防火墙虚拟系统NAT以及NAT server

最新推荐文章于 2024-07-11 10:48:33 发布
最新推荐文章于 2024-07-11 10:48:33 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: 网安-HCIP专栏 文章标签: 防火墙 HCNP NAT server NAT 转换 虚拟系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1291594496/article/details/98352098
版权

防火墙虚拟系统NAT以及NAT server

实验topo:

在这里插入图片描述

实验目的:

  1. 熟悉虚拟系统原理

实验需求:

某云计算数据中心采用NGFW用于网关出口的安全防护,实际的要求如下:

  1. NGFW虽然只有一个公网接口,但是公网IP地址数量比较充足。通过在NGFW上配置服务器映射(NAT Server),客户可以通过独立的公网IP地址访问属于自己的服务器资源。企业A使用公网IP 200.1.1.11;企业B使用公网IP 200.1.1.12;企业C使用公网IP 200.1.1.13;
  2. 企业A/B的服务器不能主动访问外网,企业C的服务器需要主动访问外网;
  3. 由于规划问题,企业A /B服务器网段都为10.1.1.0/24,请临时想办法解决;

配置思路:

  1. 创建三个虚拟系统,并且分配单独的公网地址,写默认路由指向isp:
vsys name fir 1
 assign interface GigabitEthernet1/0/6    
 assign global-ip 200.1.1.111 200.1.1.111 exclusive
vsys name sec 2
 assign interface GigabitEthernet1/0/5
 assign global-ip 200.1.1.122 200.1.1.122 exclusive
vsys name thi 3
 assign interface GigabitEthernet1/0/4
 assign global-ip 200.1.1.13 200.1.1.13 exclusive
ip route-static 0.0.0.0 0.0.0.0 200.1.1.2   ---默认指向ISP的路由
  1. ,Fir配置接口加区域,Sec配置接口加区域,Thi配置接口加区域,配置默认指向public:
Fir:      ---Sec和Thi的配置与上述类似,这里不赘述
interface GigabitEthernet1/0/6
 ip address 10.1.1.1 255.255.255.0
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/6                                       
firewall zone untrust
 set priority 5
 add interface Virtual-if1
ip route-static 0.0.0.0 0.0.0.0 public
  1. ISP配置接口模拟外网:
interface GigabitEthernet0/0/2
 ip address 61.67.1.1 255.255.255.0
interface GigabitEthernet0/0/3
 ip address 200.1.1.2 255.255.255.0
interface LoopBack1
 ip address 8.8.8.8 255.255.255.255
  1. 我们先实现外网用户访问Fir的内网服务器,我们需要在Fir上配置Nat server 将内网服务器的IP地址给映射出来,映射为一个虚拟的公网地址:
IP地址: 10.1.1.3 --> 200.1.1.111 --> 200.1.1.11
Fir:
 nat server fir 0 global 200.1.1.111 inside 10.1.1.3 no-reverse
  1. 在真墙上,将虚拟的公网地址转换成真正的公网地址:
Public:
 nat server fir 1 global 200.1.1.11 inside 200.1.1.111 no-reverse
  1. 完成上述步骤后还不可以实现通信,因为在回程的时候,真正的公网地址找不到虚拟的公网地址,所以我们需要配置根墙到虚拟墙的回程路由
Public:
 ip route-static 200.1.1.111 32 vpn-instance fir
  1. 在根墙上写安全策略,方便起见,所有虚拟墙默认放行所有:
security-policy
 rule name fir
  source-zone untrust
  destination-zone trust
  action permit
 rule name sec
  source-zone untrust
  destination-zone trust
  action permit
 rule name thi
  source-zone trust
  destination-zone untrust
  action permit
  1. 我们再实现外网用户访问Sec的内网服务器,配置过程同Fir
IP地址: 10.1.1.2 --> 200.1.1.122 --> 200.1.1.12
Sec:   ---将内网地址映射到虚拟公网地址
 nat server fir 0 global 200.1.1.122 inside 10.1.1.2 no-reverse
Public:   ---将虚拟公网地址映射到真正的公网地址
 nat server fir 1 global 200.1.1.12 inside 200.1.1.122 no-reverse
 ip route-static 200.1.1.122 32 vpn-instance Sec
  1. Thi访问外网,我们需要做的是nat转换,先写一个address-group放转换后的地址:
Thi:
nat address-group thi
 section 0 200.1.1.13 200.1.1.13
  1. 写nat policy:
Thi:
nat-policy
 rule name ww
  source-zone trust
  destination-zone untrust
  action nat address-group thi

实验结果:

