防御保护---防火墙的NAT转换_华为防火墙一对多nat
赞
踩
点击此处查看NAT技术详解
一.NAT分类
- 源IP-NAT(源IP与公网之间转换):静态NAT,动态NAT,NAPT;使内网能够访问公网
- 目标NAT(目标IP与公网之间转换):服务器端口映射;使公网能够访问内网服务器
- 双向NAT:同时转换目标IP和源IP
二.防火墙配置
一对多NAT配置
接口配置
边界路由器ISP配置
- [Huawei]sysname ISP
- [ISP]interface GigabitEthernet 0/0/0
- [ISP-GigabitEthernet0/0/0]ip add 12.0.0.2 24
- [ISP]interface LoopBack 0
- [ISP-LoopBack0]ip address 1.1.1.1 24
防火墙NAT策略配置
抓取私网流量
注:NAT策略配置完成后需要配置一条安全策略 ,如上图。
实验结果验证
Esay-IP结果分析
多对多NAT配置
NAT策略配置
注:配置黑洞路由防止特定情况下出现环路。因此需要勾选配置黑洞路由,z自动生成空接口
环路出现详解
注:当NAT地址池中的地址和接口地址不属于同一网段时(接口:12.0.0.2/24 地址池:12.0.0.5-12.0.0.7/24)若此时ISP路由器中存在一条路由(目标IP:12.0.0.5 下一跳:12.0.0.2)ISP路由器根据路由表转发,将报文从GE 0/0/0接口转发出去,当防火墙收到该报文后首先根据该报文确定是否创建会话表,由于防火墙默认存在一条指向ISP路由器的缺省路由(0.0.0.0 12.0.0.1)即路由可达;由于报文匹配缺省后,再次从原接口GE 1/0/1转发出去,因此无需匹配安全策略;当报文匹配缺省被再次转发到ISP后,ISP再次执行路由表中路由,依次循环,环路出现。
五元组NAT
图中内容详解
- 勾选允许端口地址转换代表启动NAPT,未勾选代表启动动态NAT。
- 源IP地址数量限制:会话表老化时间内允许每一个公网IP能够转化为的私网IP的最大梳数量
- 防火墙根据(源IP 目标 IP 源端口 目标端口 协议)五元组确定该数据流是否是经过防火墙NAT转换后回来的数据包,继而确定是否对该数据包再次进行NAT转换。
- 保留地址:保留地址中的IP地址将不被用于转换使用
动态NAT
动态NAT创建完后,触发访问流量后会同时生成两条server-map的记录,其中一条是反向记 录。反向记录小时前,相当于是一条静态NAT记录,外网的任意地址,在安全策略放通的情况 下,是可以访问到内网的设备。 基于端口的NAT转换,是不会生成server-map表的。
服务器NAT
注:勾选配置黑洞路由选项后会自动生成一条指向配置的公网IP的空接口路由,因此勾选配置黑洞路由后不可添加公网接口IP。
双向NAT
双向NAT会话表解析
多出口NAT
源NAT 第一种:根据出接口,创建多个不同的安全区域,再根据安全区域来做NAT 第二种:出去还是一个区域,选择出接口来进行转换 目标NAT
第一种:也可以分两个不同的区域做服务器映射
第二种:可以只设置一个区域,但是要注意,需要写两条策略分别正对两个接口的地址 池,并且,不能同时勾选允许服务器上网,否则会造成地址冲突。
