NGWF_目的NAT

已于 2023-02-13 19:58:33 修改
阅读量217 收藏
点赞数
分类专栏: NAT 华为防火墙 文章标签: 服务器 网络 运维
于 2023-02-13 17:47:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27599713/article/details/129011795
版权
本文介绍了目的NAT的概念,包括静态和动态两种类型,用于转换外部网络访问内部网络的报文目的地址。静态目的NAT提供一对一的公网和私网地址映射,而动态目的NAT则从地址池中动态选择转换地址。配置示例中展示了如何使用NATServer和地址池进行目的NAT设置,以实现外网对内网服务器的访问,并强调了检查会话表和配置反向server-map的重要性。
摘要由CSDN通过智能技术生成

一,目的NAT

1.1简介

        目的NAT将报文中的目的地址和端口进行转换。

         如图,当外网用户访问内部Server时,FW的处理流程如下:

        1.当外网用户访问内网Server报文到达FW时,FW将报文的目的IP地址由公网地址转换为私网地址。

        2.当响应报文返回FW时,FW再将报文的源地址由私网地址转换为公网地址。

1.2分类

1.2.1静态目的NAT

        静态目的NAT是转换报文目的IP地址,且转换前后的地址存在固定的映射关系。

        通常情况下,处于安全考虑,不允许外部网络主动访问内部网络。但是在某些情况下,还是希望能够为外部网络访问内部网络提供一种途径。

        如图所示,当公网PC访问公司内部Server时,FW的处理流程如下:

        1.FW收到Internet用户访问1.1.1.1的报文首包后,将匹配NAT策略的目的地址进行转换。

        2.FW将配置的私网IP地址和端口替换报文的目的地址,同时可以选择使用新的端口或者端口号保持不变。公网地址与私网地址一对一进行映射的场景下,公网地址与私网地址一对一进行映射。

        3.报文通过安全策略后,建立会话,将报文转发给内网服务器

        4.FW收到响应报文后,通过查找会话匹配表项,修改源地址发送给PC。

1.2.2动态目的NAT

        动态目的NAT是一种动态转换报文目的IP的方式,转换前后不存在一种固定的映射关系。

        通常情况下,静态目的NAT可以满足大部分目的地址转换的场景,但是某些情况下,希望转换后地址不固定。 

        

         当PC访问Server时,FW的处理过程如下:

        1.FW收到PC发送的报文后,将匹配NAT策略的报文进行目的地址转换,从地址池中选择一个地址作为转换后的地址,并将目的IP地址1.1.1.1转换为192.168.1.1。

        2.FW通过域间安全策略后建立会话。

        3.FW收到响应报文后,匹配会话表项,将报文源地址转换。

二,目的NAT配置

2.1NAT Server

        Nat Server可以用来发布内网的服务器或特定服务。

1.拓扑

 2.需求

        将DMZ区域的的Web服务映射到Untrust区域,公网PC通过访问1.1.1.1:80访问服务器。

3.配置过程

①IP地址安全区域划分略

②安全策略略

③Nat Server配置

[FW1]nat server  Web_Server protocol  tcp  global  1.1.1.1  www inside  192.168.1.1 www unr-route

4.检查

①PC访问Web Server,查看会话表

 http  VPN: public --> public  ID: c487f6bf3fce7902ad963ea22a1
 Zone: untrust --> dmz  TTL: 00:20:00  Left: 00:19:53
 Recv Interface: GigabitEthernet1/0/1
 Interface: GigabitEthernet1/0/0  NextHop: 192.168.1.1  MAC: 5489-98f3-7ce6
 <--packets: 3 bytes: 431 --> packets: 4 bytes: 600
 10.1.1.1:59917 --> 1.1.1.1:80[192.168.1.1:80] PolicyName: Web_Server
 TCP State: established

②查看server-map,添加no-reverse参数可以取消反向server-map表项,反向表项可以使内网服务器访问外网。

[FW1]display  firewall server-map  
2023-02-13 11:46:01.450 
 Current Total Server-map : 2
 Type: Nat Server,  ANY -> 1.1.1.1:80[192.168.1.1:80],  Zone:---,  protocol:tcp
 Vpn: public -> public
 Type: Nat Server Reverse,  192.168.1.1[1.1.1.1] -> ANY,  Zone:---,  protocol:tcp
 Vpn: public -> public,  counter: 1

③unr-route会产生黑洞路由,防止路由环路

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
   1.1.1.1/32        Unr     61   0           D   127.0.0.1       InLoopBack0

2.2目的NAT

1.拓扑

2.需求

        配置目的NAT,实现外网PC可以访问内网服务器。

3.配置过程

①IP地址安全区域划分略

②安全策略略

③配置地址池

[FW1]destination-nat  address-group  DNAT 
[FW1-dnat-address-group-DNAT]section 192.168.1.1 192.168.1.5