外网访问企业A:
[isp]ping 200.1.1.11
  PING 200.1.1.11: 56  data bytes, press CTRL_C to break
    Reply from 200.1.1.11: bytes=56 Sequence=1 ttl=253 time=40 ms
    Reply from 200.1.1.11: bytes=56 Sequence=2 ttl=253 time=50 ms
    Reply from 200.1.1.11: bytes=56 Sequence=3 ttl=253 time=20 ms
    Reply from 200.1.1.11: bytes=56 Sequence=4 ttl=253 time=50 ms
    Reply from 200.1.1.11: bytes=56 Sequence=5 ttl=253 time=20 ms
外网访问企业B:
[isp]ping 200.1.1.12
  PING 200.1.1.12: 56  data bytes, press CTRL_C to break
    Reply from 200.1.1.12: bytes=56 Sequence=1 ttl=253 time=30 ms
    Reply from 200.1.1.12: bytes=56 Sequence=2 ttl=253 time=30 ms
    Reply from 200.1.1.12: bytes=56 Sequence=3 ttl=253 time=40 ms
    Reply from 200.1.1.12: bytes=56 Sequence=4 ttl=253 time=40 ms
    Reply from 200.1.1.12: bytes=56 Sequence=5 ttl=253 time=50 ms
企业A访问外网:

