ENSP 防火墙USG6000V NAT 设置（全场景）_ensp fw nat

NAT

源NAT

no-pat

FW1基础配置（IP地址，接口加区域） ftpserver服务搭建略以及路由略，其他设备ip地址略
int g1/0/1
i a 192.168.1.254 24
int g1/0/0
i a 1.1.1.1 24
firewall zone trust
add int g1/0/1
firewall zone untrust
add int g1/0/0
对于防火墙作为出口需要配置出口默认路由
ip route-static 0.0.0.0 0 1.1.1.2
配置地址池
nat address-group no-pat
mode no-pat global
section 1.1.1.10
配置nat策略
nat-policy
rule name no-pat
source-zone trust
destination-zone untrust
source-address 192.168.1.0 24
action source-nat address-group no-pat
配置防火墙策略：
security-policy
rule name trust_untrust
source-zone trust
destination-zone untrust
source-address 192.168.1.0 mask 255.255.255.0
service icmp
service ftp
action permit
测试：
user1ping2.2.2.2

此时pc1在ping2.2.2.2是ping不通的，因为no-pat模式是一对一的，地址池的唯一一个地址已经被占用

但是此时user1 ftp2.2.2.2我们可以看到nat-policy是没有ftp的：


但是却ftp通了

这是因为在no-pat模式下产生的server-map表里面的协议是任意的，所以可以建立ftp

NAT-ALG（应用层网关）
命令：firewall detect ftp 默认开启的
在这里我们先关掉undo firewall detect ftp

然后建立ftp

我们发现port command内容里面的ip还是内网ip，这就导致在数据通道建立的时候建立失败
开启之后


我们发现不仅是网络层换了ip里面的内容也换了ip使得数据通道得以建立

napt

与上面no-pat不同的只是地址池在模式的不同

nat策略：
nat-policy
undo rule name no-pat（删了上面的no-pat的策略防止影响）
rule name pat
source-zone trust
destination-zone untrust
source-address 192.168.1.0 24
action source-nat address-group npat 由于上面说了协议是any所以就不写了
ping测：


都可以ping通

特殊情况：
如果运营商给的公网地址假设不是这个网段的，比方说6.6.6.6，我们不需要注意路由部分，运营商给你这个ip他就有肯定有这个ip的路由，但是我们还是要手动加上的



我们模仿一个外面对内ping的包，因为防火墙没有外到内的策略，所以按道理来说应该是丢弃

但是并没有丢弃，而是根据默认路由又扔给了运营商，运营商又扔回来，形成了环路
解决办法：黑洞路由

再试一次：

这样接收到的包就会被扔掉，但是如果地址有很多，且没有规律没办法靠一个网段解决，虽然可以靠一个一个的路由配置，但是很麻烦外面可以在nat address-group里面统一配置route enable：

easy-ip

easy-ip比较简单，根据出接口的地址做源nat
nat-policy
undo rule name pat（删除上一个的策略防止影响）
rule name easy-ip
source-zone trust
source-address 192.168.1.0 24
service icmp
action source-nat easy-ip
测试：


发现已经替换成出接口的ip地址了

目的NAT

nat server

基于全局的：
例如将内部的web服务器映射到公网6.6.6.6

对于防火墙的基础配置（加IP加区域）其他路由设备的路由省略，ISP有6.6.6.6的路由：
int g1/0/0
i a 192.168.1.254 24
int g1/0/1
i a 1.1.1.1 24
firewall zone trust
add int g1/0/0
firewall zone untrust
add int g1/0/1
q
防火墙默认路由：
ip route-static 0.0.0.0 0 1.1.1.2
配置natserver：
nat server global 6.6.6.6 inside 192.168.1.100
防火墙策略：（因为目的nat的检查是先于策略的，所以在写目的地址的时候，报文到达防火墙已经把公网地址转化为了内网，所以要写服务器的IP）
security-policy
rule name nat_ser
source-zone untrust
destination-zone trust
destination-address 192.168.1.100 32
action permit
测试：

看此时的server-map表
在这里插入图片描述

我们发现对于nat server生成的server-map表是没有没有时间限制的，而且回生成了反向的server-map表，这个表项使得服务器也可以上网（如果策略允许的话）会增加服务器的安全隐患，我们可以在配置nat-server的时候加上no-reverse选项去掉此表项例如：
nat server global 6.6.6.6 inside 192.168.1.100 no-reverse
基于协议和端口的：
假设我们有很多的服务器，需要映射到公网供人访问，会出现一下问题：
1）公网ip宝贵一个服务器配置一个公网ip不现实
2）由于标准化的端口号，对于攻击者来说更易攻击到真实服务器
3）无法仅向外部提供单一服务，例如你映射出去，别人既能ping，又能访问之类的，大大增加了被攻击的概率
我们可以采用基于协议和和端口号的转换来解决此问题，例如将web服务器的80端口映射到6.6.6.6的123端口，将ftp服务器的21端口映射到456端口：
undo nat server all（删除掉之前配置的nat server）
nat server web_ser protocol tcp global 6.6.6.6 123 inside 192.168.1.100 80
no-reverse unr-route
nat server ftp_ser protocol tcp global 6.6.6.6 456 inside 192.168.1.200 21
no-reverse unr-route
测试：


ftp服务器测试略，我们发现在地址栏需要输入端口号才可以连接
还有我们发现我在写nat server的时候多了个unr-route ，这是因为，由于此将内网的80端口映射成了123端口，如果有人访问80端口的话路由器将流量扔给防火墙，防火墙nat server不做转换，它的默认路由又扔给路由器，产生环路，此命令是产生相应的黑洞路由避免环路产生

