防火墙如何处理nat(私网用户访问Internet场景)

于 2024-01-18 07:30:00 发布
阅读量2.1k 收藏 40
点赞数 44
分类专栏: 网络安全之防御保护 文章标签: 网络 服务器 网络安全 huawei
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61802503/article/details/135658635
版权

目录

私网用户访问Internet场景

多个用户共享少量公网地址访问Internet的时候,可以使用源NAT技术来实现。
源NAT技术只对报文的源地址进行转换。

在这里插入图片描述

  • NAT(Network Address Translation)是一种地址转换技术,可以将IPv4报文头中的地址转换为另一个地址。通常情况下,利用NAT技术将IPv4报文头中的私网地址转换为公网地址,可以实现位于私网的多个用户使用少量的公网地址同时访问Internet。因此,NAT技术常用来解决随着Internet规模的日益扩大而带来的IPv4公网地址短缺的问题。
  • 在学校、公司中经常会有多个用户共享少量公网地址访问Internet的需求,通常情况下可以使用源NAT技术来实现。源NAT技术只对报文的源地址进行转换。通过源NAT策略对IPv4报文头中的源地址进行转换,可以实现私网用户通过公网IP地址访问Internet的目的。
  • 如图所示,FW部署在网络边界处,通过部署源NAT策略,可以将私有网络用户访问Internet的报文的源地址转换为公网地址,从而实现私网用户接入Internet的目的。

源NAT的两种转换方式

源NAT转换方式含义场景
NAT No-PAT只转换报文的IP地址,不转换端口需要上网的私网用户数量少,公网IP地址数量与同时上网的最大私网用户数量基本相同
NAPT同时转换报文的IP地址和端口公网IP地址数量少,需要上网的私网用户数量大
  • 源NAT有多种转换方式,这里我们只介绍其中的两种。
  • 不带端口转换的地址池方式(No-PAT):
    • 内部私网用户共享地址池中的IP地址,按照一个私网IP地址对应一个公网IP地址的方式进行转换。地址转换的同时不进行端口转换,地址池中IP的个数就是最多可同时上网的私网用户数。适用于某些服务需要使用特定的源端口,不允许进行源端口转换的场景。
  • 带端口转换的地址池方式(NAPT):
    • 一般适用于私网用户较多的大中型网络环境,多个私网用户可以共同使用一个公网IP地址,根据端口区分不同用户,所以可以支持同时上网的用户数量更多。

NAT No-PAT

NAT No-PAT也可以称为“一对一地址转换”,只对报文的地址进行转换,不转换端口

在这里插入图片描述- NAPT属于“多对一的地址转换”,在转换过程中同时转换报文的地址和端口。

  • NAPT方式通过配置NAT地址池来实现,NAT地址池中可以包含一个或多个公网地址。转换时同时转换地址和端口,即可实现多个私网地址共用一个或多个公网地址的需求。
  • 如图所示,当Host访问Web Server时,FW的处理过程如下:
    • FW收到Host发送的报文后,根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动,通过安全策略检查后继而查找NAT策略,发现需要对报文进行地址转换。
    • FW从NAT地址池中选择一个公网IP地址,替换报文的源IP地址,同时使用新的端口号替换报文的源端口号,并建立会话表,然后将报文发送至Internet。
    • FW收到Web Server响应Host的报文后,通过查找会话表匹配到上一步骤中建立的表项,将报文的目的地址替换为Host的IP地址,将报文的目的端口号替换为原始的端口号,然后将报文发送至Intranet。
  • 此方式下,由于地址转换的同时还进行端口的转换,可以实现多个私网用户共同使用一个公网IP地址上网,FW根据端口区分不同用户,所以可以支持同时上网的用户数量更多。

NAPT配置思路

某公司在网络边界处部署了NGFW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet,需要在NGFW上配置源NAT策略。除了公网接口的IP地址外,公司还向ISP申请了2个IP地址(1.1.1.10~1.1.1.11)作为私网地址转换后的公网地址。网络环境如图所示,其中Router是ISP提供的接入网关。

在这里插入图片描述### 配置思路

  1. 配置接口IP地址和安全区域,完成网络基本参数配置。
  2. 配置安全策略,允许私网指定网段与Internet进行报文交互。
  3. 配置NAT地址池。
  4. 配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
  5. 在NGFW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。
  6. 在NGFW上配置黑洞路由,避免NGFW与Router之间产生路由环路。
  7. 在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往NGFW。
  8. 在Router上配置静态路由,使从Internet返回的流量可以被正常转发至NGFW。

