ensp防火墙ASPF、NAT ALG配置和NAT server

最新推荐文章于 2022-04-23 16:08:07 发布
最新推荐文章于 2022-04-23 16:08:07 发布
阅读量4.5k 收藏 41
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46626894/article/details/115101771
版权

防火墙ASPF、NAT ALG配置和NAT server

文章目录

实验环境

在这里插入图片描述

实验思路

1、防火墙的NAT配置

  • 基础配置
  • 端口ip设置
  • 划分并配置防火墙安全策略
  • 测试客户端登陆ftp
  • 给防火墙配置NAT
  • 抓包测试

2、NAT server

  • 配置NAT server以及安全策略
  • ping 测试并抓包

具体步骤

1、防火墙的NAT配置

基础配置

client:

在这里插入图片描述

server:

在这里插入图片描述

端口ip设置

FW:

[FW1]int g01/0/1

[FW1-GigabitEthernet1/0/1]ip add 200.1.1.254 24

[FW1-GigabitEthernet1/0/1]int g1/0/0

[FW1-GigabitEthernet1/0/0]ip add 192.168.1.254 24

划分并配置防火墙安全策略

[FW1-zone-trust]add int g1/0/0

[FW1-zone-trust]firewall zone untrust

[FW1-zone-untrust]add int g1/0/1

[FW1]security-policy

[FW1-policy-security]rule name ftp

[FW1-policy-security-rule-ftp]source-zone trust 

[FW1-policy-security-rule-ftp]destination-zone untrust 

[FW1-policy-security-rule-ftp]source-address 192.168.1.1 24

[FW1-policy-security-rule-ftp]destination-address 200.1.1.1 24

[FW1-policy-security-rule-ftp]service ftp

[FW1-policy-security-rule-ftp] action permit 

[FW1]firewall detect ftp

测试客户端登陆ftp

用客户端在服务器端下载文件:
在这里插入图片描述

在这里插入图片描述
登陆后查看server-map发现ASPF已经开始工作:
在这里插入图片描述

给防火墙配置NAT

[FW1]nat-policy

[FW1-policy-nat]rule name nat

[FW1-policy-nat-rule-nat]source-address 192.168.1.1 24

[FW1-policy-nat-rule-nat]source-zone trust

[FW1-policy-nat-rule-nat]destination-zone untrust

[FW1-policy-nat-rule-nat]action source-nat easy-ip

抓包测试

在这里插入图片描述
在这里插入图片描述

IP地址在出外网时已经被替换为公网地址

2、NAT server

配置NAT server以及安全策略

[FW1]firewall zone trust 

[FW1-zone-trust]add int g1/0/0

[FW1-zone-trust]firewall zone untrust

[FW1-zone-untrust]add int g1/0/1

[FW1]security-policy

[FW1-policy-security]rule name server

[FW1-policy-security-rule-server]source-zone untrust 

[FW1-policy-security-rule-server]destination-zone trust

[FW1-policy-security-rule-server]destination-address 192.168.1.0 24

[FW1-policy-security-rule-server]action permit 

[FW1]nat server server protocol icmp global 200.1.1.100 inside 192.168.1.1

ping 测试并抓包

ping:

在这里插入图片描述

抓包:

