华为防火墙在NAT安全策略设置的解释

已于 2022-03-16 22:57:23 修改
阅读量1.7k 收藏 3
点赞数
分类专栏: HCIA/HCIP sercurity 文章标签: 安全 网络 华为
于 2022-03-15 21:18:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47529104/article/details/123512658
版权

1、no-pat

我们知道no-pat会产生相应的server-map表项,其主要作用是加快nat的转换,但是在一开始的时候防火墙是没有server-map表的,只有本次通信中的首包触发了链接的建立之后,才会产生相应的server-map表,也正是因为这样我们在no-pat的时候其对应的安全策略放行的是内网主机的IP地址。

2、NAT server

在nat server的情况下默认会生成正反两条server-map,且不需要有首包就存在,一条帮助外网主机进行目的地址的转换,另一条是帮助内网服务器去上网。虽然NAT server下的server-map是常驻的,但是内网服务器若想与外网通信,其安全策略放行的依然还是内网服务器的IP,按理来说内网服务器应该首先命中server-map表并进行地址转换了之后再匹配路由表和安全策略,但是经过测试其并不会生效,还是需要放行内网的服务器IP地址才能进行通信。而外网主机如若想要与内网的服务器进行通信,我们的安全策略就必须放行内网的服务器IP,因为外网IP进入防火墙后会进行地址的转换,然后进行路由表的匹配,安全策略的匹配,所以我们的目的地址应该放行内网的服务器IP地址。

总结:

其他的NAT的情况其实都大同小异,但是总结上述的情况,我们可以得出一个结论,就是在开启了相关NAT功能的前提下,如果内网的主机想要与外网的主机进行通信,那么防火墙的安全策略就必须放行内网主机的IP,如果外网主机想要与内网主机进行通信就必须放行内网的主机IP

