HCIE-Security Day9:5个实验理解NAT Server

最新推荐文章于 2024-07-30 08:59:54 发布
最新推荐文章于 2024-07-30 08:59:54 发布
阅读量2.4k 收藏 16
点赞数 2
分类专栏: HCIE-Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/122890251
版权
本文通过五个实验详细介绍了NAT Server与目的NAT的区别和联系,包括公网用户如何通过NAT Server访问内部服务器,以及在双出口环境下的应用场景。实验涉及配置、路由、安全策略和验证分析,展示了NAT Server在不同场景下的配置和功能特点。
摘要由CSDN通过智能技术生成

 

NAT Server与目的NAT的区别和联系

NAT Server是一种静态目的NAT技术,与基于策略的静态目的NAT一样,都可以用于解决私网IP与公网IP存在固定映射关系的场景,但是基于策略的目的NAT在一条策略中可以匹配多个地址段,且支持地址排除功能,配置更为灵活。NAT Server可以逐条配置地址转换关系,命令简单清晰。

两者还有如下区别

1、nat server 配置后创建静态server-map表项,destination-nat不创建

2、nat server 优先级高于destination-nat,首包到达防火墙后先进行nat server处理查server-map表,查不到server-map表的情况下,再进行destination-nat处理

3、nat server不配置no-reverse的情况下,双向都可以进行nat转换,destination-nat只能单向nat转换。

实验一:公网用户通过NAT Server访问内部服务器

需求和拓扑

某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务,需要在FW上配置NAT Server功能。除了公网接口的IP地址外,公司还向ISP申请了一个IP地址(1.1.1.10)作为内网服务器对外提供服务的地址。网络环境如图1所示,其中Router是ISP提供的接入网关。

操作步骤

1、配置接口地址,划分安全区域

2、配置路由

ip route-static 2.2.2.0 255.255.255.0 1.1.1.254

3、配置安全区域

security-policy
 rule name 1
  source-zone untrust
  destination-zone dmz
  source-address 2.2.2.0 mask 255.255.255.0
  destination-address 10.2.0.0 mask 255.255.255.0
  service ftp
  service http
  service icmp
  action permit

4、配置nat server

nat server 0 protocol tcp global 1.1.1.10 ftp inside 10.2.0.7 ftp no-reverse
nat server 1 protocol tcp global 1.1.1.10 www inside 10.2.0.8 www no-reverse
nat server 2 protocol icmp global 1.1.1.10 inside 10.2.0.7 no-reverse

验证和分析

不做任何操作,直接检查fw的server-map

[f1]dis fire server-map 
2022-02-11 00:57:51.620 
 Current Total Server-map : 3
 Type: Nat Server,  ANY -> 1.1.1.10:80[10.2.0.8:80],  Zone:---,  protocol:tcp
 Vpn: public -> public

 Type: Nat Server,  ANY -> 1.1.1.10[10.2.0.7],  Zone:---,  protocol:icmp
 Vpn: public -> public

 Type: Nat Server,  ANY -> 1.1.1.10:21[10.2.0.7:21],  Zone:---,  protocol:tcp
 Vpn: public -> public

