2.0] source-address 192.168.2.0 24
[USG6000V1-policy-nat-rule-natpolicy_2.0] destination-zone untrust
[USG6000V1-policy-nat-rule-natpolicy_2.0] action nat address-group natgroup_2.0
[USG6000V1-policy-nat-rule-natpolicy_2.0] quit
[USG6000V1-policy-nat] quit
5.針對(duì)轉(zhuǎn)換后的全局地址，配置黑洞路由
[USG6000V1] ip route-static 100.2.2.12 32 null 0
6.驗(yàn)證nat配置
.
三、出接口地址（easy-ip）使公司其它部門(mén)通過(guò)g1/0/0訪問(wèn)internet

1.配置網(wǎng)絡(luò)參數(shù)
[USG6000V1] int g1/0/4
[USG6000V1-GigabitEthernet1/0/4] ip add 192.168.3.1 24
[USG6000V1-GigabitEthernet1/0/4] quit
[USG6000V1] firewall zone trust
[USG6000V1-zone-trust] add int g1/0/4
[USG6000V1-zone-trust]
2.配置安全策略
[USG6000V1] security-policy
[USG6000V1-policy-security] rule name sec_3
[USG6000V1-policy-security-rule-sec_3] source-address 192.168.3.0 24
[USG6000V1-policy-security-rule-sec_3] destination-zone untrust
[USG6000V1-policy-security-rule-sec_3] action permit
[USG6000V1-policy-security-rule-sec_3] quit
[USG6000V1-policy-security] quit
3.配置nat策略
[USG6000V1] nat-policy
[USG6000V1-policy-nat] rule name natpolicy_3.0
[USG6000V1-policy-nat-rule-natpolicy_3.0] source-address 192.168.3.0 24
[USG6000V1-policy-nat-rule-natpolicy_3.0] destination-zone untrust
[USG6000V1-policy-nat-rule-natpolicy_3.0] action nat easy-ip
[USG6000V1-policy-nat-rule-natpolicy_3.0] quit
[USG6000V1-policy-nat] quit
4.驗(yàn)證easy-ip
1）ping測(cè)試

四、配置natserver發(fā)布dmz中的服務(wù)器（使用100.2.2.9）
1.配置網(wǎng)絡(luò)參數(shù)
[USG6000V1-GigabitEthernet1/0/0] int g1/0/1
[USG6000V1-GigabitEthernet1/0/1] ip add 192.168.0.1 24
[USG6000V1-GigabitEthernet1/0/1] quit
[USG6000V1] firewall zone dmz
[USG6000V1-zone-dmz] add int g1/0/1
[USG6000V1-zone-dmz] quit
2.配置安全策略
[USG6000V1] security-policy
[USG6000V1-policy-security] rule name sec_4
[USG6000V1-policy-security-rule-sec_4] source-zone untrust
[USG6000V1-policy-security-rule-sec_4] destination-address 192.168.0.0 24
[USG6000V1-policy-security-rule-sec_4] action permit
[USG6000V1-policy-security] quit
3.配置ftp應(yīng)用層檢測(cè)（此步驟可以省略，默認(rèn)已經(jīng)開(kāi)啟）
[USG6000V1] firewall inter trust untrust
[USG6000V1-interzone-trust-untrust] detect ftp
[USG6000V1-interzone-trust-untrust] quit
4.配置nat server
[USG6000V1] nat server natserver global 100.2.2.9 inside 192.168.0.2
5.配置黑洞路由
[USG6000V1] ip route-static 100.2.2.9 32 null 0
6.驗(yàn)證
1）在互聯(lián)網(wǎng)主機(jī)上訪問(wèn)dmz中的服務(wù)器

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對(duì)創(chuàng)新互聯(lián)的支持。

文章題目：如何實(shí)現(xiàn)防火墻NAT控制分析
新聞來(lái)源：http://muchs.cn/article2/pisjoc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計(jì)公司、、品牌網(wǎng)站設(shè)計(jì)、App設(shè)計(jì)、網(wǎng)站營(yíng)銷(xiāo)、標(biāo)簽優(yōu)化

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容