华为NAT策略
NAT介绍
图片
NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
NAT功能
NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的×××,隐藏并保护网络内部的计算机。
1.宽带分享:这是 NAT 主机的最大功能。
2.安全防护:NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了,外界在进行 portscan(端口扫描) 的时候,就侦测不到源Client 端的 PC 。
—.NAT网络地址转换
1.NAT的类型
(1) ANT N0-PAT
对源IP地址进行转换不转换端口号
典型的多对多转换
将多个私网IP地址映射到多个公网IP 地址
不节约公网IP地址
增强了安全性
(2)NAPAT网络地址端口转换
对源IP地址和端口进行转换
私网映射的公网IP不能被防火墙设备使用
多对一的转换,将多个私网IP地址映射到一个公网IP地址
使用比较广泛
(3)Easy-IP出接口地址
对源IP地址和端口号进行转换
将内网IP地址地址和端口映射到防火墙外网接口的IP地址和端口
节约公网IP地址资源
Easy-IP和思科的PAT功能一致
(4)Smart Nat
是NATP和NAT NO-PAT 协同工作
预留一个IP地址做NAPT转换
少量用户使用 NAT NO-PAT 转换
(5)NAT Server
将内网服务器的IP地址和端口号映射到工作IP地址和端口号上
用于发布企业内网服务器到公网
2.黑洞路由
(1)黑洞路由产生的原因
防火墙内网主机映射的外网IP地址和防火墙外网接口IP地址不在同一网段
(2)避免黑洞路由
ISP手动添加到映射IP地址的路由条目避免黑洞路由,避免目标主机不可达
(3)三种NAT需要配置黑洞路由
NAT NO-PAT
NAPT
NAT Server
二.配置NAT
1.配置NAT NO-PAT
(1)配置安全策略
security-policy进入安全策略视图
rule name nat 安全策略名字 nat
source-zone trust 定义源网络trust
destination-zone untrust 目标网段
source-address IP地址 子网掩码
action permit 允许trust访问untrust
(2)配置NAT NO-PAT 地址池
nat address-group nat_no_pat池名 nat_no_pat
section 0 IP地址 IP地址 指定地址池
mode no-pat local 地址池为no-pat服务
(3)配置NAT策略
nat-policy 进入NAT策略
tule name natnopat 策略名为natnopat
source-zone trust 转换的源
destination-zone untrust 转换的目的
action nat address-group nat_no_pat NAT策略支持建立映射
2.NAPT
(1)配置NAPT地址池
nat address-group napt 池名为napt
section 0 IP地址 IP地址 指定地址池
mode pat 地址池为napt服务
(2)配置NAT策略
nat-lolicy 进入NAT策略
rule name napt 策略名为napt
source-zone trust
destination-zone untrust
source-address IP地址 子网掩码
action nat address-group napt
3.Easy-IP
(1)配置NAT策略
nat-policy
rule name easyip
source-zone trust
destination-zone untrust
source-address IP地址 子网掩码
action nat easy-ip
4.NAT Server
(1)配置安全策略
security-policy 进入安全策略
source-zone untrust转换源
destination-zone trust 转换目的
destination-address IP地址
action permit
(2)配置发布FTP
nat server public ftp protocol globall IP地址
三.查看映射信息
display firewall serve-map
四.查看NAT地址转换列表
display firewall session table