华为防火墙NAT分类(源地址转换和目标地址转换)
源地址转换方式
1.**NAT NO-PAT(动态转换):**多对多转换,不转换端口,只转换源IP地址2.
NAPT(network and port translation ,网络地址和端口转换)类似pat:napt既转换报文源地址,又转换源端口。转换后的ip地址不能是外网接口ip地址(多对多或多对一)
3.**EASY-IP(出接口地址):**既转换源IP地址,又转换源端口,转换为外部接口地址,(多对多或多对一)
4.**三元组nat:**与源ip地址,源端口和协议类型有关的一种转换,将源ip地址,源端口转换为固定公网IP地址和端口,主要用于外部用户访问局域网用户的P2P应用
黑洞路由在配置nat时,常出现环路和无效ARP问题当互联网主动发起的数据包无法匹配防火墙中状态化信息时,ARP报文将在fw与R1之间传输引起环路,影响链路使用率,因此需要配置黑洞路由
NAT no-pat 当公网用户访问转换后地址时产生环路或产生ARP 报文 需要配置黑洞路由
napt 当公网用户访问转换后地址时产生环路或产生ARP 报文 需要配置黑洞路由
easy-ip 转换后的地址是外网接口地址,公网用户访问该地址被防火墙接收(策略允许)或丢弃(策略不允许),不产生环路
nat-server(粗泛) 当公网用户访问映射后地址时直接转发给内部服务器 不需要配置黑洞路由
nat-server(精细) 当公网用户访问映射后地址时产生环路后或产生ARP报文 需要配置黑洞路由
server-map表
解决FTP数据传输问题(服务器在与客户端进行三次握手时无法匹配之前的会话表,所以直接中断)
华为防火墙基于状态化转发数据包,针对首个数据包严格执行策略筛查,一旦被策略允许,将生成会话表,后续数据包以及返回的包能够匹配到会话表,将直接通过,不需要额外策略筛查
FTP主动模式工作流程(端口20:数据连接、21:数据控制)
1.客户端与服务器之间进行三次握手建立连接(客户端随机端口)
2.完成三次握手后主动模式下,客户端发送port指令,申明开放的数据端口为16354,并告知服务器确认以及响应
3.服务器主动以源端口20,发送到客户端16354端口的数据连接进行三次握手
4.客户端发出FTP命令,上传、下载、列出目录等(控制连接),服务器根据指令返回具体数据内容(数据连接)
server-map表与会话表区别
1.会话表记录连接信息与连接状态
2.sever-map表记录的是通过分析当前连接的报文后得到的信息,该信息可以解决接下来的数据流通过防火墙的问题
NAT 处理报文流程
1.首先检查报文是否匹配server-map中的条目
2.是否配置nat条目
3.检查是否存在路由条目
4.依次匹配安全策略中的规则
NAT No-PAT地址转换(不建议使用g0/0/0接口,该接口默认为管理接口又大量默认配置)一对一转换
sys
int 接口
ip add IP地址 掩码
undo sh
int 接口
ip add IP地址 掩码
undo sh
quit
ip route-static 0.0.0.0 0.0.0.0 下一跳地址
配置安全策略
firewall zone trust
add int 接口
quit
firewall zone untrust
add int 接口
quit
security-policy
rule name 安全策略名称
source-zone trust
destination-zone untrust
source-address 内部IP地址段 掩码 //允许IP地址段
action permit //指定动作
quit
nat address-group nat转换名称
section 0 公网地址范围 //指定地址组的起始IP地址,结束IP地址(公网IP地址范围)
mode no-pat local
quit
配置nat策略
nat-policy
rule name nat策略名称
source-address 内部ip地址段 掩码
source-zone trust
destination-zone untrust
action nat address-group nat转换名称
quit
quit
配置路由黑洞
ip route-static 地址组中的所有ip null 0
return
NAPT地址转换(多地址端口复用)
int 接口
ip add IP地址 掩码
undo sh
int 接口
ip add IP地址 掩码
undo sh
quit
ip route-static 0.0.0.0 0.0.0.0 下一跳地址
配置安全策略
firewall zone trust
add int 接口
quit
firewall zone untrust
add int 接口
quit
security-policy
rule name 安全策略名称
source-zone turst
destination-zone unturst
source-address 内网IP地址段 掩码 //满足条件的数据包将依据地址组做
nat no-pat 方式的源地址转换
action permit
quit
quit
nat address-group nat转换名称
section 0 公网IP地址范围
mode pat
quit
配置NAT-policy
rule name nat策略名称
source-address 内部IP地址段 掩码
source-zone trust
destination-zone untrust
action nat address-group nat策略名称 //指定动作,满足条件的数据包将依据地址组做出接口方式转换
quit
配置黑洞路由
ip route-static nat地址组中的 所有ip 掩码 null 0
return
出接口地址(Easy-ip)转换(端口复用)
int 接口
ip add IP地址 掩码
undo sh
int 接口
ip add IP地址 掩码
undo sh
quit
ip route-static 0.0.0.0 0.0.0.0 下一跳地址
配置安全策略
firewall zone trust
add int 接口
quit
firewall zone untrust
add int 接口
quit
security-policy
rule name 安全策略名称
source-zone turst
destination-zone untrust
source-address 内网IP地址段 掩码 //满足条件的数据包将依据地址组做nat no-pat 方式的源地址转换action permit
