NGFW_源NAT

已于 2023-02-13 10:28:34 修改
阅读量6k 收藏 1
点赞数
分类专栏: 华为防火墙 NAT 文章标签: 服务器 网络 运维
于 2023-02-12 18:24:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27599713/article/details/128996277
版权

一,源NAT简介

        源NAT是指将报文的源地址进行转换。如图所示,当私网地址用户访问Internet时,FW将报文的源地址由私网地址转换为公网地址。当响应报文返回到FW时,FW再将报文的目的地址转换为私网地址。

         根据原地址转换是否转换端口,源NAT分为仅源地址转换的NAT(NAT No-PAT),源地址和源端口同时转换的NAT(NAPT,Smart NAT,Easy IP,三元组NAT)。

二,源NAT分类

2.1NAT NO-PAT

        NAT NO-PAT是一种NAT转换时只转换地址,不转换端口,实现死亡地址到公网地址一对一的地址转换方式。

如图,当PC1访问Web Server时,FW处理流程如下:

        1.FW收到PC发送报文,根据源目IP和源目安全区域通过安全南侧路也后匹配NAT策略,发现需要对报文进行地址转换。

        2.FW根据轮询从地址池中选择一个空闲的公网IP,替换报文的源IP,并建立server-map表和会话表。

        3.FW收到Web Server响应的Host报文后,通过查找会话表匹配到表项,将目的地址转换为PC的IP并转发给PC。

关于Server-map表项:

        正向Server-map表项保证私网用户访问Internet时快速转换地址,提高处理效率。

        反向Server-map表项允许Internet用户主动访问私网用户。

关于NAT NO-PAT的local/global参数:

        本地local:NO-PAT生成的Server-map表中包含安全区域参数,只有此安全区域可以访问内网PC。

        全局global:NO-PAT生成的Server-map中不包含安全区域参数,一旦建立,所有安全区域的都可以访问内网PC。

2.2 NAPT

        NAPT是一种同时转换地址和端口,实现多个私网地址共用一个或多个公网地址的地址转换方式。适用于公网地址数量少,需要上网的私网用户数量大的场景。

 当PC访问Web_Server时,FW的处理过程如下:

1.FW收到PC请求报文后,通过安全策略后匹配NAT策略,发现需要对报文进行地址转换。

2.FW根据IP 哈希算法从NAT地址池中选择要给公网地址,替换报文的源IP地址,同时使用新的端口号替换报文的源端口号,并建立会话转发报文。

3.FW收到响应报文后,通过查找会话匹配表项,将报文的目的地址替换为PC的IP地址和端口号并转发给PC。

2.3Smart NAT

        Smart NAT是NO-PAT的一种补充,Smart NAT可以在NO-PAT模式下,指定某个IP地址预留做NAPT方式的地址转换方式。适用于平时上网的用户数量少,公网IP数量与同时上网用户数基本相同,但个别时间上网用户数量激增的场景。

        使用NO-PAT方式,进行地址池一对一转换。随着内部用户数量不断增加,地址池中的地址数可能不再满足用户上网需求,部分用户将通过预留的IP地址进行NAPT地址转换访问Internet。

2.4 Easy IP

        Easy IP是一种利用出接口的公网IP地址作为NAT转换后的地址,同时转换地址和端口号的地址转换方式。对于接口IP是动态获取的场景,Easy-IP也同样支持。

        PC访问Web Server时,FW处理过程如下:

        1.FW收到PC发送的报文后,通过安全策略,查找NAT策略,发现需要对报文进行地址转换。

        2.FW使用与Internet连接的接口的公网IP地址转换报文的源IP地址,并使用新的端口号替换报文的源端口号,并建立会话。

        3.FW收到响应报文后,通过会话表匹配到表项,将报文的目的地址替换PC的IP地址并转换端口号。

2.5 三元组NAT

        三元组NAT是一种转换时同时转换地址和端口,实现多个私网地址共用一个或多个公网地址的地址转换方式。它允许Internet上的用户主动访问私网用户,与基于P2P技术的文件共享、语音通信、视频传输等业务可以很好地共存。

        当内网PC访问Internet时,如果FW采用五元组NAT(NAPT)方式进行地址转换,外部设备无法通过转换后的地址和端口主动访问内部PC。

        三元组NAT方式可以很好的解决上述问题,因为三元组NAT方式在进行转换时有以下两个特点。工作原理如图1所示。

  1. 三元组NAT的端口不能复用,保证了内部PC对外呈现的端口的一致性,不会动态变化,但是公网地址利用率低。
  2. 支持外部设备通过转换后的地址和端口主动访问内部PC。FW即使没有配置相应的安全策略,也允许此类访问报文通过。

