四、防御保护---防火墙NAT篇

最新推荐文章于 2024-05-13 11:01:05 发布
最新推荐文章于 2024-05-13 11:01:05 发布
阅读量1.4k 收藏 16
点赞数 19
分类专栏: 安全防御 文章标签: 服务器 网络 运维 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/M372109150/article/details/135921054
版权

四、防御保护---防火墙NAT篇

一、源NAT

源NAT — 基于源IP地址进行转换。我们之前接触过的静态NAT,动态NAT,NAPT都属于源NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网,通过对报文的源地址进行转换,使大量私网用户可以利用少量公网IP上网,大大减少了对公网IP地址的需求。
在这里插入图片描述
NAT No-PAT
“No-PAT”表示不进行端口转换,所以NAT No-PAT只转换IP地址,故也称为“一对一IP地址转换”。我们使用如下组网进行演示:
在这里插入图片描述
在FW上配置源NAT模式,选择为no-pat;将公网IP地址202.30.1.1和202.30.1.2加入NAT地址池1;配置NAT策略,即对流量设置各种要求项,只有完全匹配上这些要求的流量才能利用NAT地址池1中的IP做NAT转换(如果要针对源IP设置NAT策略,那么应该是做源NAT转换前的IP)。
在这里插入图片描述
在这里插入图片描述
出接口地址方式(easy-ip)
出接口地址方式是利用出接口的公网IP做源NAT转换,适用于公网IP非常少或接口动态获取IP的场景(仅中低端防火墙支持接口动态获取IP)。

easy-ip的NAT转换方式和NAPT一样,都是同时转换IP和端口。但是在具体配置上,高端防火墙和中低端防火墙是不一样的:

  • 高端防火墙需要配置NAT地址池,并将出接口IP配置在地址池中。实际上就是配置NAPT功能,只不过出接口IP和NAT地址池中的IP一样了。
  • 中低端防火墙不需要配置NAT地址池,而是在NAT策略中指定做easy-ip转换。
    在这里插入图片描述
    源NAT是在安全策略之后执行。
    在这里插入图片描述
    配置黑洞路由 — 黑洞路由即空接口路由,在NAT地址池中的地址,建议配置达到这个地址指向空接口的路由,不然,在特定环境下会出现环路。(主要针对地址池中的地址和出接口地址不再同一个网段中的场景。)

安全策略和NAT策略在字面上长的挺像,但是二者各司其职:安全策略检验是否允许流量通过,NAT策略检验是否对流量进行NAT转换。由于防火墙检验流量是否符合安全策略的操作发生在检查NAT策略之前,所以如果要针对源IP设置安全策略,则该IP应该是做源NAT转换前的IP。

黑洞路由是一个让路由“有来无回”的路由,它的效果就是让设备丢弃命中该路由的报文。针对地址池中的公网IP必须配置黑洞路由,目的是防止产生路由环路。
在这里插入图片描述
决定了使用的是动态NAT还是NAPT的逻辑。

五元组NAT — 针对源IP,目标IP,源端口,目标端口,协议 这五个参数识别出的数据流进行端口转换
三元组NAT — 针源IP,源端口,协议 三个参数识别出的数据流进行端口转换

三元组NAT依靠的正是以下两个特点:
1、支持外网主动访问
无论内网主机是否主动访问过某个外网主机,只要外网主机知道内网主机NAT转换后的地址和端口,就可以主动向该内网主机发起访问。

2、动态对外端口一致性
内网主机做NAT转换后的地址和端口将在一段时间内保持不变,在此时间内段,内网主机固定地使用此NAT后地址和端口访问任意外网主机,任意外网主机也可以通过此NAT后地址和端口访问内网主机。

从实现原理角度讲,三元组NAT是通过Server-map表使外网主机可以主动访问内网主机,并保证NAT转换关系在一段时间内保持不变
在这里插入图片描述
在保留地址中的地址将不被用于转换使用

动态NAT创建完后,触发访问流量后会同时生成两条server-map的记录,其中一条是反向记录。反向记录小时前,相当于是一条静态NAT记录,外网的任意地址,在安全策略放通的情况下,是可以访问到内网的设备。
基于端口的NAT转换,是不会生成server-map表的。