quit
quit
配置nat策略
nat-policy
rule name nat策略名称
source-address 内网IP地址段 掩码
source-zone trust
destination-zone untrust //满足条件的数据包将依据地址做出接口转换
action nat easy-ip //配置出接口方式
quit
NAT server(用于内部服务器对外提供服务)配置ftp服务器对外提供服务
配置ftp服务器对外提供服务
sys
int 接口
ip add IP地址 掩码
undo sh
int 接口
ip add IP地址 掩码
undo sh
quit
ip route-static 0.0.0.0 0.0.0.0 外网接口下一跳地址
配置安全策略
firewall zone trust
add int 接口
quit
firewall zone untrust
add int 接口
quit
配置安全策略
security-policy
rule name 安全策略名称
source-zone trust
destination-zone untrust
destination-address 内网IP地址段 掩码
service ftp //配置协议为ftp协议
action permit
quit
quit
配置ftp应用层检测
firewall interzone trust untrust
detect ftp
quit
配置nat server
nat server natserver_ftp protocol tcp global 映射后IP地址 端口 inside 服务器IP地址 端口//不加协议或端口将会把任意协议及端口都转发到内部服务器上
配置nat server 时配置不同端口映射
nat server 策略名称 tcp global 映射后IP地址 端口(2121 ) inside 服务器ip 端口(21) /(no-reverse参数):只能互联网访问内部服务器,而内部服务器不能主动访问外网,映射后的地址与外接口地址不在同一网段时,需要在外部路由配置指向映射后IP地址的网段的静态路由
华为防火墙NAT分类(源地址转换和目标地址转换)相关推荐
- 华为防火墙NAT配置及简介
华为防火墙NAT策略 一.NAT概述 NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术. 二.华为防火墙NAT分类 1.NAT No-PAT:类似于Cisco的 ...
- 华为防火墙NAT策略
前言:NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术 文章目录 一.理论 1.NAT分类 1)NAT NO-PAT 2)N ...
- 华为防火墙NAT配置与策略管理
目录 NAT概述 NAT策略与安全策略 NAT处理报文的流程如下: 安全区域介绍 配置开始 区域访问规则 1.设置trust到untrust区域的NAT策略: 2.防火墙控制策略 3.防火墙配置服务器 ...
- SNAT源地址转换和DSNAT目标地址转换
文章目录 SNAT DNAT SNAT 企业内部的主机A想访问互联网上的主机C,首先将请求数据包(源:ipA,目标:ipC)发送到防火墙所在主机B,B收到后将数据包源地址改为本机公网网卡的ip(源:i ...
- 华为防火墙NAT策略原理+实验验证!
文章目录 前言 一:华为防火墙的NAT分类 1.1:NAT NO-PAT 1.2:NAPT 1.3:出接口地址( Easy-IP) 1.4:NAT Server 1.5:Smart NAT 1.6:三 ...
- 一篇不只是华为防火墙NAT策略,你所不知道的黑洞路由?
前言 人类对计算机网路的使用已经拓展到各个领域,而计算机网络的设计者在当时无法想象网络能有今天的规模.任何一个接入互联网的计算机.ipad.手机及安卓电视,要想在互联网中畅游,必须有一个合法的IP地址 ...
- 安全设备-华为防火墙NAT环境配置IPSec
华为防火墙NAT环境配置IPSec 本实验主要实现NAT穿透 实验环境 实验拓扑图: 模拟器:eNSP 设备型号:AR2240.S3700.USG6000VUSG6000V 默认配置口为0口 默认用户 ...
- 华为防火墙nat地址转换实现可以访问互联网
如下拓扑图: 首先,我们设置云如下,让他与本机互通 我们开始配置 首先初始化防火墙:第一次登录的时候会让你修改密码,默认的账号为admin密码:Admin@123 输入账号密码后选择Y然后修改密码 设 ...
- iptables二之防火墙SNAT源地址转换,MASQUERADE地址伪装之DNAT目标地址转换讲解和实验演示...
一)SNAT源地址装换,俗称将私网地址转换成公网地址 Snat:source network address translation 意思是当多个Pc机客户端需要共享adsl路由上网时,每个pc机都配 ...
- iptables二之防火墙SNAT源地址转换,MASQUERADE地址伪装之DNAT目标地址转换讲解和实验演示
一)SNAT源地址装换,俗称将私网地址转换成公网地址 Snat:source network address translation 意思是当多个Pc机客户端需要共享adsl路由上网时,每个pc机都配 ...
最新文章
- EOS与以太坊有哪些区别? 1
- 补一点COM的知识,有关_com_ptr_t
- highcharts的导出功能
- 每天学一点儿shell:Shell的常用语法规则
- 赞,全网开发者都在学的 26 门 AI 课程!
- java11和13_Java1113
- Android 自定义shape圆形按钮
- html 开发资料 英文,HTML 中的框架(国外英文资料).doc
- form表单样式案例
- 一系列自动化测试的开源项目介绍
- yii框架封装拼多多开放平台sdk
- centos系统上安装masscan
- 数学建模-线性规划模型基本原理与编程实现
- android调用dll程序,安卓手机如何打开.dll文件?
- 社交网络崛起带来口碑营销的复兴
- 当你发现微信好友朋友圈是“一条杠”,你会把她、他删除吗?
- 使用ONVIF Device Test Tool获取网络摄像头的音/视频
- PHP:安装fileinfo扩展
- 视觉SLAM十四讲第二章学习与课后题与随笔日记
- php 照片上加水印字体——类库封装