三,源NAT的问题

3.1路由环路

 情况一:NAT地址池与防火墙接口属于不同网段

        这种情况当恶意用户访问该网段如果找不到会话表项,防火墙会通过默认路由返回数据包到Internet中造成环路直到TTL变为0。

情况二:NAT地址和防火墙接口属于同一网段

        这种情况不会产生路由环路,但是会增加一个ARP请求。

3.2路由环路解决方案

产生黑洞路由:

方法1:静态路由指向NULL 0

        ip route-static x.x.x.x x.x.x.x  NULL0

方法2:在地址池中使能

        nat address-group xxxx       

                route enable

四,源NAT实验

4.1NAT NO-PAT

1.拓扑

2.需求介绍

        PC通过NAT NO-PAT的方式在防火墙进行源地址转换,运营商提供的公网地址池为1.1.1.1~1.1.1.14,并配置黑洞路由防止路由环路。

3.配置过程

①IP地址安全区域如图所示配置略。

②地址池配置

[FW1]nat address-group  nopat_1       # 创建源NAT地址池
[FW1-address-group-nopat_1]section  1.1.1.1 1.1.1.14  # 指定地址范围
[FW1-address-group-nopat_1]mode no-pat local    #指定源NAT为nopat模式,限制安全区域访问
[FW1-address-group-nopat_1]route enable  # 产生黑洞路由

③配置NAT策略

[FW1]nat-policy     # 进入NAT策略视图
[FW1-policy-nat]rule name NO_PAT # 创建NAT策略
[FW1-policy-nat-rule-NO_PAT]source-zone trust # 自指定源安全区域
[FW1-policy-nat-rule-NO_PAT]destination-zone untrust # 指定目的安全区域
[FW1-policy-nat-rule-NO_PAT]source-address 10.1.1.0 24 # 指定源地址网段
[FW1-policy-nat-rule-NO_PAT]action  source-nat  address-group  nopat_1 # 指定源NAT绑定地址组

④配置路由

# FW1:
[FW1]ip route-static  0.0.0.0 0 202.100.1.254
# ISP:
[ISP]ip route-static  1.1.1.0 28 202.100.1.10

⑤安全策略

[FW1]security-policy 
[FW1-policy-security]rule name PC_Internet
[FW1-policy-security-rule-PC_Internet]source-zone trust
[FW1-policy-security-rule-PC_Internet]destination-zone untrust
[FW1-policy-security-rule-PC_Internet]source-address 10.1.1.0 24
[FW1-policy-security-rule-PC_Internet]action permit

4.检查

①PC访问Web Server,产生会话表如下

 http  VPN: public --> public  ID: c387fb10122022068963e98ae6
 Zone: trust --> untrust  TTL: 00:20:00  Left: 00:19:54
 Recv Interface: GigabitEthernet1/0/0
 Interface: GigabitEthernet1/0/1  NextHop: 202.100.1.254  MAC: 00e0-fcc8-48f4
 <--packets: 3 bytes: 732 --> packets: 6 bytes: 1,044
 10.1.1.1:52014[1.1.1.1:52014] --> 3.3.3.3:80 PolicyName: PC_Internet
 TCP State: established

②查看server-map,区域为untrust,只有untrust区域可以通过反向记录访问。如果配置为global就不限制区域。

[FW1]display  firewall server-map  
2023-02-13 00:59:02.640 
 Current Total Server-map : 2
 Type: No-Pat Reverse, ANY -> 1.1.1.1[10.1.1.1],  Zone: untrust 
 Protocol: ANY, TTL:---, Left-Time:---,  Pool: 0, Section: 0
 Vpn: public
 Type: No-Pat,  10.1.1.1[1.1.1.1] -> ANY,  Zone: untrust 
 Protocol: ANY, TTL:360, Left-Time:360,  Pool: 0, Section: 0
 Vpn: public

③产生的黑洞路由

1.1.1.1/32  Unr     61   0           D   127.0.0.1       InLoopBack0
        1.1.1.2/31  Unr     61   0           D   127.0.0.1       InLoopBack0
        1.1.1.4/30  Unr     61   0           D   127.0.0.1       InLoopBack0
        1.1.1.8/30  Unr     61   0           D   127.0.0.1       InLoopBack0
       1.1.1.12/31  Unr     61   0           D   127.0.0.1       InLoopBack0
       1.1.1.14/32  Unr     61   0           D   127.0.0.1       InLoopBack0