③配置NAT策略

[FW1]nat-policy 
[FW1-policy-nat]rule name DNAT
[FW1-policy-nat-rule-DNAT]source-zone untrust
[FW1-policy-nat-rule-DNAT]destination-address 1.1.1.1 32
[FW1-policy-nat-rule-DNAT]action  destination-nat address-group DNAT

4.检查

①查看会话表

[FW1]display  firewall session table  service  http 
2023-02-13 11:56:30.670 
 Current Total Sessions : 1
 http  VPN: public --> public  10.1.1.1:60432 --> 1.1.1.1:80[192.168.1.1:80]

L_F_A_L
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HCIE-Security Day7:6个实验理解目的NAT
小梁的博客
02-10 2032
目的NAT技术 对报文中的目的地址和端口进行转换。根据转换后的目的地址是否固定,分为静态目的nat和动态目的nat。 静态目的nat 实验一:公网用户通过目的NAT访问内部服务器(公网地址与私网地址一对一进行映射) 需求和拓扑 某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了IP地址(1.1.10.10,1.1.10.11)作为内网服务器对外提供服务的地址。网络...
HCIE-Security Day8:3个实验理解双向NAT
小梁的博客
02-11 3128
目录 ​ 外网用户访问内网服务器 私网用户访问内部服务器 同时转换报文的源信息和目的信息,不是单独的功能,而是源NAT目的NAT的组合,双向NAT是针对同一条流,在其经过防火墙时同时转换报文的源地址和目的地址。 主要用在两个场景 外网用户访问内网服务器 避免在内部服务器上设置网关,简化配置服务器可以有多个网卡,分别接入不同的网络,但是只能有一个网关。如果网关配置给了同一私网内的用户,那么就无法给联入公网的网卡配置网关。所以从公网到达私网服务器的报文,如果源地址依然...
目的NAT
aaheguosong的博客
06-05 260
NAT地址池中的地址和私网服务器在同一网段,私网服务器回应时,就不会去查找路由表,而是发送ARP广播报文询问此地址对应的MAC地址。如果Client和Server不在相同的网段,也可以只配置NAT Server,当前场景下配置双向NAT目的是为了Client和Server相互传递的流量都要经过防火墙。可以查看目的地址的转换情况如下:198.51.100.2:9980[192.168.1.2:80] ,[]内的为防火墙转换后的地址。避免大量的服务器配置网关,节省工作的开销。IP地址、Zone配置省略。
华为eNSP防火墙NAT配置
YT的博客
01-12 2万+
NAT技术的基本原理 NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过少量的公网IP地址来访问公网。 NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程。从实现上来说,一班的NAT转换设备(实现NAT功能网络设备)都维护者一张地址转换表,所有经过NAT转换设备并且需要进行地址转换的报文,都会通过这个表做相应的修改。地址转换的机制分为如下两个部分...
静态目的NAT简介
m0_73258133的博客
11-16 88
NAT Server会生成Server-map表,并通过Server-map保存地址转换前后的映射关系。但如果转换前的地址没有变化,转换后的目的地址也不会改变,转换前后的目的依然会存在固定的映射关系。FW在进行地址转换的过程中还可以选择是否多个地址转换为同一个目的地址,是否选择端口转换,以满足不同场景的需求。例如,公司需要将内部网络中的资源提供给外部网络中的客户和出差员工访问。是一种转换报文目的IP地址的方式,且转换前后的地址存在一种固定的映射关系。web服务以80端口登录。ftp服务以81端口登录。
华为防火墙NAT概述和基础配置
qq2353177176的博客
11-13 3581
华为防火墙NAT概述和基础配置
天融信防火墙配置手册.zip
07-14
目录 ACM NGTOS WAF 防毒墙 防火墙 负载均衡 静态隧道 漏扫 入侵防御 网闸
下一代防火墙设计方案V2.doc
12-25
惠尔顿下一代防火墙 (NGWF) 设计方案 深圳市惠尔顿信息技术有限公司 2016年5月1日 目 录 一、方案背景 1 二、网络安全现状 1 三、惠尔顿下一代防火墙(NGWF)介绍及优势 5 四、惠尔顿NGWF功能简介 8 五、部署模式...
Base64编码与图片互转
weixin_34310127的博客
05-16 4311
Base64在线工具: http://www.sojson.com/image2base64.html 前台显示需要加上: <img src="data:image/jpeg;base64,............................................" alt=""/> ...为以下试例strImg内容 package test; ...
国外网盘
阳水平的博客
07-26 8576
