华为防火墙NAT概述和基础配置_华为防火墙nat配置

防火墙

背景

随着网络设备的数量不断增长，对IPv4地址的需求也不断增加，导致可用的公网IPv4地址空间已经耗尽
解决IPv4地址耗尽问题的权宜之计是分配可重复使用的各类私有地址段给企业内部或家庭使用
1
2

公有地址与私有地址的区别：
    公有地址：由专门的机构管理，分配，可以在internet上直接通讯的IP地址
    私有地址：组织和个人可以任意使用，无法在internet上直接通信，只能在内网使用的IP地址

A，B，C类地址中各预留了一些地址专门作为私有IP地址
    A类：10.0.0.0 - 10.255.255.255
    B类：172.16.0.0 - 172.31.255.255
    C类：192.168.0.0 - 192.168.255.255
1
2
3
4
5
6
7
8

分类

根据应用场景的不同，NAT可以分为以下三类：
    源NAT（Source NAT）：适用于用户通过私网地址访问internet的场景
    目的NAT（Destination NAT）：适用于用户通过公网地址访问私网服务器的场景
    双向NAT（Bidirectional NAT）：适用于通信双方访问对方的时候目的地址都不是真实的地址，而是NAT转换后的地址的场景
1
2
3
4

优点

实现IP地址复用，节约宝贵的地址资源
有效避免来自外网的攻击，对内网用户提供隐私保护，可以很大程度上提高网络安全性
1
2

缺点

网络监控难度加大
限制某些具体应用
1
2

源NAT

解决方案：多个用户共享少量公网地址访问internet的时候，可以使用源NAT技术来实现
    源NAT技术只对报文的源地址/源端口进行转换
    源NAT技术可以分为NAT NO-Pat，NAPT,Easy IP和三元组NAT等
1
2
3

NAT NO-Pat

NAT NO-Pat（NO-Port address translation，非端口地址转换）是一种只转换地址，不转换端口，实现私网地址与公网地址一对一的地址转换方式。NAT NO-PAT无法提高公有地址利用率

NAT NO-PAT适用于上网用户较少且公网地址数与同时上网的用户数量相同的场景
1
2
3

NAPT

NAPT（Network address and port translation，网络地址端口转换）是一种同时转换地址和端口，实现多个私网地址共用一个或多个公网地址的地址转换方式。NAPT可以有效地提高公有地址利用率

NAPT适用于公网地址数量少，需要上网的私网用户数量大的场景
1
2
3

Easy IP

Easy IP：实现原理和NAPT相同，同时转换IP地址和传输层端口，区别在于Easy IP没有地址池的概念，使用出接口的公网IP地址作为NAT转换后的地址
Easy IP适用于不具备固定公网IP地址的场景，例如：拨号上网（PPPOE）
1
2

三元组NAT

三元组NAT是一种转换时同时转换地址和端口，实现多个私网地址共用一个或多个公网地址的地址转换方式
三元组NAT允许internet上的用户能主动访问私网用户，如文件共享，语言通讯和视频传输等

（源IP，源端口，协议）
1
2
3
4

NAT策略

配置思路：
    开始 - 新建安全区 - 配置接口 - 配置安全策略 - 配置NAT地址池 - 配置源NAT策略 - 配置路由
1
2

配置

firewall zone trust
    add int g 1/0/1
#
firewall zone untrust
    add int g 1/0/2
#
ip route 0.0.0.0 0 1.1.1.10   //默认路由
#
nat address-group SNAT //nat地址池
    mode no-pat global   //no-pat 全局nat模式  global和local的区别是生成server-map表项的时候是否显示安全区域  local是显示
    section 0 1.1.1.6 1.1.1.8 
    route enable   //开启NAT地址池中地址的UNR路由下发功能
#
nat-policy   //配置nat策略
    rule name nopat 
    	source-zone trust
    	destination-zone untrust
    	source-address 192.168.1.0 24
    	action source-nat address-group SNAT  //源NAT使用SNAT地址池的地址
#
security-policy   //安全策略
    rule name NAT
    	source-zone trust
    	destination-zone untrust
    	source-address 192.168.1.0 24
    	action permit
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

server-map表项
reverse是反向
1
2

NO-PAT换成NAPT方式
nat address-group SNAT
    mode pat    //需要先把引用的删掉，才能替换


NAPT没有server-map表项，只有会话表
1
2
3
4
5
6

Easy IP

easy IP不需要启用地址池
nat-policy 
    rule name easy ip
    action source-nat easy-ip
1
2
3
4

目的NAT

目的NAT是指对报文中的目的地址和端口进行转换。通过目的NAT技术将公网IP地址转换成私网IP地址，使公网用户可以利用公网地址访问内部Server

当外网用户访问内部Server时，防火墙的处理过程如下：
    当外网用户访问内网Server的报文到达防火墙时，防火墙将报文的目的IP地址由公网地址转换为私网地址
    当回程报文返回至防火墙时，防火墙再将报文的源地址由私网地址转换为公网地址
1
2
3
4
5

静态目的NAT

静态目的NAT是一种转换报文目的IP地址的方式，且转换前后的地址存在一种固定的映射关系

通常情况下，出于安全的考虑，不允许外部网络主动访问内部网络。但是在某些情况下，还是希望能够为外部网络访问内部网络提高一种途径。例如：公司需要将内部网络中的资源提供给外部网络中的客户和出差员工访问
1
2
3

动态目的NAT

动态目的NAT是一种动态转换报文目的IP地址的方式，转换前后的地址不存在一种固定的映射关系

通常情况下，静态目的NAT可以满足大部分目的地址转换场景，但是在某种场景下，希望转换后的地址不固定。例如：移动终端通过转换目的地址访问无线网络
1
2
3

配置

firewall zone dmz
    add int g 1/0/1
#
firewall zone untrust
    add int g 1/0/2
#
destination-nat address-group dnat
    section 1.1.1.100 1.1.1.100
#
nat-policy 
    rule name ddnat
    	source-zone untrust
    	destination-zone dmz
    	destination-address 1.1.1.100 32
    	service http
    	action destination-nat static address-to-address address-group dnat
#
security-policy   //安全策略
    source-zone untrust
    destination-zone dmz
    destination-address 192.168.100.1 24
    action permit
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

双向nat

双向nat指的是在转换过程中同时转换报文的源/目的IP地址。双向nat不是一个单独的功能，而是源NAT和目的NAT的组合

双向NAT是针对同一条流，在其经过防火墙时同时转换报文的源地址和目的地址
1
2
3

NAT Server

NAT Server也称静态映射，是一种转换报文目的的IP地址的方式，它提供了公网地址和私网地址的映射关系，实现外部网络用户通过公网地址访问私网内部服务器的需求

生成静态的server-map表

nat server policy_ftp protocol tcp global 1.1.1.10 ftp inside 10.2.0.8 ftp unr-route
1
2
3
4
5

一条正向一条反向
1