二、目标NAT

目标NAT — 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为了保证公网用户可以访问内部的服务器
在这里插入图片描述

源NAT在安全策略之后执行,目标NAT在安全策略之前执行(因为自动生成的安全策略的目标地址是转换后的地址,说明需要先进行转换,再触发安全策略)
在这里插入图片描述
在这里插入图片描述

三、双向NAT

双向NAT — 同时转换源IP和目标IP地址
1、域间NAT
报文的源地址和目的地址属于不同的安全区域。按照转换报文的方向,又可以分为以下两类:
(1)NAT Inbound(外网访问内网)
报文由低安全级别的安全区域向高安全级别的安全区域方向传输时,基于源地址进行的转换。一般来说,NAT Inbound都会和NAT Server配合使用。
(2)NAT Outbound(内网访问外网)
报文由高安全级别的安全区域向低安全级别的安全区域方向传输时,基于源地址进行的转换。之前介绍的“内网用户访问外网资源”场景大多使用NAT Outbound。
2、域内NAT(内网访问内网)
报文的源地址和目的地址属于相同的安全区域。一般来说,域内NAT都会和NAT Server配合使用,单独配置域内NAT的情况较少见。

当域间NAT或域内NAT和NAT Server一起配合使用时,就实现了双向NAT。当然,上述内容的一个大前提就是:合理设置安全区域的级别并规划网络――内网设备属于Trust域(高级别),内网服务器属于DMZ域(中级别),外网设备属于Untrust域(低级别)。
在这里插入图片描述