4.2 NAPT

1.拓扑

2.需求介绍

  PC通过NAPT的方式在防火墙进行源地址转换,运营商提供的公网地址池为1.1.1.1~1.1.1.14,并配置黑洞路由防止路由环路。

3.配置

        将4.1的地址池的模式改为NAPT即可

①地址池

[FW1]nat address-group  napt_1
[FW1-address-group-napt_1]section  1.1.1.1 1.1.1.14
[FW1-address-group-napt_1]mode pat
[FW1-address-group-napt_1]route enable

②NAT策略

[FW1]nat-policy 
[FW1-policy-nat]rule name NAPT_1
[FW1-policy-nat-rule-NAPT_1]source-zone trust
[FW1-policy-nat-rule-NAPT_1]destination-zone untrust
[FW1-policy-nat-rule-NAPT_1]source-address 10.1.1.0 24
[FW1-policy-nat-rule-NAPT_1]action  source-nat  address-group  napt_1

4.检查

①PC访问Web Server查看会话表

 http  VPN: public --> public  ID: c487fb10121fed0128563e98f01
 Zone: trust --> untrust  TTL: 00:20:00  Left: 00:19:53
 Recv Interface: GigabitEthernet1/0/0
 Interface: GigabitEthernet1/0/1  NextHop: 202.100.1.254  MAC: 00e0-fcc8-48f4
 <--packets: 1 bytes: 44 --> packets: 2 bytes: 92
 10.1.1.1:52957[1.1.1.14:2049] --> 3.3.3.3:80 PolicyName: PC_Internet
 TCP State: established

②不会产生server-map

③产生黑洞路由

1.1.1.1/32  Unr     61   0           D   127.0.0.1       InLoopBack0
        1.1.1.2/31  Unr     61   0           D   127.0.0.1       InLoopBack0
        1.1.1.4/30  Unr     61   0           D   127.0.0.1       InLoopBack0
        1.1.1.8/30  Unr     61   0           D   127.0.0.1       InLoopBack0
       1.1.1.12/31  Unr     61   0           D   127.0.0.1       InLoopBack0
       1.1.1.14/32  Unr     61   0           D   127.0.0.1       InLoopBack0

4.3 Smart NAT

1.拓扑

2.实验需求

        配置Smart NAT,1.1.1.1~1.1.1.2为内网PC提供内网地址公网地址1对1转换,1.1.1.3为内网PC当内网PC访问外网数量激增时使用1.1.1.3通过NAPT方式进行地址转换。

3.配置过程

删除前面源NAT配置

①地址池

[FW1]nat address-group  Smart_Nat
[FW1-address-group-Smart_Nat]mode  no-pat  global  
[FW1-address-group-Smart_Nat]section 1.1.1.1 1.1.1.2
[FW1-address-group-Smart_Nat]smart-nopat  1.1.1.3

②NAT策略

[FW1]nat-policy 
[FW1-policy-nat]rule name Smart_NAT
[FW1-policy-nat-rule-Smart_NAT]source-zone trust
[FW1-policy-nat-rule-Smart_NAT]destination-zone untrust
[FW1-policy-nat-rule-Smart_NAT]source-address 10.1.1.0 24
[FW1-policy-nat-rule-Smart_NAT]action source-nat address-group Smart_Nat

4.检查

 icmp  VPN: public --> public  10.1.1.1:1[1.1.1.1:1] --> 3.3.3.3:2048
 icmp  VPN: public --> public  10.1.1.2:51859[1.1.1.2:51859] --> 3.3.3.3:2048
 icmp  VPN: public --> public  10.1.1.2:53395[1.1.1.2:53395] --> 3.3.3.3:2048
 icmp  VPN: public --> public  10.1.1.4:53139[1.1.1.3:2910] --> 3.3.3.3:2048
 icmp  VPN: public --> public  10.1.1.3:50067[1.1.1.3:2887] --> 3.3.3.3:2048

 当地址池中提供用来进行NO-PAT地址转换的地址池用尽时,使用Smart NAT地址进行NAPT进行源NAT转换。

4.4 Easy-IP

1.拓扑

2.实验需求

        配置Easy-IP实现内网PC通过FW出接口地址进行NAPT源NAT转换访问外网。

3.配置过程

删除前面的源NAT配置并配置NAT策略

[FW1]nat-policy  
[FW1-policy-nat]rule name Easy-ip
[FW1-policy-nat-rule-Easy-ip]source-zone trust
[FW1-policy-nat-rule-Easy-ip]destination-zone untrust
[FW1-policy-nat-rule-Easy-ip]source-address 10.1.1.0 24
[FW1-policy-nat-rule-Easy-ip]action source-nat  easy-ip