网关重定向（纯目的NAT）

这是针对于类似合约手机之类的东西，比方说你以某种方式弄到了一个外国的合约机，而手机的wap是一个外国运营商的ip地址，你的卡是国内的卡，ip也是，但是你要上网的话要从国内访问外国，显然不可能，暂且不说有没有被国内的墙丢掉，数据跑到国外再回来时延也是问题，例如下面场景

测试时用PC1去ping测一个不存在的网关例如2.2.2.2

acl方式

基本配置：
int g1/0/0
i a 1.1.1.254 24
int g1/0/1
i a 8.8.8.254 24
firewall zone trust
add int g1/0/1
firewall zone untrust
add int g1/0/0
纯目的nat：
acl 3000
rule 5 permit ip source 1.1.1.1 0
q
firewall zone untrust
destination-nat 3000 address 8.8.8.8
防火墙策略：因为目的nat的检测顺序要先于策略所以写8.8.8.8
security-policy
rule name des_nat
source-zone untrust
destination-zone trust
source-address 1.1.1.0 mask 255.255.255.0
source-address 8.8.8.8 mask 255.255.255.255
action permit
测试：

g/0/0抓包：

g1/0/1抓包：

这里有个问题，是在做acl的时候为什么根据目的来匹配不是做的目的nat吗？
因为你的手机的wap是内置的，它网哪里发送数据也不清楚，源ip是根据卡分布的，所以根据源ip开抓取流量更合适。

nat-policy方式

先删除之前的acl方式：
firewall zone untrust
undo destination-nat 3000 address 8.8.8.8
q
undo acl 3000
配置nat-policy
rule name des_nat
source-zone untrust
source-address 1.1.1.0 mask 255.255.255.0
destination-address 2.2.2.2 mask 255.255.255.255
service icmp
action destination-nat address 8.8.8.8
这里配置的时候不能写目的区域，如果写了会导致action destination-nat 显示错误，这是因为对于转换后的地址而言，地址在哪个位置防火墙会找到的，如果找到的和这里写的不一致会产生冲突，所以不能写目的区域
测试：

双向nat

双向nat是指同一条流量流经同一防火墙的时候即做了源nat也做了目的nat
场景一：

当内网用户访问服务器3.3.3.3是会将流量送给防火墙，先做目的nat，做完目的nat后发现是同网段的流量，直接将流量送到了服务器，并没有做源nat，但是服务器接收到流量后看了一下也是同网段的，就不经过防火墙直接转发给用户，而对于用户而言，我要访问的是3.3.3.3，你192.168.1.100为什么给我回包，就会将数据包丢掉。
解决方法：做一个trust到trust的源nat，虽然同区域间默认放行，但是也会经过源nat
配置：

因为同区域见访问默认放行，所以不配置安全策略也可以
测试：

场景二：

假设PC2没有路由，则外部流量做了目的nat之后，由于PC2没有路由，无法回包，假声PC2有路由例如写192.168.1.2，但是假设流量是从FW4来的，那PC2回包的时候先回给FW3，然后FW3看看有没有路由，没有路由就丢弃
解决方法：
在两个g1/0/1口处做两个easy-ip，这样会使发送过来的数据源ip也是同一网段，PC2知道如何回包
配置不难，注意由于目的nat>策略>源nat，所以在做策略是目的地址写192.168.1.100略

slb（负载均衡）

服务器负载均衡技术按照一定的算法分配流量，将用户请求分给多个服务器处理，以此提升网络的业务处理能力和可靠性

例如场景：企业有三台服务器Server1、Server2和Server3，且这三台服务器的硬件性能顺次降低，Server1性能是Server2的两倍、Server2性能是Server3的两倍。通过配置负载均衡，让这三台服务器联合对外提供服务，且三台服务器承载业务的多少与服务器硬件性能的高低匹配。通过配置健康检测实时监控这三台服务器是否可达。（服务器用简单pc代替，配置各种服务类型，配置大同小异，不做详细举例）

防火墙接口基础配置：
int g1/0/1
i a 1.1.1.1 24
int g1/0/2
i a 192.168.1.254 24
firewall zone dmz
add int g1/0/2
q
firewall zone untrust
add int g1/0/1
q
配置安全策略：
security-policy
rule name slb
source-zone untrust
destination-zone dmz
destination-address 1.1.1.10 24
action permit
q
因为目的nat的检查在策略之前所以策略要写转换后的destination-address
对于新一代的防火墙来说健康探测报文不需要放行策略，但是对于老墙来说还是需要的local->dmz
slb配置：
slb en （开启slb功能）
slb （进入slb视图）
group 0 name1 （创建实服务器组）
metric weight-roundrobin （负载均衡算法选择加权轮询）
health-check type icmp （健康检擦使用icmp）（可选）
rserver 0 rip 192.168.1.1 weight 4 （向实服务器组中添加实服务器）
rserver 1 rip 192.168.1.2 weight 2
rserver 2 rip 192.168.1.3 weight 1
q
slb
vserver 0 vname1 （创建虚服务器）
vip 1.1.1.10 （设置虚服务器的ip地址）
group name1 （关联实服务器）
测试：
![在这里插入图片描述](https://img-blog.csdnimg.cn/1453213854684c4c8f71458bb9949d5c.png

看防火墙：