1、DropBox https://www.dropbox.com/ Dropbox是由Dropbox公司运营的同步本地文件的网络存储在线应用,公司总部位于加州旧金山,该公司提供云存储,文件同步和客户端软件服务。该软件允许用户为自己的计算机创建专用的文件夹,然后同步到Dropbox上,其他用户可以查看该文件夹。文件夹里的文件也可以通过网站和手机应用程序上传。 2、MediaFire htt...
华为防火墙的NAT介绍及配置详解
cheng198956的专栏
08-06 1万+
博文大纲:一、华为防火墙NAT的六个分类;二、解决NAT转换时的环路及无效ARP;三、server-map表的作用;四、NAT对报文的处理流程;五、各种常用NAT配置方法; 一、华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少。 NAPT(Network...
目的NAT转换,源进源出功能,外网访问内部服务器(双出口属于不同安全域)
IT技术小Home
08-29 4895
介绍双出口环境下公网用户通过NAT策略访问内部服务器(双出口属于不同安全区域)的配置举例。 企业一共申请了1.1.1.1和1.1.10.10公网ISP1的公网IP;2.2.2.2和2.2.20.10公网ISP2的公网IP地址; 1.1.1.1和2.2.2.2分别配置到防火墙的两个出口接口上;1.1.10.10和2.2.20.10 分别作为服务器的公网IP为外网用户提供访问服务。内部服务器的IP地址为:10.2.0.8 配置思路 配置接口IP地址和安全区域,完成网络基本参数配置配置安全策略,允许外部网络
防火墙NAT技术
热门推荐
曹世宏的博客
03-14 3万+
防火墙NAT技术简介 NAT(Network Address Translation)是一种地址转换技术,可以将IPv4报文头中的地址转换为另一个地址。通常情况下,利用NAT技术将IPv4报文头中的私网地址转换为公网地址,可以实现位于私网的多个用户使用少量的公网地址同时访问Internet。因此,NAT技术常用来解决随着Internet规模的日益扩大而带来的IPv4公网地址短缺的问题。 NAT类型...
美国服务器稳定么?影响服务器稳定性的6个因素
petaexpress的博客
08-09 741
美国服务器的稳定性是相当不错的,这主要得益于其先进的技术、成熟的基础设施以及严格的管理措施。美国拥有众多知名的服务器提供商,这些提供商通常会采用顶级的硬件设施,如英特尔、AMD等知名品牌的处理器,以及三星、金士顿等品牌的内存和硬盘,这些硬件设备在全球范围内具有较高的市场份额和良好的口碑,性能稳定可靠。
linux HBA驱动中scsi_host_template .shost_attrs
Wang20122013的博客
08-13 504
scsi_host_template是一个结构体,用于定义SCSI主机(host adapter)的属性和操作。这个模板用于初始化SCSI主机结构体scsi_host_template,它包含了主机的属性、操作函数等。shost_attrs是scsi_host_template结构体中的一个成员,它是一个属性组,用于定义SCSI主机可以支持的属性。每个属性都会有相应的操作函数,这些函数定义了如何读取或写入属性值。例如,一个属性可能有一个show函数来返回当前值,一个store函数来设置新值。
CVE-2024-27198 和 CVE-2024-27199:JetBrains TeamCity 服务器的漏洞利用及其防护措施
weixin_47075747的博客
08-13 599
*和**是两个与服务器相关的严重漏洞。通过这些漏洞,攻击者可以绕过TeamCity内置的身份验证机制,创建管理员账户、枚举用户信息、生成授权令牌,甚至在服务器上远程执行任意代码。其根本原因在于TeamCity的REST API路由处理中的身份验证绕过问题。
仿Muduo库实现高并发服务器——socket网络通信模块
2201_75324712的博客
08-13 233
服务端:socket(),bind(),listen(),accept().客户端:socket(),connect().下面这段代码,没什么好讲的,就不再讲了。
国内机房与海外机房之间的区别是什么?
最新发布
wanhengwangluo的博客
08-14 649
服务器配置上国内的徐州机房一般会受到电信和网通等运营商的影响,配置方面会相对简单一点,但是也会提供多个服务器配置选项,企业能够根据自身的业务需求来选择合适的服务器;海外机房与国内机房的服务器还是有着多方面的区别的,首先在地理位置上海外机房通常是位于中国以外的国家或者是地区,而国内机房则是包含中国各大城市的数据中心,比如徐州的淮海大数据中心。以上就是小编今天分享的内容了,如果还想了解更多内容,或者对服务器感兴趣的话,可以持续关注万恒网络科技,对于不了解和需要进行咨询的地方,也可以私信或评论小编!
Linux 系统进程
javaMov的专栏
08-14 333
USER #进程执行用户(每个进程都需要一个用户来管理)PID #*****重点*****子进程号%CPU #CPU占用的百分(1核满负荷=100%,4核满负荷=400%)%MEM #内存占用百分比VSZ #虚拟内存的使用情况(单位:kb),占用内存多少RSS #使用内存的使用情况(单位:kb),使用多少内存TTY #链接主机的终端类型(?:系统自己内部运行的进程)STAT #*****重点*****进程运行的状态Z R SSTART #进程启动时间,什么时间启动、出现的;
无锡部队网络安全升级:惠尔顿NGWF下一代防火墙方案详解
本文档详细阐述了惠尔顿下一代防火墙(NGWF)的设计方案,针对无锡某部队的网络安全需求进行定制。背景部分提及部队响应82号令,强化网络安全建设,以应对日益复杂的网络威胁,如涉密、泄密、木马、病毒等。 网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值