在这里插入图片描述
在这里插入图片描述

个人总结

ALG涉及到的两个概念

会话:记录了传输层报文之间的交互信息,交互信息相同的报文属于一条流,通常情况下,每个会话对应出方向和入方向。

动态通道:当应用层协议报文中携带地址信息时,这些地址信息会被用于建立动态通道,后续符合该地址信息的连接将使用已经建立的动态通道来传输数据。

ALG与FTP的应用

FTP的两种不同工作模式:PORT(主动模式)与PASV(被动模式)。

FTP需要用到两个连接:控制连接与数据连接,控制连接专门用于FTP控制命令及命令执行信息传送;数据连接专门用于传输数据(上传/下载)。

Nat Server
功能是使用一个公网地址来代表内部服务器对外地址。

蓝蓝天空下的阿钰
关注
  • 2
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙NAT应用代理配置
悦分享
10-06 135
例如,一个使用内部IP地址的FTP服务器可能在和外部网络主机建立会话的过程需要将自己的IP地址发送给对方。对于一些特殊协议,例如FTP等,它们报文的数据部分可能包含IP地址信息或者端口信息,这些内容不能被NAT有效的转换。ALG是对特定的应用层协议进行转换,在对这些特定的应用层协议进行NAT转换过程,通过NAT的状态信息来改变封装在IP报文数据部分的特定数据,最终使应用层协议可以跨越不同范围运行。NAT只能转换传输层或网络层的地址,FTP应用层的地址没有转换。ALG的,选择要开启的相应的服务即可。
华为eNSP防火墙NAT配置
热门推荐
YT的博客
01-12 2万+
NAT技术的基本原理 NAT技术通过对IP报文头的源地址或目的地址进行转换,可以使大量的私网IP地址通过少量的公网IP地址来访问公网。 NAT是将IP数据报文报头的IP地址转换为另一个IP地址的过程。从实现上来说,一班的NAT转换设备(实现NAT功能的网络设备)都维护者一张地址转换表,所有经过NAT转换设备并且需要进行地址转换的报文,都会通过这个表做相应的修改。地址转换的机制分为如下两个部分...
华为防火墙ASPF详解及配置实例
永远是少年
07-26 6928
今天继续给大家介绍防火墙。本文主要介绍防火墙ASPF原理,并使用华为eNSP模拟器,实际搭建了应用场景展示ASPF的x相关配置。 一、ASPF详解 ASPF,即Application Specific Packet Filter,应用层的包过滤,及给予状态的报文过滤。ASPF能够检测试图通过设备的应用层号会话信息,通过维护会话的状态和检查会话报文的协议和端口号等信息,使得某些特殊应用的报文能够正常转发。 ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议在通信过程自动协商一些随机端口,在严
ENSP下实现配置NAT实验
qq_48111800的博客
04-07 8762
配置NAT的实验 静态 NAT:在 Router 的公网侧接口 GE0/0/1 下配置静态 NAT ,将私有 IP 地址 192.168.0.2 与公有 IP 地址 202.10.1.3 绑定起来。 NAT Server配置 动态 NAT 和 easy IP 的配置 拓展知识: Easy-ip是NAPT的一种特例是单向转换的,配置时候不需要创建公网地址池。 NAPT是实现私有IP和NAT的公共IP之间的动态转换。 Easy-ip是实现公网IP 地址实现与私网IP 地址之间的映射。适 合小型局域网接入I
eNSP下园区网综合实验分步配置(5)出口路由、NAT Server、ACL、策略路由、Telnet
m0_51770049的博客
04-23 4865
出口路由、NAT Server、ACL、策略路由、Telnet配置
华为防火墙ensp vmware 虚拟机连接实验natserver
荆盼的博客
12-24 4355
vmware虚拟内网主机为winserver 2008rR。外网使用winxp系统。 目的,外网通过外网地址访问内网web服务。内网网段为192.168.1.0/24,服务器地址192.168.1.2/24 拓扑图 服务器和客户端与FW1连通 vmware上服务器网卡设置 vmware上客户端网卡设置   1、配置接口ip,将将接口加入到安全区域 2、先关闭默认安全...
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙的基本配置文件
华为模拟器eNSP 防火墙 USG6000V10
08-18
USG6000系列防火墙的固件, 解压文件,在模拟器上启动USG6000时会提示加载固件,选择解压后的vdi文件,导入后再次点击启动。 注意:命令窗口#号增加属于正常现象,起码跑三四行#号后正常启动。 帐号:admin 密码:...
ENSP实验Acl nat server
10-20
ENSP实验Acl nat server
华为eNSP防火墙USG6000v安装包
04-22
华为eNSP防火墙USG6000v安装包
ensp模拟器USG6000V防火墙导入包
11-07
