网络安全学习笔记——第十五天 域内NAT、域间NAT技术及配置实验

最新推荐文章于 2024-07-17 15:32:11 发布
最新推荐文章于 2024-07-17 15:32:11 发布
阅读量2.9k 收藏 7
点赞数
分类专栏: 网络安全学习笔记 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53800207/article/details/119643626
版权

双向NAT技术

双向NAT两种应用场景:

○ NAT Server+源NAT(又称作域间双向NAT)

为了简化配置服务器至公网的路由,可在NAT Server基础上,增加源NAT配置。好处就是,服务器不需要配网关。

○ 域内NAT

防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址;防火墙将FTP服务器回应报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址。

NAT典型应用场景配置举例

○ 源应用(内网访问外网)

○ NAT Server应用(外网访问内网)

防火墙源NAT配置(CLI)

○ 配置域间访问规则

○ 配置地址池

○ 配置源NAT策略

防火墙NAT Server配置(CLI)

○ 配置内部WEB和FTP服务器

○ 配置域间包过滤规则

NAT双出口实例配置思路

划分安全区域→设置域间安全策略→配置静态路由→配置源NAT策略→配置NAT Server策略

思考题

Easy-ip的应用场景是什么?

当公司的公网地址是通过动态获取的,比如通过DHCP或是PPPOE拨号获取的,这时候没办法确认每一次拨号获得的地址是哪一个,这时候就需要应用到它,转换接口地址就可以了。在实际项目中,即使是固定IP上网的,用这个也可以。

基于目的IP地址NAT中no-reverse参数的意义是什么?

如果使用了它,就没有反向的server-map表项,这个时候服务器没办法主动访问外网,如果不敲这个参数,就可以进行上网,能够生成正向的和反向的server-map表项。

在不同类型NAT应用场景中,域间包过滤规则配置应注意哪些方面?

