【HCIA安全】双向NAT

已于 2022-07-22 00:26:15 修改
阅读量2.1k 收藏 4
点赞数
文章标签: 安全 网络 服务器
于 2022-07-22 00:25:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40733491/article/details/125922035
版权

NAT Server + 源NAT配置

第一步:建立NAT地址池【Inside——20】,地址为192.168.1.20
在这里插入图片描述
第二步:新建服务器映射策略,只针对untrust做映射,允许服务器使用公网地址上上网。
在这里插入图片描述
第三步:创建源NAT策略
在这里插入图片描述

第四步:在untrust区域的Client访问服务器映射后的地址。
防火墙查看状态转化表项
[FW!]display firewall session table
Current Total Session:5
Http VPN:public --> public 202.100.3.1:51254[192.168.1.20:20249]–>202.100.1.20:80[192.168.1.1:80]
在这里插入图片描述

display firewall server-map
19:47:11 2 item(s)
---------------------------------------------
Nat Server:any -> 202.100.1.20[192.168.1.1], Zone:untrust
protoco:any(Appro:---),Left-time:--:--:--,Addr-pool:---
VPN: public -> public

Nat Server Reverse,192.168.1.1[202.100.1.20]-> any,Zone:untrust
protoco:any(Appro:---),Left-time:--:--:--,Addr-pool:---
VPN: public -> public

未配置双向NAT Untrust能访问dmz区域的原因是Server服务器有网关

CLI详细配置

一、双向NAT-----即转换源地址,又转换目的地址
本质:NAT-Server+源NAT
域间的双向NAT
配置思路:
第一步:配置NAT-Server

nat server nat_protocol tcp server zone untrust global 202.100.1.20inside192.168.1.1
nat server [id] protocol protocol-type global {global-adress [global-address-end] | interface 
interface-type interface-number}  inside host-address [host-address-end] [ no-reverse][vpn-instance 
vpn-instance- 	name-2]

列:nat server server1 protocol tcp global 202.202.1.20 www inside 192.168.1.1 www

第二步:配置源NAT
nat address-group inside20
section 0 192.168.1.20 192.168.1.20

nat-policy
rule name untrust_dmz
source-zone untrust
destination-zone dmz
destination-address 192.168.1.0 mask 255.255.255.0
action nat address-group inside2

第三步:放行安全策略
security-policy
rule name untrust_dmz
source-zone untrust
destination-zone dmz
destination-address 192.168.1.0 mask 255,255,255,0
action permit

第四步:测试检查
< FW1 >display firewall session table
19:56:48 2022/07/21
Current Total Session: 4
http VPN:public–> public 202.100.3.10[192.168.1.20:2048]–> 202.100.1.20:80[192.168.1.1:80]

目的地址转换NAT

语法:
nat server 名字 区域 协议 TCP 全局地址 202.100.1.20 端口号 inside 内部地址(服务器地址)
举例:nat server qyt protocol tcp global 202.100.1.20 inside 192.168.1.1 no-reverse

nat server qyt global 202.100.1.20 inside 192.168.1.1 -------粗矿的NAT-Server
[FW1]display firewall server-map
21:37:03 2019/09/17
server-map 2 item(s)
Nat Server, any -> 202.100.1.20[192.168.1.1],Zone: —
Protocol: any(Appro: —),Left-Time: --:–:–,Addr-Pool: —
VPN: public -> public
Nat Server Reverse,192.168.1.1[202.100.1.20] -> any, Zone: —Protocol: any(Appro: —),Left-Time: --:–:–,Addr-Pool: —
VPN: public -> public

NAT Server 配置实例
防火墙上配置服务器映射,将DMZ区域的服务器映射到 untrust区域,公网地址为202.100.1.20/24
在这里插入图片描述
新建服务器映射策略,只针对untrust做映射,允许服务器使用公网地址上网。
在这里插入图片描述
要针对目的地址配置安全策略,则地址应该是匹配进行NAT转换后的私网地址。
在这里插入图片描述

源NAT实在安全策略之后,目的NAT是在安全策略转换之前,放行只要与NAT有关的策略都是转换之前的地址。

·在untrust区域的Client访问服务器映射后的地址。·查看Server-Map表项
在这里插入图片描述

[FW1]display firewall server-mapserver-map 2 item(s)
Nat Server, any ->202.100.1.20[192.168.1.1],Zone: untrustProtocol: any(Appro:—),Left-Time: --:–:–,Addr-Pool: —VPN: public -> public
Nat Server Reverse,192.168.1.1[202.100.1.20]-> any,Zone: untrustProtocol: any(Appro:—),Left-Time: --:–:–,Addr-Pool: —
VPN: public -> public