在公网client上分别访问1.1.1.10提供的ftp和http服务后,检查fw的session table

[f1]dis fire sess table
2022-02-11 00:57:54.200
最低0.47元/天 解锁文章
信封同学
关注
专栏目录
HCIE-Security Day20:GRE协议:实验(一)配置基于静态路由的GRE隧道
小梁的博客
03-03 2812
gre:通用路由封装,三层pn封装技术。解决跨异种网络的报文传输问题。 封装分为两步,第一步是为原始报文添加gre头,第二步是在gre头前面再加新的ip头,加上新的ip头后,就可以在新的网络上传输了。 gre的封装是通过逻辑接口tunnel完成的,这个接口是一个通用的隧道接口,所以需要设置接口的封装协议。 实验一:配置基于静态路由的GRE隧道 需求和拓扑 FW_A和FW_B通过Internet相连,两者公网路由可达。网络1和网络2是两个私有的IP网络,通过在两台FW之间建...
HCIE-Security Day7:6个实验理解目的NAT
小梁的博客
02-10 2063
目的NAT技术 对报文中的目的地址和端口进行转换。根据转换后的目的地址是否固定,分为静态目的nat和动态目的nat。 静态目的nat 实验一:公网用户通过目的NAT访问内部服务器(公网地址与私网地址一对一进行映射) 需求和拓扑 某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了IP地址(1.1.10.10,1.1.10.11)作为内网服务器对外提供服务的地址。网络...
华为HCIE安全实验 | 接口初始化(二层部分)
COCO_gsta的博客
06-24 563
网络拓扑 示意图 实际拓扑 各设备关键配置 FW1 vlan 30 description Yeslab interface Vlanif20 alias Vlanif20 ip address 20.1.1.10 255.255.255.0 interface Vlanif30 alias Vlanif30 ip address 30.1.1.10 255.255.255.0 interface GigabitEthernet0/0/0 alias GE0/MGMT po
防火墙USG2000&USG5000配置nat server 时 no-reverse的含义
最新发布
qq_25467441的博客
07-30 322
后,当公网用户访问服务器时,设备能将服务器的公网地址转换成私网地址;同时,当服务器主动访问公网时,设备也能将服务器的私网地址转换成公网地址。后,设备只将公网地址转换成私网地址,不能将私网地址转换成公网地址。当内部服务器主动访问外部网络时需要执行outbound的nat策略。对应的接口,以实现当公网IP发生变化时能进行正常的NAT转换。命令,可以为该内部服务器配置多个公网地址;则表示只能为该内部服务器配置一个公网地址。,也可以借用动态的接口,即。地址可以为静态的IP地址。
目的NAT————NAT Server
zj2059129607的博客
11-17 682
当通过global IP地址配置nat server后,再通过基于接口地址的方式配置nat server,当被借用的接口的地址与global IP地址相同时,二者冲突,基于接口方式的nat server不生效。当内网部署了一台服务器,其真实IP是私网地址,但是希望公网用户可以通过一个公网地址来访问该服务器,这时可以配置nat server,使设备将公网用户访问该公网地址的报文自动转发给内网服务器。外部网络的用户访问内部服务器时,nat将请求报文的目的地址转换成内部服务器的私有地址。将接口加入防火墙区域。
NAT Server
hey1616的博客
11-16 479
NAT Server原理、NAT Server实验
HCIE-Security Day6:5个实验深入浅出理解NAT
小梁的博客
02-10 2517
NAT是一种地址转换技术,可以将ipv4报文头中的地址做转换,通常情况下,利用nat技术将ipv4报文头中的私网地址转换为公网地址,实现了内网设备与公网设备的互访。 从实现上来说,NAT转换设备都维护一张地址转换表。地址转换的机制分为: 内部网络主机的ip地址和端口转换为nat转换设备外部网络地址和端口 外部网络主机的ip地址和端口转换位nat转换设备内部网路地址和端口 即私有地址+端口与共有地址+端口之间互相转换。 常见的nat转化设备由路由器、防火墙等。 NAT分类 ...
HCIE-Security Day8:3个实验理解双向NAT
小梁的博客
02-11 3226
目录 ​ 外网用户访问内网服务器 私网用户访问内部服务器 同时转换报文的源信息和目的信息,不是单独的功能,而是源NAT和目的NAT的组合,双向NAT是针对同一条流,在其经过防火墙时同时转换报文的源地址和目的地址。 主要用在两个场景 外网用户访问内网服务器 避免在内部服务器上设置网关,简化配置。 服务器可以有多个网卡,分别接入不同的网络,但是只能有一个网关。如果网关配置给了同一私网内的用户,那么就无法给联入公网的网卡配置网关。所以从公网到达私网服务器的报文,如果源地址依然...
HCIE-Security Day35:IPSec-NAT-T
小梁的博客
04-04 1867
NAT穿越场景 在ipsec pn部署中,如果发起者比如fwc位于私网内部,而它希望与fwa之间直接建立一条ipsec隧道,这种情况下nat会对部署ipsec pn网络造成障碍。 在多站点企业中,有的站点连动态的公网IP地址都没有,只能先由网络中的nat设备进行地址转换,然后才能访问internet,此时如果同时需要和另一个站点建立ipsec通道的话,就存在问题。 IPSec是用来保护报文不被修改的,而NAT却专门修改报文的IP地址,所以肯定存在问题。 协商IPSec的过程是由isakmp报文完成的