4.检查

查看会话表,通过出接口进行地址端口转换


 http  VPN: public --> public  ID: c487fb0fee42790176363e99594
 Zone: trust --> untrust  TTL: 00:20:00  Left: 00:19:53
 Recv Interface: GigabitEthernet1/0/0
 Interface: GigabitEthernet1/0/1  NextHop: 202.100.1.254  MAC: 00e0-fcc8-48f4
 <--packets: 8 bytes: 2,473 --> packets: 12 bytes: 3,670
 10.1.1.1:53809[202.100.1.10:2050] --> 3.3.3.3:80 PolicyName: PC_Internet
 TCP State: established

4.5 三元组NAT

1.拓扑

 2.实验需求

        在FW配置三元组NAT并验证现象。

3.配置过程

①配置地址池

[FW1]nat address-group  SNAT 
[FW1-address-group-SNAT]mode  full-cone  global  
[FW1-address-group-SNAT]section 1.1.1.1 1.1.1.10

②配置NAT策略

[FW1]nat-policy 
[FW1-policy-nat]rule name SNAT
[FW1-policy-nat-rule-SNAT]source-zone trust
[FW1-policy-nat-rule-SNAT]destination-zone untrust
[FW1-policy-nat-rule-SNAT]source-address 10.1.1.0 24
[FW1-policy-nat-rule-SNAT]action source-nat  address-group  SNAT

4.测试

①使用PC访问Web_Server查看会话

http  VPN: public --> public  ID: c487fb0fee21a48291863e99a7b
 Zone: trust --> untrust  TTL: 00:20:00  Left: 00:05:53
 Recv Interface: GigabitEthernet1/0/0
 Interface: GigabitEthernet1/0/1  NextHop: 202.100.1.254  MAC: 00e0-fcc8-48f4
 <--packets: 11 bytes: 751 --> packets: 12 bytes: 954
 10.1.1.1:54758[1.1.1.4:36864] --> 3.3.3.3:80 PolicyName: PC_Internet
 TCP State: established

②同时产生了老化时间为60s的server-map


 Type: FullCone Dst,  ANY -> 1.1.1.4:36864[10.1.1.1:54371],  Zone: ---
 Protocol: udp(Appro: ---),  TTL: 60,  Left-Time: 60,  Pool: 0, Section: 0
 Vpn: public -> public,  Hotversion: 1

 Type: FullCone Src,  10.1.1.1:54371[1.1.1.4:36864] -> ANY,  Zone: ---
 Protocol: udp(Appro: ---),  TTL: 60,  Left-Time: 60,  Pool: 0, Section: 0
 Vpn: public -> public,  Hotversion: 1