异小生
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
双向NAT
qq_59359593的博客
09-25 123
报文的转换过程:公网用户访问私网服务器的报文到达防火墙时,目的地址(私网服务器的公网地址)经过NAT Server转换为私网地址,然后源地址经过源NAT也转换为私网地址,且和私网服务器属于同一网段。这样报文的源地址和目的地址就同时进行了转换,即完成了双向NAT。当私网服务器的响应报文经过防火墙时,再次进行双向NAT,报文的源地址和目的地址均转换为公网地址。私网服务器收到转换后的报文时,发现报文的源地址跟自己的地址在同一网段。
H3C双向NAT典型组网配置案例
qq_23930765的博客
10-25 4832
在该网络拓扑图中,内网和外网已经有了明确的标识,某局点申请了202.1.100.2-202.1.100.3这两个公网IP地址,其中202.1.100.2用于与外网互联,202.1.100.3用于给内网WEB服务器的转换并对外网提供WEB服务,同时内网机子能通过使用外网IP地址来访问WEB服务器,因此在不使用NAT回流的前提下,采用双向NAT来实现此需求。由上面俩图可以看出,内网终端可以分别使用内网地址和外网地址访问SW1的WEB服务!6、R1配置双向NAT,实现内网主机通过使用外网地址来访问WEB服务。
NAT双向地址转换
03-16
NAT双向地址转换
利用两种不同的NAT配置实现两个接口的双向静态NAT测试
weixin_34378045的博客
09-05 565
一.测试拓扑:二.测试需求1.ServerA已经配置静态一对一的地址实现从Interternet的访问2.RouterA和RouterB为专线3.需要ServerA访问ServerB的源地址映射为193.170.3.200三.测试思路1.利用nat和route-map实现按照需要进行NAT转换---实际测试,不能满足要求2.分2组nat,一组传统方式ip nat inside、ip nat out...
NAT配置之双向NAT详解
最新发布
Mario_Ti的博客
12-28 1893
本文将收录NAT合集专栏,此文主要是讲解NAT技术之双向NAT的原理以及配置。
华为HCIA进阶笔记:NAT 网络地址转换
06-20
华为HCIA基础实验 - NAT配置 & eNSP
HCIA security 网络安全学习笔记
06-26
HCIA-Security 网络安全学习笔记
HCIA-安全.zip
11-09
来自华为官网的HCIA-安全验证资料,是V3.0的版本,在当前是最新的。只进行了简单的收集和整理,上传到这里无任何商业目的,如果侵权将马上删除。
HCIA HCIP安全入门 学习笔记
06-26
HCIA HCIP安全入门 学习笔记
H12-711 HCIA安全认证题库
02-11
更新版题库,含分析描述
NGFW_双向NAT
qq_27599713的博客
02-14 337
双向NAT指在转换过程中同时转换报文的源信息和目的信息。双向NAT不是一个单独的功能,而是源NAT和目的NAT的组合。双向NAT是针对同一条流量,在其经过防火墙的同时转换报文的源地址和目的地址。
防火墙双向NAT
坏坏-5的博客
10-23 2621
本篇是防火墙的双向NAT的简单配置!
双向NAT技术
坏坏-5的博客
07-15 351
主要介绍双向NAT技术,以及双向NAT中的NAT Server-SNAT和域内NAT的实验配置!
网络——域内双向NAT技术
Jay
04-18 1396
到达网关时,网关发现目的地址是10.1.12.100(AR1的G0/0/1同网段地址),于是想要将该数据包从G0/0/1发出,不过G0/0/1接口上配置了NAT Server,发现转换后的地址是AR1的G0/0/0网段地址,那么该HTTP请求又从G0/0/0接口发回,G0/0/0接口上并没有配置NAT Server进行转换。我们查看域内Client1能否正常访问内部的HTTP Server服务器。**备注:**可以通过抓包发现,AR1的G0/0/1出接口并无数据包,而G0/0/0的接口存在TCP无回应。
安全HCIP之双向NAT
XiaoHG_CSDN的博客
10-08 835
双向NAT 双向NATNATserver + 源NAT,即转换源也转换目标; 域间双向NAT转换 域间双向NAT:服务器回包(网关); 为了简化配置服务器至公网的路由,可在NAT Server基础上,增加NAT Inbound配置; 域内双向NAT 防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址; 防火墙将FTP服务器回应的报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址; ...
华为防火双向NAT
不定期分享一些自己的学习笔记
10-16 2805
华为防火双向NAT
双向NAT转换
weixin_34367845的博客
02-25 5587
常规地址转换技术只转换报文的源地址或目的地址,而双向地址转换(Bidirectional NAT)技术可以将报文的源地址和目的地址同时转换,该技术应用于内部网络主机 地址与公网上主机地址重叠的情况。如图所示:内部网络主机 PC1 和公网上主机 PC3的地址重叠。这种情况下,内部网络主机 PC2访问主机 PC3的报文不会到达 目的主机,而会被错误的转发到主机 PC...
华为配置双向NAT
weixin_34123613的博客
03-06 1312
应用环境Eudemon 不但支持配置隐藏高安全区域中用户或被访问服务器的私有IP 地址的NAT,即Outbound 方向的NAT,还支持配置隐藏低安全区域或同一安全区域中访问用户的IP地址:当位于低安全区域的网络用户访问高安全区域的服务器时,若需要隐藏低安全区域用户的IP 地址,可配置Inbound 方向的NAT。当网络用户访问同一安全区域内的服务器时,若需要隐藏其 IP 地...
hcia security
09-14
HCIA Security是指华为认证的网络安全工程师认证。该认证是针对网络安全工程师的技能和知识进行评估和认证的专业资质。在HCIA Security认证中,涉及了安全区域的概念和安全策略的组成条件。安全区域是防火墙划分网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值