当前位置:   article > 正文

华为防火墙双向NAT_双向nat配置案例

双向nat配置案例

案例1

如图所示,主机1与主机2之间处在同网段,且主机1与主机2之间通过交换机一般来说是可以正常进行二层通信的,且其通信流量不通过防火墙,如若主机2是一台服务器,主机1是一台内网的主机,这时我们不能确定主机1访问服务器的流量是健康的,所以我们希望将主机1的流量进行引流至防火墙,借助防火墙来实现流量的阻拦和检查。

实现

我们将内网的服务器的IP地址借助nat server隐藏起来,虽然主机1和主机2之间已经处在内网,但是我们同样可以向其他主机宣告,服务器的IP地址是nat server后的IP地址。其他主机如果想要和内网服务器进行通信就需要使用到这个nat server的地址。

实现总结:

因为是同区域,所以没有必要设置安全策略,只要进行nat server和源nat就可以了。

问题1

如果我们仅仅在上述的例子中做nat server是不够的,因为虽然目的地址进行了转换,主机1的报文可以正常到达主机2,但是主机2的回包还是会通过二层网络直接交互给主机1,这就暴露了服务器的地址。所以我们希望服务器去往主机1的流量也从防火墙上走,所以主机1的数据报文从防火墙上出来的时候源地址也要进行转换,这样的话,主机1的报文经过防火墙的时候,即抓换了源地址,也转换了目的地址。假设主机1的流量转换的是一个与服务器地址不同网段的地址,那么服务器就会将数据报文发送给网关,也就是防火墙,因为防火墙上先前已经记录了相关的会话表,所以在接收到主机2的回包的时候会将其进行数据包转换,于是主机1就可以从防火墙上接收到回包,而不是从交换机上接收到。

双向NAT的会话表

双向NAT的会话表大概如下图所示: 

从会话表上我们可以看见其不仅记录会话信息,还记录源目地址的转换信息,如果只是普通的nat server或者源nat,是只会记录目的或者源的转换信息的其中一种。

案例2

 如图所示,PC7是外网主机,PC8是一台内网主机,假设PC8连接了多个网关,并对外提供服务,可以PC上能够配置的网关只有一个,现在就可以使用双向NAT。

实现

在防火墙上配置双向NAT,PC7访问PC8的时候访问的是nat server向外开放的地址,PC7访问PC8的时候进行目的地址的转换,同时防火墙进行数据包转发的时候,将PC7的源IP转换为与PC8通网段的地址,这样PC8在进行回包的时候,就会发现目的地址是同网段的数据包,于是会发送arp请求,防火墙会作为arp代理帮助PC8进行arp回应,于是PC8后续的回包都会从防火墙上出去,又因为PC7的数据包去往防火墙的时候已经生成了对应的会话表项,里面记录了双向NAT的信息,所以当PC8的回包发送到防火墙的时候,就会匹配上相应的会话表,然后进行相应的地址转换并发送给PC7.

实现总结:

首先需要放行相应的流量,也就是制定安全策略,然后创建nat server和源nat即可

双向NAT的nat server和NAT policy的设置

案例1

我们先从案例1开始进行设计,首先我们针对的是主机1到主机2,且因为它们是处于同一个安全区域,所以默认主机1到主机2是不需要设置任何的安全策略的,那么剩下的就是nat server的策略和源nat策略的编写,首先是nat server,因为这个只是域内nat只是针对该区域的,所以nat sever就可以加上zone选择,表示只有这个区域发起的才进行nat server,所以我们可以输入:

nat server protocol icmp zone dmz  global  2.2.2.2 inside 192.168.0.1 no-reverse

上面这句命令表示dmz区域的其他主机去ping 2.2.2.2的时候,防火墙会对其进行nat目的地址转换

接下来就是源nat的策略书写,我们首先创建一个nat地址池,比如创建了一个pat模式的地址池,里面的地址是2.2.2.1,然后我们进行nat-policy策略的书写, 因为该双向NAT主要针对的是主机2,所以我们在书写nat策略的时候,可以输入destination-address去报文的指定目的地址,那么这个destination-address要写nat-server向外开放的地址还是私网地址?这里写的是私网地址,主机1的数据报文进入防火墙后进行了nat server的目的转换后才到源nat抓换,所以这个时候源nat策略匹配的数目的地址已经转换后的数据报文,所以我们这里需要填入私网的地址。如果想更精细一点的话,还可以加入source-address。这样源nat也写完了。

案例2

案例2是主机与主机间处在不同安全区域的,所以这个时候我们需要制定安全策略,首先就是外网到内网的安全策略,我们只需要针对内网服务器的服务开放nat server即可,内网同样也需要相应的安全策略,这个视具体情而定,比如你要粒度大的还是小的。然后就是nat server策略,这个和上面的例子差不多。然后就是源nat,同样的,源nat的destination-address如果要设置的话,要设置成私网的服务器地址而不能设置为nat-server的外网地址,因为nat-server抓换后才进行源nat。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小小林熬夜学编程/article/detail/454075
推荐阅读
相关标签
  

闽ICP备14008679号