四、多出口NAT

源NAT

  • 第一种:根据出接口,创建多个不同的安全区域,再根据安全区域来做NAT
  • 第二种:出去还是一个区域,选择出接口来进行转换

目标NAT

  • 第一种:也可以分两个不同的区域做服务器映射
  • 第二种:可以只设置一个区域,但是要注意,需要写两条策略分别正对两个接口的地址池,并且,不能同时勾选允许服务器上网,否则会造成地址冲突。
Fly`
关注
  • 19
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
防火墙U200-S配置实例.pdf
11-26
防火墙U200-S配置实例.pdf
防火墙NAT策略
Zhangwennb的博客
04-14 1486
这里写自定义目录标题防火墙NAT策略NAT 的分类在防火墙上配置NAT No-pat方式的地址转换,步骤如下 防火墙NAT策略 NAT 的分类 在内外网的边界,流量有出、入两个方向,所以NAT技术包含源地址转换和目标地址转换两类,一 般情况下,源地址转换主要用于解决内部局域网计算机访问Internet的场景:而目标地址转换主要用于解决Internet用户访问局域网服务器的场景,目标地址通常被称为服务器地址映射。 华为支持的源地址转换方式有如下五类: 1:NATNo-PAT: 类似于Cisco的动态转换,只转
防火墙技术基础篇:网络地址转换(NAT):防火墙技术的核心机制
最新发布
qq_39241682的博客
05-13 1383
NAT起源于为了解决IPv4地址耗尽的问题,它允许多个设备通过单一的公有IP地址接入互联网,这些设备各自拥有独立的私有IP地址。简而言之,NAT的核心功能是在数据包传输过程中将源或目的IP地址从私有地址转换为公有地址,或者反之。
防火墙NAT
xxyy121的博客
09-09 5120
防火墙NAT
防火墙_源NAT
weixin_42528239的博客
08-12 1757
不同的NAT类型对应不同的NAT策略,在FW上处理顺序不同。 1、W收到报文后,查找NAT Server生成的Server-map表,如果报文匹配到Server-map表,则根据表项转换报文的目的地址,然后进行第四步;若没有匹配到,则进行下一步 2、查找基于ACL的目的NAT,如果报文符合匹配条件,则转换报文的目的地址,然后进行第四步;若不符合,则进行下一步 3、查找NAT策略中目的NAT,如果报文符合匹配条件,则转换报文的目的地址后进行路由处理;若不符合,则直接进行路由处理 4、根据报文当前的信息查找路由
华为防火墙NAT概述和基础配置
qq2353177176的博客
11-13 3016
华为防火墙NAT概述和基础配置。
防火墙之部署服务器NAT
晚风挽着浮云的博客
06-03 3056
NAT(Network Address Translation),是指网络地址转换,1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。这种方法需要在专用网(私网IP)连接到因特网(公网IP)的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址(公网IP地址)。
华为HCNA-Security培训视频教程【共35集】.rar
09-25
目录:网盘文件,永久链接 01-TCPIP协议基础 02-TCPIP协议安全及常见网络攻击方式 03-防火墙概述 04-防火墙功能特性 05-防火墙设备管理 ...43-入侵检测与防御配置 44-网关防病毒配置 45-URL过滤 46-应用控制
hcip-security考证资料
06-18
1. **HRP协议**:HRP(Huawei Redundancy Protocol)华为冗余协议用于防火墙双机热备,确保关键配置和状态信息如会话表、Servermap表、黑白名单及NAT映射表的备份。通过HRP,设备可以在故障发生时快速切换,保证服务...
网络安全试卷一-含答案.doc
06-10
难度:基本题) " " " " " " " "以下各种功能不可能集成在防火墙上的是( ) " " " "网络地址转换NAT " " " "虚拟专用网VPN " " " "入侵检测和入侵防御 " " " "过滤内部网络设备中的MAC地址 " " " "窗体底端 " " " ...
sentry:Bruteforce攻击阻止程序(SSH,FTP,SMTP等)
05-02
名称哨兵-安全有效地防御暴力攻击概要sentry --ip=N.N.N.N [ --connect | --blacklist | --whitelist | --delist ]sentry --report [--verbose --ip = N.N.N.N ]sentry --helpsentry --update其他文件描述Sentry使用...
防火墙————目的NAT
xiazhui1的博客
11-16 941
目的NAT是指对报文中的目的地址和端口进行转换。通过目的NAT技术将公网IP地址转换成私网IP地址,使公网用户可以利用私网地址访问内部Server。根据转换后的目的地址是否固定,目的NAT分为静态目的NAT和动态目的NAT
防火墙NAT配置
悦分享
11-15 2489
1. NAT简介网络地址转换(Network Address Translation)简称为NAT,是是将IP数据包包头中的IP地址转换为另一个IP地址。当IP数据包通过设备时,设备会把IP数据包的源IP地址和/或者目的IP地址进行转换。在实际应用中,NAT主要用于私有网络访问外部网络或外部网络访问私有网络的情况。NAT技术就是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术。要设置一个服务器防火墙,就要使用规则,每个规则指定在包中与什么匹配,以及对包执行什么操作。
华为NAT
HARDYxiaoyao的博客
04-14 946
nat分类: Nat no-pat:相当于思科 动态NAT(多对多) Napt :相当于思科PAT(IP地址不能是接口地址)(多对一) EASY-IP :相当于思科PAT(IP地址是接口地址)()多对一) SMART NAT智能转换):多对多 多对一 三元组NAT:内部服务器发布到网络 IP对应IP 端口对端口 一对一 EASY-IP配置 : 192.168.3.0-(接口)100.0.0.1 1 配置安全策略 security-policy -----配置NAT策略 rule name tu
防火墙的基础知识与源NAT
qq_59359593的博客
09-23 330
可以被视为门控边界或网关,用于管理被允许和被禁止的 Web 活动在专用网络中的传播,监控进出网络的通信量。
深信服防火墙 NAT配置
08-05
引用提到了NAT的不同实现方式,包括静态NAT/NAPT、Easy IP、地址池NATNAT Server、双向NatNat Alg等。引用提到了普通NAT的缺点,即对应用层数据载荷中的字段无法进行有效转换。引用描述了客户内部网络的配置情况。 对于深信服防火墙NAT配置,需要完成以下步骤: 1. 激活防火墙并注册云图,以获取设备的基本信息。 2. 配置网络接口,根据实际拓扑图连接和配置接口的IP地址。例如,eth3配置为10.181.10.X段,用于连接交换机;eth4配置为10.181.11.X段,用于控制AP。 3. 配置应用控制策略,根据需求设置应用的访问权限。 4. 配置安全防护策略,包括防火墙规则、入侵检测和防御等。 5. 进行NAT地址映射,根据需要将私网IP地址转换为公网IP地址。***

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Fly`

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值