规划

在这里插入图片描述

NAPT配置命令

在这里插入图片描述

配置接口IP地址并将接口加入相应安全区域

interface GigabitEthernet1/0/1
 ip address 10.1.1.1 255.255.255.0 
#
interface GigabitEthernet1/0/2
 ip address 1.1.1.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2

配置安全策略

security-policy   
  rule name policy_sec_1  
    source-zone trust 
    destination-zone untrust 
    source-address 10.1.1.0 24  
    action permit

配置NAT地址池

nat address-group addressgroup1 
 section 0 1.1.1.10 1.1.1.11

配置源NAT策略

nat-policy  
  rule name policy_nat_1 
    source-zone trust 
    destination-zone untrust  
    source-address 10.1.1.0 24   
    action nat address-group addressgroup1

配置缺省路由

ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

配置黑洞路由

ip route-static 1.1.1.10 255.255.255.255 NULL0 
ip route-static 1.1.1.11 255.255.255.255 NULL0
CyberSecure
关注
  • 44
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
防火墙NAT讲解(二)
一起努力共同进步,为了未来一起奋斗吧!
12-07 1186
防火墙静态nat原理讲解,带你吃透防火墙nat
华为防火墙USG6000V-私网用户通过NATNo-PAT访问Internet.pdf
05-12
华为防火墙USG6000V-私网用户通过NAT No-PAT访问Internet(访问明确的目的Server)
基于NTRU的签名算法学习1
m0_63642362的博客
06-03 1007
基于NTRU的签名算法学习1
防火墙静态NAT转换】
yuxue_cn的博客
05-20 731
防火墙静态NAT转换 一、网络拓扑 二、需求描述 内部webserver 192.168.1.100通过USG访问外网时映射成200.1.1.2/24。 外部人员访问200.1.1.2时可以访问到内部192.168.1.100的资源,只允许外部人员访问192.168.1.100的80资源,其他资源不允许访问。 实验步骤: 1.在USG上配置静态NAT转换策略并调试。 在防火墙上配置安全策略pf2 新建安全策略pf3 配置NAT转换规则 新建地址池song1(200.1.1.1~200.1.1.3
华为NAT
HARDYxiaoyao的博客
04-14 926
nat分类: Nat no-pat:相当于思科 动态NAT(多对多) Napt :相当于思科PAT(IP地址不能是接口地址)(多对一) EASY-IP :相当于思科PAT(IP地址是接口地址)()多对一) SMART NAT智能转换):多对多 多对一 三元组NAT:内部服务器发布到网络 IP对应IP 端口对端口 一对一 EASY-IP配置 : 192.168.3.0-(接口)100.0.0.1 1 配置安全策略 security-policy -----配置NAT策略 rule name tu
五、防火墙NAT转换
weixin_45761101的博客
05-07 7497
网络地址转换原理 NAT技术的基本原理 NAT是将数据报文头的一种地址转换成另一种ip地址的过程,主要是使用在内网地址访问公网地址,每一个NAT的设备都会有一个地址转换表,通过这个地址转换表可以实现地址转换。地址转换分为以下两种 内网网络主机IP地址和端口映射陈外网ip地址和端口 外网网络IP地址和端口映射成内网主机IP地址和端口 通常使用在内网和外网网络的交会地,常见设备有路由器、防火墙 NAT分类 NAT可以分为以下三类 静态映射(NAT Server):公网地址和私网地址一对一进行映射,用于公网用
防火墙NAT技术
曹世宏的博客
03-14 3万+
防火墙NAT技术简介 NAT(Network Address Translation)是一种地址转换技术,可以将IPv4报文头的地址转换为另一个地址。通常情况下,利用NAT技术将IPv4报文头私网地址转换为公网地址,可以实现位于私网的多个用户使用少量的公网地址同时访问Internet。因此,NAT技术常用来解决随着Internet规模的日益扩大而带来的IPv4公网地址短缺的问题。 NAT类型...
山石防火墙目的NAT配置举例.docx
08-31
山石防火墙目的NAT配置举例
CheckPoint防火墙Nat配置讲解
10-31
CheckPoint防火墙Nat配置讲解
防火墙NAT Server & 源NAT实验.zip
03-03
防火墙NAT Server & 源NAT实验
防火墙 Juniper NAT配置专题
09-06