L_F_A_L
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MPLS
qwerty121381的博客
04-04 1万+
MPLS 多协议 标签交换 多协议:可以基于多种不同的三层协议来生成2.5层的标签信息 包交换 == 包路由== 基于IP地址进行路由 1.原始包交换 – 查询 路由表 ARP表 2.快速(传统)交换 —— 一次路由多次交换 数据流(第一次经过的路径进行缓存,接下来的数据包都按照这个缓存走) 3.思科主导的CEF(特快交换)—— 无需路由,直接交换 路由表-FIB(递归完成:有传输路径) ARP-ADJ(递归完成的) 标签交换 – 在二层和三层之间(2.5)打一个标签号 ,之后路由器基于标签号来进行
黑洞加速器官方android安卓版本,www.a0qmherg.com
weixin_32747681的博客
05-25 8万+
Domain Name: A0QMHERG.COMRegistry Domain ID: 2477874593_DOMAIN_COM-VRSNRegistrar WHOIS Server: whois.namesilo.comRegistrar URL: http://www.namesilo.comUpdated Date: 2020-01-09T05:00:47ZCreation Date: ...
网络安全→
Anything that can make the world better is promising!
01-29 1万+
网络安全
vpn定义
weixin_66781330的博客
06-09 7760
vpn定义
BGP路由黑洞解决方案+防环机制
2301_77475090的博客
08-02 2481
【3】由于BGP可以非直连建立邻居关系,故在一个AS内部,可以通过与多台运行BGP协议的路由器建立BGP邻居关系,来稳定关系网络;【4】在IBGP水平分割的限制下,虽然避免了IBGP的环路产生,但同时也使得AS内部为了能够传递路由条目,必须两两间建立IBGP邻居关系,邻居关系成指数上升,配置量巨大;【2】AS-BY-AS在一个AS内部条目传递的过程中,默认不会修改任何的属性;【1】依赖了BGP路由条目中的一种属性来进行防环;【2】BGP协议在传递路由条目的过程中,将记录所有经过的AS的编号;
ngfw_pkgs:NGFW pkgs
02-10
每个子目录都是一个Debian软件包。
sec_ngfw_web_example.pdf
07-22
华为USG配置手册(图文)
NGFW防火墙介绍
07-26
介绍NGFW防火墙产品介绍,描述了下一代防火墙的产品特点,以及部署方式和位置。
天融信NGFW.xlsx
07-11
天融信NGFW.xlsx
PANW General NGFW
11-11
paloalto 2017 slides NGFW 网络安全 防火墙。。。。。。
MPLS模拟解决BGP路由黑洞并连接不同网段公司实现互通实验
babybattlezxj的博客
07-16 4247
MPLS VPN实验 先在R2 R2 R4路由器上配置好IP (R2左边接口和R4右边接口先不配置)然后开启OSPF使他们三个环回互通 在将R1 R5 R6 R7的接口IP和环回IP配好 在R2 R3 R4上配MPLS [r2]mpls lsr-id 2.2.2.2 [r2]mpls [r2-mpls]mpls ldp [r2-mpls-ldp]q 之后需要在所有标签经过的接口上开启协议 [r2]interface GigabitEthernet 2/0/0 [r2-GigabitEthernet2/0/
HCIP MPLS解决BGP黑洞路由和VPN技术
最新发布
weixin_65685029的博客
08-05 2938
一、使用MPLS解决BGP的路由黑洞 二、使用MPLS实现VPN技术 三、MPLS-VPN技术配置 1、配置MPLS VPN 2、查看空间内的私有路由表 3、PE与PE间建立MP-BPG邻居关系 4、CE端与PE端交互路由
IPSec介绍
热门推荐
NEUChords的博客
06-20 24万+
IPSec VPN介绍(上)1.IPSEC协议簇安全框架a.IPSec VPN简介b.IPSec协议族2.IPSEC工作模式a.传输模式(Transport mode)b.隧道模式(Tunnel mode)3.IPSEC通信协议a.AH协议b.ESP协议c.AH和ESP对比4.IPSEC建立阶段a.IKE协商阶段 1.IPSEC协议簇安全框架 a.IPSec VPN简介 IPSec(Interne...
MPLS 多协议标签交换学习笔记
xingqwz的博客
07-11 5524
包交换:数据包基于IP地址进行数据转发的行为,其实就是路由器的路由行为 数据包解封装: 最原始的包交换技术:数据包进入路由器后,路由器需要查询本地的路由表(RIB--路由信息数据库)在基于下一跳或目标ip查询本地的ARP表,才能进行数据的转发。这种包交换数据转发慢,延时高 快速包交换:一次路由,多次交换 每一个数据流中的第一个数据包会基于原始的包交换进行转发,但是会记录此过程中数据的出接口并记录到缓存中,该数据路流的其余流量基于缓存转发 特快的包交换:无需路由,直接交换。CEF(思科私有) 将路
PMTU 黑洞路由器
FlySpace随笔
09-21 1万+
当路由器必须将 IP 包分段但又因 DF 标记设置为 1 而不能分段时,路由器可采用以下任一种方式: • 发送符合 RFC 792 中最初定义的“ICMP Destination Unreachable-Fragmentation Needed and DF Set”消息,然后丢弃该包。 原始消息格式中不包含有关转发失败的链路的 IP MTU 的信息。
最好的BGP路由黑洞解决方案----MPLS
暖风吹起云之博客
03-18 5235
如何解决BGP路由黑洞: 1.包交换和标签交换 2.当下MPLS存在的意义 3.MPLS的工作过程 4.MPLS的标签号和次末跳 5.MPLS的配置实验
IPsec概述
BeatRex的博客
05-03 9209
一、 IPsec VPN简介 是一组基于网络层的,应用密码学的安全通信协议族。IPsec不是具体指哪个协议,而是一个开放的协议族。 设计目标:是在IPv4和IPv6环境中为网络层流量提供灵活的安全服务。 是基于IPsec协议族构建的在IP层实现的安全虚拟专网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。 ** IPsec提供的安全服务** 机密性、完整性、数据鉴别、重传攻击保护、不可否认性 二、 IPsec协议簇安全框
ipsec 唯品会
小翟的博客
08-28 7085
ipsec 唯品会期待您的光临
数据传输安全(二)
Piwrim的博客
01-03 5251
IPSEC协议簇安全框架
下一代防火墙ngfw的特点
05-24
下一代防火墙(NGFW)相对于传统防火墙具有以下特点: 1. 应用程序识别: NGFW 能够识别网络流中的应用程序,并根据应用程序执行适当的操作,如允许、拒绝、限制或优先级限制。 2. 内容过滤: NGFW 可以检查网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值