Mllllk
关注
专栏目录
华为防火墙NAT策略
Allurebaoshijie的博客
04-13 1175
一、NAT网络地址转换 1.NAT的类型 (1)NAT NO-PAT 对源IP地址进行转换不转换端口号 典型的多对多转换 将多个私网IP地址映射到多个公网IP地址 不节约公网IP地址 增强安全性 (2)NAPAT网络地址端口转换 对源IP地址和端口进行转换 私网映射的公网IP不能被防火墙设备使用 多对一的转换,将多个私网IP地址映射到一个公网IP地址 使用比较广泛 (3)Easy-IP出接口地址 对源IP地址和端口号进行转换 将内网IP地址地址和端口映射到防火墙外网接口的IP地址
华为防火墙NAT学习
weixin_54111663的博客
03-21 1787
通过ASPF功能可以对这些协议的应用层数据进行解析,识别这些协议协商出来的端口号,从而自动为其开放相应的访问规则,解决这些协议不能正常转发的问题。出接口地址(Easy-IP)因其转换方式非常简单,所以也称为Easy-IP,和NAPT一样,既转换源IP地址,又转换源端口,区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址,属于多对一转换,可以节约IP地址,主要适用于没有额外的公网地址可用,内部上网用户非常多的场景下,直接通过外网接口本身的IP地址作为转换目标。
防火墙第二次实验
m0_74818048的博客
07-14 150
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器。11,游客区仅能通过移动链路访问互联网。办公区设备通过电信链路或移动链路上网。在FW1上配置全局选路策略。
NAT server之服务器映射(端口映射)--华为
最新发布
网络之路Blog(其他平台同名)
08-09 1948
上面提到过服务器属于内网里面,本身地址是私网的,是无法被公网访问到,那这个时候公网的访问端能够访问的就是出口路由器的公网IP,服务器映射(端口映射)它的功能就是把出口公网IP地址对应的某个端口号,映射到内网某个地址的端口号上面来,这样当公网终端访出口路由器的公网IP某个端口号的时候,出口路由器就会把它转发给内网服务器,实现资源的访问,这里顺便说一下,不同路由器厂商对于技术的称呼不太一样,有叫端口映射的,有叫服务器映射的,指的都是这个功能。(如果群满了,可以公众号后台回复‘加群’获取最新群号)
华为--NAT-防火墙
weixin_72907400的博客
10-27 1954
NAT-防火墙
华为防火墙配置(防火墙NAT
热门推荐
1风天云月的博客
12-05 1万+
目录 前言 一、防火墙NAT概述 1、防火墙NAT策略介绍 2、NAT策略分类 (1)NAT No-PAT (2)NAPT (3)Easy-IP (4)Smart NAT (5)三元组NAT 3、NAT策略组成 4、NAT策略匹配规则 5、NAT策略处理流程 6、源NAT的使用限制 7、目的NAT的使用限制 8、与双机热备结合使用的限制 9、其它使用限制 10、源NAT简介 11、源NAT分类 (1)NAT No-PAT (2)NAPT (3)Smart NAT
华为防火墙如何为NAT开放安全策略
09-16
如何为NAT开放安全策略
华为防火墙NAT
j2669283004的博客
12-03 1228
一、NAT概述 参考之前写的,链接:NAT概述链接
华为安全-防火墙-双向NAT
w2685797168的博客
11-12 2280
在一些特殊的场景,可以将源NATSERVER NAT同时使用,以实现特殊的通讯,这就是本文介绍的双向NAT。双向NAT根据作用的ZONE不一样,可以分为域间双向NAT和域内双向NAT
防火墙NAT和智能选路实验详解(华为)
m0_64365018的博客
07-13 1203
从我上面一个博客能够了解到NAT防火墙选路原理 ——>防火墙nat和智能选路,这一章我通过实验来详解防火墙关于nat和智能选路从而能熟练使用和配置防火墙,这里使用的是华为USG6000V1、ensp模拟器进行实验。
华为防火墙NAT介绍及配置详解
weixin_53049621的博客
04-10 1万+
博文大纲: 一、华为防火墙NAT的六个分类; 二、解决NAT转换时的环路及无效ARP; 三、server-map表的作用; 四、NAT对报文的处理流程; 五、各种常用NAT的配置方法; 一、华为防火墙NAT的六个分类 华为防火墙NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少。 NAPT(Network Address and Port Translation,网络地址和端口转换):类似于C
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华为防火墙nat地址转换+安全策略+HA热备)
PanJWei的博客
03-03 3668
华为防火墙nat地址转换+安全策略
华为USG6000V防火墙NAT智能选举
duoba_an的博客
07-16 1266
NAT技术是”网络地址转换“,将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定,随机的。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态NAT转换。动态NAT是在路由器或防火墙上配置一个外网IP地址池,当内部有计算机需要和外部通信时,就从地址池里动态的取出一个外网IP,并将他们的对应关系绑定到NAT表中,通信结束后,这个外网IP才被释放,可供其他内部IP地址转换使用,这个DHCP租约IP有相似之处。分公司内部的客户端可以通过域名访问到内部的服务器。
华为防火墙NAT原理及配置
爱意随风起,人生不可弃。
12-17 3949
面临IP地址匮乏,短期方案:NAT(全称),长期方案:IPV6(下一代因特网)。
防御保护---防火墙(安全策略NAT策略实验)
M372109150的博客
01-25 1817
此次实验主要是以web界面的形式来配置防火墙,所以在上图中防火墙与cloud连接(不需要交换机也可),为了在web界面管理防火墙,web界面相对来说比较友好,可以直观的看出各种配置及条目。1.生产区在工作时间内可以访问服务器区,仅可以访问http服务器; 2.办公区全天可以访问服务器区,其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.10 3.办公区在访问服务器区时采用匿名认证的方式进行上网行为管理 4.办公设备可以访问公网,但是其他区域不行。
防火墙NAT策略中各项之间以及策略与策略之间的关系
weixin_45457085的博客
05-19 1206
1、NAT策略中rule与rule之间的关系为“或”的关系,即多个rule存在时,流量只需要匹配其中一个rule即可,流量会按照匹配的rule规则进行流量转发。(华为华三的防火墙rule是没有ID的,即配置上rule后rule ID是不显示的(可以通过display security-policy rule命令查看ID等信息),所以我们不能通过rule ID指定rule的匹配先后顺序,在命令行界面是按照从上往下的机制进行顺序匹配的)注意安全策略不同于NAT策略,安全策略在命令行界面是从下往上进行匹配的。
防火墙安全策略以及NAT简易拓扑
求大佬师傅带
01-25 548
防火墙安全策略以及NAT简易拓扑
4.安全NAT策略-1
weixin_34377065的博客
06-27 1008
1.安全策略配置 1.1 基本概念 下一代防火墙流量处理流程 策略匹配规则 从上到下匹配 使用第一个匹配流量的策略规则 后面的策略规则不会匹配 三种类型的Policy Rule intraZone:流量在一个zone里面穿梭,默认允许。 InterZone:流量在不同的zone之间穿梭,默认拒绝。 Universal:policy rule默认的类型,可以是intraZone...
华为华三企业防火墙安全策略部署:关键技术和应用
华为和华三的小型企业网络架构搭建过程中,防火墙安全策略部署是关键环节。防火墙的主要作用在于确保内网的安全,它通过设置规则和策略来控制网络流量的进出。在部署防火墙时,首先需要理解以下几个核心概念和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mllllk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值