防火墙 Juniper NAT配置专题
华为防火墙NAT配置
热门推荐
qianyiweiliang的博客
10-13 4万+
华为防火墙NAT配置
19-思科防火墙:ASA静态NAT
weixin_33964094的博客
07-07 1085
一、实验拓扑:二、实验要求:前提:R1、R2、R3分别有默认路由指向ASA对应的接口地址1、R1直接Telnet R3转化后的地址,就可以成功进入R3界面;2、这时候流量放行是不需要放行R3转换后的流量的,因为已经放行了主机R1访问真实主机R3地址的流量;3、部署好以后即使干掉R1到ASA的默认路由,R1依然可以Telnet到R3三、命令部署:1、清除上个实验的Object并查看:ASA(conf...
H3C防火墙NAT类型及处理顺序
phoenixbleed的博客
04-19 1万+
H3C防火墙NAT处理顺序 本文主要适用于H3C V7版本防火墙,介绍了NAT的基本类型和执行顺序。相关内容很多援引H3C官方产品文档,NAT类型及相关说明以官方文档为准。 1 NAT类型及配置说明 H3C V7产品支持的NAT按照组网方式可分为以下几种: (1) 传统NAT 报文经过NAT设备时,在NAT接口上仅进行一次源IP地址转换或一次目的IP地址转换。对于内网访问外网的报文,在出...
20-思科防火墙:Network Static NAT网络静态NAT
weixin_33795806的博客
07-07 930
一、实验拓扑:二、实验要求:本质:将一个连续的网络转换到另一个连续的网络。1、配置Network static NAT,转换Inside网络10.1.1.0/28到DMZ区域的网络地址10.1.2.0/28;这是网段转换为另一个网段;2、配置Network static NAT,转换DMZ网络10.1.2.200-10.1.2.210到Outside区域的网络地址202.100.1.200-202...
三、防火墙配置(2)---防火墙NAT配置
qq_43168364的博客
04-19 2149
一、实验内容 1、创建如下图所示的拓扑结构 2、掌握在ASA防火墙上配置NAT(动态NAT、静态NAT、动态PAT、静态PAT) 3、会配置ASA的远程管理(SSH、ASDM) 二、实验环境 操作系统:WIN10、winxp 软件:GNS3.0 三、实验步骤 路由器:Router c3600 Cloud 交换机:Ethernet switch 1、在GNS创建如下图所示的网络拓扑结...
华为防火墙NAT介绍及配置详解
weixin_53049621的博客
04-10 1万+
博文大纲: 一、华为防火墙NAT的六个分类; 二、解决NAT转换时的环路及无效ARP; 三、server-map表的作用; 四、NAT对报文的处理流程; 五、各种常用NAT的配置方法; 一、华为防火墙NAT的六个分类 华为防火墙NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少。 NAPT(Network Address and Port Translation,网络地址和端口转换):类似于C
NAT防火墙的原理区别和分类
雷的SIP专栏
04-25 9391
       1、NAT        NAT是Net Address Translation 的缩写,从名字也可以看出,它是负责网络地址转换的一个协议。通俗的说,它负责把私网内的的IP和端口转换成公网的IP和端口,也即使我们通常所说的IP地址影射。例如:公司内一般有一个私网,假设为10.1.1.1网段。公司通过一个公网服务器(机器A)接入Internet,此服务器内网IP为10.1.1.1,
网络安全防火墙NAT实验
命运的旋律的博客
10-29 2204
防火墙NAT实验 实验步骤 配置IP地址,并检测直连链路通信无异常 依次进行动态NAT、PAT和静态NAT、PAT的配置 再进行NAT豁免实验 依次进行实验的结果测试 实验拓扑 根据拓扑,配置路由器和PC的IP地址,因为配置IP地址比较简单,这里就不一一记录 实验命令 ASA防火墙 ciscoasa(config)# int e0/1 ciscoasa(config-if)# nameif...
公网访问私网有那种nat
最新发布
07-13
常见的公网访问私网NAT 类型有以下几种: 1. 静态 NAT:将私有 IP 地址映射为公共 IP 地址的一对一映射关系。当公网用户请求访问私有网络的某个主机时,NAT 设备会将请求的目标地址修改为私有网络对应主机的 IP 地址。 2. 动态 NAT:将私有 IP 地址映射为一组公共 IP 地址一个实现多个私有 IP 地址与一个公共 IP 地址之间的映射。NAT 设备会根据配置的转换规则,动态地分配公共 IP 地址给私有网络的主机。 3. PAT (Port Address Translation):也称为 NAPT (Network Address Port Translation),是一种基于端口号的动态 NAT。PAT 在转换 IP 地址的同时,还会转换端口号,使得多个私有 IP 地址可以共享一个公共 IP 地址。 这些 NAT 技术可以帮助企业或个人将私有网络的资源暴露给公网,实现公网访问私网的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CyberSecure

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值