- 120道经典自动化测试面试题_自动化测试面试题目
- 2Excel工资模板 (机关事业单位、企业适用)
- 3Web UI 自动化测试框架(Pytest+Selenium+Allure+Loguru)_ui自动化测试框架
- 4Python+AI实现AI绘画_python ai绘画
- 5向量数据库的特性、索引和分析权衡_向量数据库中的索引
- 6Java springboot使用EasyExcel读Excel文件,映射不到属性值,对象属性值都是null
- 7彻底卸载Android Studio,防止跳过向导步骤_android studio卸载后再下载出现
- 8fatal: Authentication failed for ‘https://github.com/xxx/xxx.git/’解决方法_vscode提交代码一直加载
- 9前端实现扫同一个二维码,可以跳转到微信小程序和支付宝小程序?_前端开发 扫一个二维码
- 10Windows本地部署Ollama+qwen本地大语言模型Web交互界面并实现公网访问_open-webui加载本地qwen模型
华为防火墙双向NAT_双向nat配置案例
赞
踩
案例1
如图所示,主机1与主机2之间处在同网段,且主机1与主机2之间通过交换机一般来说是可以正常进行二层通信的,且其通信流量不通过防火墙,如若主机2是一台服务器,主机1是一台内网的主机,这时我们不能确定主机1访问服务器的流量是健康的,所以我们希望将主机1的流量进行引流至防火墙,借助防火墙来实现流量的阻拦和检查。
实现
我们将内网的服务器的IP地址借助nat server隐藏起来,虽然主机1和主机2之间已经处在内网,但是我们同样可以向其他主机宣告,服务器的IP地址是nat server后的IP地址。其他主机如果想要和内网服务器进行通信就需要使用到这个nat server的地址。
实现总结:
因为是同区域,所以没有必要设置安全策略,只要进行nat server和源nat就可以了。
问题1
如果我们仅仅在上述的例子中做nat server是不够的,因为虽然目的地址进行了转换,主机1的报文可以正常到达主机2,但是主机2的回包还是会通过二层网络直接交互给主机1,这就暴露了服务器的地址。所以我们希望服务器去往主机1的流量也从防火墙上走,所以主机1的数据报文从防火墙上出来的时候源地址也要进行转换,这样的话,主机1的报文经过防火墙的时候,即抓换了源地址,也转换了目的地址。假设主机1的流量转换的是一个与服务器地址不同网段的地址,那么服务器就会将数据报文发送给网关,也就是防火墙,因为防火墙上先前已经记录了相关的会话表,所以在接收到主机2的回包的时候会将其进行数据包转换,于是主机1就可以从防火墙上接收到回包,而不是从交换机上接收到。
双向NAT的会话表
双向NAT的会话表大概如下图所示:
从会话表上我们可以看见其不仅记录会话信息,还记录源目地址的转换信息,如果只是普通的nat server或者源nat,是只会记录目的或者源的转换信息的其中一种。
案例2
如图所示,PC7是外网主机,PC8是一台内网主机,假设PC8连接了多个网关,并对外提供服务,可以PC上能够配置的网关只有一个,现在就可以使用双向NAT。
实现
在防火墙上配置双向NAT,PC7访问PC8的时候访问的是nat server向外开放的地址,PC7访问PC8的时候进行目的地址的转换,同时防火墙进行数据包转发的时候,将PC7的源IP转换为与PC8通网段的地址,这样PC8在进行回包的时候,就会发现目的地址是同网段的数据包,于是会发送arp请求,防火墙会作为arp代理帮助PC8进行arp回应,于是PC8后续的回包都会从防火墙上出去,又因为PC7的数据包去往防火墙的时候已经生成了对应的会话表项,里面记录了双向NAT的信息,所以当PC8的回包发送到防火墙的时候,就会匹配上相应的会话表,然后进行相应的地址转换并发送给PC7.
实现总结:
首先需要放行相应的流量,也就是制定安全策略,然后创建nat server和源nat即可
双向NAT的nat server和NAT policy的设置
案例1
我们先从案例1开始进行设计,首先我们针对的是主机1到主机2,且因为它们是处于同一个安全区域,所以默认主机1到主机2是不需要设置任何的安全策略的,那么剩下的就是nat server的策略和源nat策略的编写,首先是nat server,因为这个只是域内nat只是针对该区域的,所以nat sever就可以加上zone选择,表示只有这个区域发起的才进行nat server,所以我们可以输入:
nat server protocol icmp zone dmz global 2.2.2.2 inside 192.168.0.1 no-reverse
上面这句命令表示dmz区域的其他主机去ping 2.2.2.2的时候,防火墙会对其进行nat目的地址转换
接下来就是源nat的策略书写,我们首先创建一个nat地址池,比如创建了一个pat模式的地址池,里面的地址是2.2.2.1,然后我们进行nat-policy策略的书写, 因为该双向NAT主要针对的是主机2,所以我们在书写nat策略的时候,可以输入destination-address去报文的指定目的地址,那么这个destination-address要写nat-server向外开放的地址还是私网地址?这里写的是私网地址,主机1的数据报文进入防火墙后进行了nat server的目的转换后才到源nat抓换,所以这个时候源nat策略匹配的数目的地址已经转换后的数据报文,所以我们这里需要填入私网的地址。如果想更精细一点的话,还可以加入source-address。这样源nat也写完了。
案例2
案例2是主机与主机间处在不同安全区域的,所以这个时候我们需要制定安全策略,首先就是外网到内网的安全策略,我们只需要针对内网服务器的服务开放nat server即可,内网同样也需要相应的安全策略,这个视具体情而定,比如你要粒度大的还是小的。然后就是nat server策略,这个和上面的例子差不多。然后就是源nat,同样的,源nat的destination-address如果要设置的话,要设置成私网的服务器地址而不能设置为nat-server的外网地址,因为nat-server抓换后才进行源nat。