源NAT:内网→外网,放行T到U的流量

NAT Server:外网→内网,放行U到T的HTTP流量

域间双向NAT:U到T

域内双向NAT:U到T NAT Server的流量,T到T的NAT流量

菜并前进着
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为防火双向NAT
不定期分享一些自己的学习笔记
10-16 2954
华为防火双向NAT
内双向NAT技术
奋斗Zalvin_JE(奋斗Zhy)的个人博客
07-09 3840
内双向NAT 实验目的 企业内部有需要想要将内网的HTTP Server中WEB服务映射到公网地址10.1.12.100的80端口上,一般该需求只需要我们部署NAT Server,就可以使得其他网络内的客户端通过公网地址10.1.12.100访问内网HTTP 服务器的目的。 此时如果我们内网客户端也想要通过该公网地址去访问HTTP Server,那么会出现错误导致无法访问。将HTTP Server的私网地址直接透露出来,也不利于保障WEB服务器的安全性。 本实验通过部署内双向NAT,使得内网地址能够通过
配置NAT举例
03-06
配置NAT举例,让你一看就会的配置实例
华为防火墙-NAT
最新发布
君临天下的博客
07-17 243
将内网PC主机访问内网服务器的时候,把源地址转换为防火墙的接口IP(或者地址池),这样服务器接收到数据报文就会返回给防火墙处理,从而实现源目地址一致。步骤3:这一步服务器查询路由表后,数据包不会发送至防火墙,而是发送至PC,PC无法识别该会话,因此会丢弃该数据包,造成访问不通。场景:创建了服务器映射并开放了安全策略,但是在测试业务的时候出现外网访问公网地址正常,但是内网访问公网地址却不通。图一:服务器映射后,外网访问路径:1-2-3-4,可实现正常访问。图二:服务器映射后,内网访问外网地址,访问异常。
华为路由器NAT配置
vbaspdelphi的专栏
08-28 9839
场景加入我们有一台路由器,简单的一个192.168.0/24的内网,一个出口地址做了NAT,然后我们增加了一个feature,端口映射,而且是一大批端口映射,此时,我们从外部访问NAT的映射服务当然没有问题,但是当从内部通过公网映射调用的时候就有问题了,会被RST,就是重置。这个时候,我们就要用到NAT了。方案1公网口(g0/0/1)acl number 2999 rule 5 perm
华赛USG NAT
weixin_33782386的博客
07-26 231
配置双向NAT举例(NAT和内部服务器) 组网需求 如图1所示,FTP服务器和PC均在USG5300统一安全网关的Trust安全区,FTP服务器的IP地址为10.1.1.2,PC机的IP地址为10.1.1.5,二者通过交换机与统一安全网关相连。需求如下: FTP服务器对外公布的地址为200.1.1.10,对外使用的端口号为21。 ...
NAT域间NAT技术配置实验4.51
kanxingxingdemao的博客
02-02 1563
NAT server + 源NAT 又叫域间双向NAT ,作用就是服务器不用配置网关了。没有其他作用。 用在服务器server3 和客户机client2 在同一个trust zone里,外网用户unstrust zone 访问内网http服务器server3 ,在server nat 和安全策略都设定下可以正常访问,内网访问http服务器server3 时通过dns请求知道服务器的地址,知道了目的地址时10.1.12.254 ,然后防火墙发数据发送给server3 ,但server3 发现clie.
NAT域间NAT技术配置实验4.5
kanxingxingdemao的博客
02-02 231
作用就是服务器不用配网关了。!
学习笔记】计算机网络——第四章 网络层
TommyGong08的博客
05-12 1337
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 文章目录系列文章目录概述数据交换方式为什么要数据交换?数据交换方式电路交换报文交换分组交换分组交换与报文交换时延对比二、使用步骤1.引入库2.读入数据总结 概述 网络层的主要任务是把分组从源端传到目的端,为分组交换网上的不同主机提供通信服务。网络层传输单位是数据包。 功能一:路由选择与分组转发 功能二:异构网络互联 功能三:拥塞控制 分组是什么? 分组和数据报就好像父与子的关系,数据报是比较长的数据,但是分组是把数据报进行
网络信息安全——网络阶段笔记总结--jf
JF_CHOOSE的博客
02-14 919
网络信息安全——网络阶段笔记总结 基础知识: OSI七层模型: 应用层-表示层-会话层-传输层-网络层数据链路层-物理层 tcp/ip四层模型:应用层-传输层-网络层-网络接口层 tcp/ip五层模型:应用层-传输层-网络层-数据链路层-物理层 数据的封装: 应用层 高层数据 单位:pdu 传输层 (源端口,目的端口)tco/udp包头+...
网络协议学习笔记
大圣你在哪
04-02 657
网络协议 阅读原文 计算机网络学习的核心内容就是网络协议的学习。 网络协议是为计算机网络中进行数据交换而建立的规则、标准或者说是约定的集合。因为不同用户的数据终端可能采取的字符集是不同的,两者需要进行通 信,必须要在一定的标准上进行。 一个很形象地比喻就是我们的语言,我们大天朝地广人多,地方性语言也非常丰富,而且方言之间差距巨大。A地区的方言可能B地区的人根本无法接受, 所以我们要为全国人名进行沟通建立一个语言标准,这就是我们的普通话的作用。 同样,放眼全球,我们与外国友人沟通的标准语言是英语,所以我们
计算机网络实验三—— Cisco Packet Tracer 实验
qq_46580518的博客
12-26 8960
本部分实验共有 15 个,需使用 Cisco Packet Tracer 软件完成。 请大家先了解 VLSM、CIDR、RIP、OSPF、VLAN、STP、NAT 及 DHCP 等概念,以能够进行网络规划和配置。 Cisco Packet Tracer 系列视频 Cisco Packet Tracer 实验教程 CPT 软件使用简介 请使用上面的参考链接 1 ,了解和熟悉 CPT 软件的使用。 直接连接两台 PC 构建 LAN 将两台 PC 直接连接构成一个网络。注意:直接连接需使用交叉线。 进行两台
计算机网络学习笔记
qq_46085472的博客
03-16 105
Internet:因特网 internal:互联网 ISP(Internet Service Provider):因特网服务提供商,主机通过ISP申请的IP地址,通信线路、路由器等连接入因特网。ISOS:因特网协会IAB:管理有关协议的开发IETF:研究中短期工程,针对协议的开发和标准化IRTF:从事理论研究和开发需要长期考虑的问题 制定因特网的正式标准的四个阶段:电路交换 报文交换 分组交换分组交换优点:缺点:按范围 :WAN(广)、MAN(城)、LAN(局)、PAN(个)按拓扑结构
NAT配置
good14的博客
06-24 1543
在这个项目中,使用AR1 G0/0/0接口上配置的固定IP地址103.31.200.5作为企业从ISP那里获取的公有IP地址,忽略自动获得IP地址的配置。·项目目的:AR1是企业网关路由器,G0/0/0接口连接ISP,G0/0/1接口连接内网主机,AR2是ISP路由器。·Easy IP的配置步骤是动态NAT配置步骤的子集:·使用ACL对需要进行转换的私有IP地址进行匹配·进入出接口视图配置NAT规则。址,其中103.31.200.5/29是AR1接口G0/0/0使用的IP地址,·清除AR1上的多余配置
端口回流与dns-map与NAT
dolphin98629的专栏
06-23 3004
端口回流与dns-map与NAT 回流的概念: 端口回流&DNS-map&NAT 组网分析: 某企业内部一台主机建了个WEB服务站点端口80,然后在网关Router上映射80端口到Web Server的80端口,这样外网上上就能以公网地址202.38.1.1:80的地址访问到Web Server的站点了。 但是Host A通过公网地址却无法访问服务器,如果Router
NAT实验的总结
weixin_34290390的博客
12-11 583
NAT实验的总结: NAT 是一个IETF 标准,允许一个机构以一个地址出现在Internet 上。NAT 技术使得一 个私有网络可以通过Internet 注册IP 连接到外部世界,位于Inside 网络和Outside 网络 中的NAT 路由器在发送数据包之前,负责把内部IP 地址翻译成外部合法IP 地址。NAT 将每 个局网节点的IP 地址转换成一个合法...
NAT及其配置
ssslq的博客
01-11 4179
NAT及其配置
防火墙域间双向NAT内双向NAT与双机热备实验
m0_68498873的博客
08-08 1239
USG6000V1-GigabitEthernet1/0/1]service-manage all permit 保存主防火墙配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值