在这里插入图片描述

谢泽浩
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
防火墙虚拟系统综合实验1
earthtoearth的博客
08-13 954
1、接口地址配置:防火墙接口地址外网为.12,内网虚拟墙侧均为.254,内网PC1和server均为.10,外网PC为.105,如图所示配置相应接口地址及终端地址。在根系统上配置路由使外网能够访问内网服务器端、使内网客户端访问内网服务器端,使内网能够访问外网。在两个虚拟系统设置路由使其能够访问根系统。3、nat server配置。虚拟系统连接服务器端。
防火墙NAT server和配置
kanxingxingdemao的博客
01-31 1342
防火墙————NAT Server
xiazhui1的博客
11-16 3094
NAT(Network Address Translation)服务器是一种网络设备或服务,用于在内部网络和外部网络之间进行地址转换。在网络通信中,每个设备都需要一个唯一的IP地址来进行识别和通信。然而,IPv4地址空间有限,而且经常会出现IP地址不足的情况。为了解决这个问题,引入了NAT技术。NAT具有“屏蔽”内部主机的作用,将内部网络的私有IP地址转换成公网IP地址,从而在有限的公网IP地址下支持多个内部设备与外部网络通信。
华为防火墙虚拟
最新发布
2301_78439235的博客
07-11 1004
配置思路:vsys配置zone,zone里添加接口,接口配ip,vsys内配置安全策略permit all,vsys配置缺省路由到public,根墙配置安全策略允许1.100主机到 ,Vsys配置策略允许A,B部门访问server IP,通过配置虚拟系统,可让部署在云计算中心出口的FW具备云计算网关的能力,对不同租户流量进行隔离的同时提供安全防护能力。在虚拟系统这个特性中,根系统的作用是管理其他虚拟系统,并为虚拟系统间的通信提供服务。配置G1/0/2接口区域,IP,virtual-if2区域,
第9章 防火墙NAT服务器
牛志欢的专栏
11-04 525
概述:防火墙是网络封包进入主机的第一道关卡,防火墙
静态NATNAT server、NAPT区别
君逍遥o
06-14 2479
NAT(Network Address Translation网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。
基于ensp 防火墙NAT搭建
j2941174356的博客
07-26 1332
pc1 为 10.1.1.3 pc2 为 20.1.1.3。client 2 为 10.1.1.4 client1 为 20.1.1.2。server 1 为 10.1.1.2 server2 为 12.1.1.2。有单独的服务映射,在此处新建。
NATserver nat、域内双向NAT、域间双向NAT,以及双机热备实验,练习IPS配置实验。
xiaooxiangg的博客
03-21 869
lsw1]ip route-static 0.0.0.0 0 10.1.2.254 防火墙的虚网关。然后ping100.1.1.2抓包发现地址进行了地址转换。做同步,在防火墙之间连一根线,把两条接口配成一个网段。配置好防火墙地址,然后用网页登录两个防火墙。配置虚拟IP和第一个防火墙配置方法一样。写一条trust到untrust的策略。写untrust 到dmz 的策略。如图先配置好各个设备IP地址。LSW2配置配法LSW1的一样。trust区加一个服务器。还原后主备切换回为原来。
防火墙以及IDS知识详解(NAT实验,双机热备实验)
weixin_59181877的博客
03-26 1651
IDS是入侵检测系统(Intrusion Detection System)的英文缩写,是一种能够检测计算机网络或系统中可能存在的入侵行为的安全设备或软件。IDS能够通过实时监视计算机网络或系统中的流量、事件和行为等信息,来检测并报告可能存在的入侵行为,帮助管理员及时发现和处理安全威胁。IDS可以分为两种类型:主机IDS和网络IDS。主机IDS是安装在单个主机上的入侵检测软件,主要用于检测主机操作系统和应用程序的安全性。
设备安全——防火墙策略实验【NAT、备份】
Miracle_ze的博客
09-12 2354
本次实验在第一次基础策略实验的基础上进行nat与双机热备的实验。掌握了对其防火墙NAT和双机热备的实验步骤。
华为虚拟防火墙技术
weixin_44548030的博客
02-26 689
虚拟防火墙技术 vsys1 vsys2 互相访问技术
H3C华三 SecPath1800F防火墙NAT Server一对多地址映射的典型配置
07-12
解决需求:对内网服务器提供不同的服务独立做NATServer映射。
H3C华三 SecPath防火墙nat server over pppoe的典型配置组网
07-12
PC通过PPPOE拨号上网,公司内部WEB服务器、邮件服务器和FTP服务器 需要映射到公网。
nat服务器的作用,nat虚拟服务器(tp路由器虚拟服务器能干嘛)
weixin_36264801的博客
07-31 2310
那么虚拟服务器功能的区别呢?还有可网管的路由器中的NAT的区别 [h3c-。NAT:将私有IP转换成公网IP,让内网的计算机能访问互联网,但不能像楼主说的能将内网的FTP面向INTERNET。因为互联网的计算机访问局域网的公网IP时,路由器不知。路由器里面 dmz、虚拟服务器、nat 3个功能是不是差不多的啊,有何区别呢。你好!差不多。DMZ可以设置单个ip,像开放哪台服务器。可以建立一个主机开放...
VMware虚拟机联网之NAT 转换模式
weixin_46286477的博客
10-23 594
1.NAT定义:当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。 另外,这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用的IP地址空间的枯竭。 2.NAT模式是借助虚拟NAT设备和虚拟DHCP服务器,使虚拟机可以联网。 3.联网步骤: 一,设置虚拟NAT模式选项, 1.单机编辑,打开虚拟网络编辑器。 2.选中VMnet8,设置NAT和DHCP的参数。 注意:子网IP
防火墙在云计算安全方案中的应用,两种方案提供选择
网络技术联盟站
07-28 261
FW_A上的GE1/0/2接口划分了两个子接口(也可以根据Portal系统的实际网络情况划分多个子接口),每个子接口上都配置了IP地址,每个子接口都划分到根系统的DMZ区域中。FW_A上的GE1/0/2接口划分了两个子接口(也可以根据Portal系统的实际网络情况划分多个子接口),每个子接口上都配置了IP地址,每个子接口都划分到根系统的DMZ区域中。使用安全策略对虚拟机和Portal系统的业务进行访问控制,在每个虚拟系统中配置针对虚拟机业务的安全策略,在根系统中配置针对Portal系统业务的安全策略。
思科ASA防火墙接口区域基本信息
将勤补拙
11-26 3847
1.接口配置 设置接口0/0为inside区域 enable //进入特权模式 configure terminol //进入配置模式 hostname ASA //改防火墙名字为ASA interface gigabitEthernet0/0 //进入接口0/0 nameif inside //设置接口为inside区域(内网区域) (必须创建区域名称才行) (区域名字叫inside默认安全级别为100 其他的区域名称默认都...
跨厂商IPSEC实践配置--总部(华为USG)防火墙和分支机构(思科ASA)防火墙之间点到点IPSEC 连接,两端公网出口IP固定、且出口存在NAT
aassassinator的博客
12-12 3598
一、案例介绍 本例介绍总部和分支机构的出口网关同时为NAT设备时如何建立IPSec隧道 二、组网拓扑 某企业分为总部(A)和分支机构(B)。 如下图所示: (建议将上图画在草稿纸上,标好端口及IP,以便后续配置时候查看) 组网如下: • 总部(A)和分支机构(B)分别通过FW_A和FW_B与Internet相连。 • FW_A和FW_B公网路由可达。 • 总部FW_A和分支机构FW_B为固定公网地......
防火墙入侵与检测 day06 防火墙虚拟系统
果子哥丶的博客
05-28 1270
虚拟系统简介、 虚拟系统实现原理( 虚拟系统分流方式、 虚拟系统互访原理)、 虚拟系统配置部署、 *额外知识:GRE隧道传输
vcsa使用nat网卡报红
06-27
当VCSA(VMware vCloud Director Server Appliance)使用NAT(网络地址转换)网卡时,可能会遇到一些报红的情况。这通常是由于网络配置不正确、防火墙限制、NAT规则冲突或与外部网络的连接问题导致的。以下是一些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

谢泽浩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值