NAT技术之NAT server
thlzjfefe的博客
10-30 6900
带来的问题是什么呢?先聊聊DMZ,不知道大家在家用路由器以及软路由或者是光猫里面有没有见到过有一个DMZ的配置选项,防火墙安全区域里面也有一个DMZ,博主在介绍区域的时候讲解DMZ的作用提到过,当有对外网提供服务的服务器主机的时候,可以把它放到DMZ区域,这样对内网的安全多了一层保护,那么这些家用路由器、光猫、软路由上面的DMZ实际指的是DMZ主机,当你在配置后它的作用就是跟华为防火墙的一对一映射效果是一样的,所以当客户跟你说要实现DMZ主机功能或者是DMZ映射的时候,那就是说的一对一的转换。
NATnat server
afjkslahdfkaJDHU的博客
12-23 4865
作用 nat server功能使得内部服务器可以供外部网络访问。**外部网络的用户访问内部服务器时,nat将请求报文的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言,nat还会自动将回应报文的源地址(私网地址)转换成公网地址。 实验拓扑 AR1 <Huawei>sys [Huawei]un in en [Huawei]sys AR1 [AR1]int g0/0/0 [AR1-GigabitEthernet0/0/0] [AR1-GigabitEthernet0/0
NATserver nat
热门推荐
杨奇的博客
10-29 1万+
NATserver nat 可以将某服务器的某端口映射出去(非常安全) PC1(IP地址) IP地址:192.168.31.1 子网掩码:255.255.255.0 网关:192.168.31.254 PC2(IP地址) IP地址:192.168.31.2 子网掩码:255.255.255.0 网关:192.168.31.254 Server1(IP地址) IP地址:192.168.3...
natnat server
2303_77223717的博客
06-24 804
nat出现的背景ipv4地址严重不足,且企业需要和公网通信,需要将私有地址转化为公有地址nat是什么将数据报文里面的私有ip地址转化为公有地址的过程nat的作用将数据包里面的私有ip地址转化为公有地址,进而可以访问互联网隐藏内网,提高内网的安全性,避免外网的攻击nat工作表:把一个私有地址和一个公有地址绑定在一起nat的工作当数据转发的时候,转化的是,是先经过路由表,再经过nat表当数据转发的时候,转化的是,是先经过nat表再经过路由表。
防火墙————NAT Server
xiazhui1的博客
11-16 3127
NAT(Network Address Translation)服务器是一种网络设备或服务,用于在内部网络和外部网络之间进行地址转换。在网络通信中,每个设备都需要一个唯一的IP地址来进行识别和通信。然而,IPv4地址空间有限,而且经常会出现IP地址不足的情况。为了解决这个问题,引入了NAT技术。NAT具有“屏蔽”内部主机的作用,将内部网络的私有IP地址转换成公网IP地址,从而在有限的公网IP地址下支持多个内部设备与外部网络通信。
什么是NAT Server?
Tech in Pieces
12-17 3243
首先 这些事干什么用的? private network, use public ip address to provide service for external users. nat server功能使得内部服务器可以供外部网络访问。外部网络的用户访问内部服务器时,nat将请求报文的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言,nat还会自动将回应报文的源地址(私网地址)转换成公网地址。 nat server是什么?解决内网问题的nat穿透方法有哪些? ...
四、防火墙-NAT Server
u012451051的博客
11-24 1361
第一条,反向表,将报文源地址192.168.10.2转换为110.1.1.1,第二条,反向表,将源地址192.168.10.2,转换为210.1.1.1,如果同时下发后,防火墙既可以将报文源地址由192.168.10.2转换为110.1.1.1,又可以将源地址192.168.10.2,转换为210.1.1.1,于是,防护墙凌乱了。例如:ISP1网络中的公网用户如果通过防火墙发布了ISP2的公网地址来访问私网服务器,或者ISP1的公网用户访问服务器后,从ISP2回包的,基本就属于绕路了。
网络安全学习笔记——第十四天 NAT server、目的NAT技术及配置实验
m0_53800207的博客
08-12 679
NAT Server—内部服务器 ○内部服务器功能是使用一个公网地址来代表内部服务器对外地址。 ○在防火墙上,专门为内部的服务器配置一个对外的公网地址来代表私网地址。对于外网用户来说,防火墙上配置的外网地址就是服务器的地址。 允许服务器使用公网地址上网对应于no-reserve参数没打勾就是no-reserve 目的NAT ○在移动终端访问无线网络时,如果其缺省WAP网关地址与所在地运营商的WAP网关地址不一致时,可以在终端与WAP网关中间部署一台设备,并配置目的NAT功能,使设备自动将终...
H3C 配置NAT Server
weixin_30876945的博客
07-10 968
转载于:https://www.cnblogs.com/fanweisheng/p/11164176.html
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值