解压后会获得vfw_usg.vdi文件,建议放到Oracle VM VirtualBox文件夹同级目录下,然后新建USG6000V防火墙时会弹出导入界面,然后选择vfw_usg.vdi文件直接导入ensp模拟器即可正常使用。 后续不会操作可以私信联系我,...
eNSP防火墙NAT
qq_50810522的博客
01-05 7545
上次我们简单的说了一下防火墙的安全策略,这次说说NAT(网络地址转换)的简单配置,拓扑如下 假定192.168.10.100为公司内网,192.168.30.100为公网 内网192.168.10.100直接使用该ip访问外网有一定安全隐患,此时配置NAT,便能将该ip转换为指定ip,从而提高安全性。 配置如下 ip、安全区域(左边为trust,右边untrust)和安全策略(trust->untrust能ping通)的配置就不说了,比较简单。 接下来是配置一个NAT地址池 然后.
NAT网络地址转换&PAT端口! ! ! ! ! !
panrenjun的博客
11-18 2086
文章目录一、NAT网络地址转换1、NAT工作原理2、私有网络地址和公有网络地址3、NAT功能4、静态NAT二、PAT端口多路复用1、PAT有以下作用:2、PAT的类型有以下:(1).NATP(2).Easy Ip(3). NAT Server 一、NAT网络地址转换 NAT(Network Address Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访。 1、NAT工作原理 NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信。 NA
计算机网络(NAT
qq_44685426的博客
11-26 623
通过学习计算机网络的ip我们发现,ipv4最多拥有2^32位地址,不太满足现在的网络需要。 所以提出来NAT技术来对网络进行管理 在A,B,C三类网络地址,各自存在一部分私有地址 A:10.0.0.0 - 10.255.255.255 (一个A类地址) B:172.16.0.0-172.31.255.255(16个B类网络) C:192.168.0.0-192.168.255.255 (相当于256条C类网段) 而私网IP地址的可复用性(仅保持私网内部的唯...
实验记录配置华为NAT Server
解启超
03-30 1203
1)将内部地址10.1.1.11/24的80端口静态转换为公网地址200.1.1.11/28的80端口,以便被外网(Client2)访问;同时Server1和Client2可以互相ping通。 2)将内部地址10.1.1.12/24的21端口静态转换为公网地址200.1.1.12/28的21端口,以便被外网(Client2)访问。 搭建实验环境 实现此案例需要按照如下步骤进行。 int g0/0...
NAT ALG原理与应用
810364804
07-02 2246
1NAT ALG简介 普通NAT实现了对UDP或TCP报文头的的IP地址及端口转换功能,但对应用层数据载荷的字段无能为力,在许多应用层协议,比如多媒体协议(H.323、SIP等)、FTP、SQLNET等,TCP/UDP载荷带有地址或者端口信息,这些内容不能被NAT进行有效的转换,就可能导致问题。而NAT ALG(Application Level Gateway,应用层网关)技术能对多通...
aspf
no pay no gay
10-01 7278
aspf(application specific packet filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。 为保护网络安全,基于acl规则的包过滤可以在网络层和传输层检测数据包,防止非法入侵。aspf能够检测应用层协议的信息,并对应用的流
华为ensp 清楚所有配置命令
最新发布
05-10
华为的企业网络模拟器 (Enterprise Network Simulation Platform, ENSP) 是一款能够模拟华为企业级网络设备的工具,让您能够在电脑上实现对华为网络设备的配置和管理。下面是一些常用的 ENSP 配置命令: 1. 设备名称配置命令:sysname 2. VLAN 配置命令:vlan 和 port vlan 3. 端口基础配置命令:interface 和 undo interface 4. IP 地址配置命令:ip address 和 undo ip address 5. 静态路由配置命令:ip route-static 和 undo ip route-static 6. OSPF 协议配置命令:ospf 和 undo ospf 7. 配置 SSH 登录:ssh user 和 ssh server 8. 配置 Telnet 登录:telnet server enable 和 telnet user 9. 保存配置命令:save 以上是一些常用的 ENSP 配置命令,你可以根据需要进行参考使用。如果您想要了解更多的 ENSP 配置命令,建议您可以参考官方文档或者相关教程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值