华为防火墙NAT配置与策略管理

一、NAT概述

NAT技术是用来解决当今IP地址资源枯竭的一种技术，同时也是IPv4到IPv6的过渡技术，绝大多数网络环境中在使用NAT技术。

1、NAT分类

在内外网的边界，流量有出、入两个方向，所以NAT技术包含源地址转换和目标地址转换两类一般情况下，源地址转换主要用于解决内部局域网计算机访问 Internet的场景；而目标地址转换主要用于解决Internet用户访问局域网服务器的场景，目标地址通常被称为服务器地址映射。

华为支持的源地址转换方式有如下几类：

• NAT No－PAT：类似于Cisco的动态转换，只转换源IP地址，不转换端口，属于多对多转换，不能节约公网IP地址，实际情况下使用较少，主要适用于需要上网的用户较少，而公网地址又足够的场景下。
• NAPT（ Network Address and Port Translation，网络地址和端口转换）：类似于Cisco的PAT转换，NAPT既转换报文的源地址，又转换源端口，转换后的地址不能是外网接口IP地址，属于多对多或多对一转换，可以节约IP地址，使用场景较多，主要适用于内部大量用户需要上网，同时仅有少数几个公网IP地址可用的场景下。
• 出接口地址（Easy－IP）：因其转换方式非常简单、所以也称为Easy－IP，和NAPT一样，既转换源IP地址，又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址，属于多对一转换，可以节约IP地址，主要适用于没有额外的公网地址可用，内部上网用户非常多的场景下，直接通过外网接口本身的IP地址作为转换目标。
• Smart NAT（智能转换）：通过预留一个公网地址进行NAPT转换，而其他的公网地址用来进行 NAT No－PAT转换。其主要用于平时上网用户比较少，而申请的公网地址基本可以满足这些少量用户进行  NAT No－PAT转换，但是偶尔会出现上网用户倍增的情况下。
• 三元组NAT：与源IP地址、源端口和协议类型有关的一种转换，将源IP地址和源端口转换为固定公网IP地址和端口，能解决一些特殊应用在普通NAT中无法实现的问题。其主要用于外部用户访问局域网用户的一些P2P应用。

介绍前三种源地址转换。

华为的目标地址转换技术主要是 NAT Server，可以基于IP地址转换，也可以基于 “ IP＋端口＋协议 ” 进行转换。

先将接口加入区域当中

[SRG]firewall zone trust

[SRG-zone-trust]add int g0/0/1

[SRG-zone-trust]firewall zone dmz

[SRG-zone-dmz]add int g0/0/2

[SRG-zone-dmz]firewall zone untrust

[SRG-zone-untrust]add int g0/0/3

[SRG-zone-untrust]quit

[SRG]firewall p d p interzone trust untrust direction outbound  (默认规则，高级别可以无条件访问低级别)

[SRG]firewall p d p interzone trust dmz dir out

[SRG]firewall p d p interzone dmz untrust dir out

[SRG]ip route-s 0.0.0.0 0.0.0.0 192.168.3.2

设置trust到untrust区域的NAT策略：

[SRG]nat-policy interzone trust untrust outbound

策略ID号：

[SRG-nat-policy-interzone-trust-untrust-outbound]policy 1

设置源地址：

[SRG-nat-policy-interzone-trust-untrust-outbound-1]policy source any

启用原地址转换功能：

[SRG-nat-policy-interzone-trust-untrust-outbound-1]action source-nat

设置转换类型为easy-ip，指定转换目标接口：

[SRG-nat-policy-interzone-trust-untrust-outbound-1]easy-ip GigabitEthernet0/0/3

[SRG-nat-policy-interzone-trust-untrust-outbound-1]quit

[SRG-nat-policy-interzone-trust-untrust-outbound]quit

2、防火墙控制策略

[SRG]policy interzone trust untrust outbound

[SRG-policy-interzone-trust-untrust-outbound]policy 1

[SRG-policy-interzone-trust-untrust-outbound-1]policy source 192.168.1.2 0  //源IP地址

[SRG-policy-interzone-trust-untrust-outbound-1]policy destination any   //目标地址为所有

[SRG-policy-interzone-trust-untrust-outbound-1]action permit       //设置允许/拒绝

[SRG-policy-interzone-trust-untrust-outbound-1]quit  

[SRG-policy-interzone-trust-untrust-outbound]policy 2

[SRG-policy-interzone-trust-untrust-outbound-2]policy source 192.168.1.3 0

[SRG-policy-interzone-trust-untrust-outbound-2]policy destination 192.168.4.2 0

[SRG-policy-interzone-trust-untrust-outbound-2]action deny  //设置一个拒绝条目，这样最终的实验效果会比较明显一点

[SRG-policy-interzone-trust-untrust-outbound-2]quit

[SRG-policy-interzone-trust-untrust-outbound]quit

3、防火墙配置服务器发布

[SRG]firewall packet-filter default permit all   //默认为允许所有

[SRG]nat server protocol tcp global interface g0/0/3 80 inside 192.168.2.2 80    将2.0网段的http服务转换到接口0/0/3的IP地址上面

最终的实验效果是内网能够ping通外网1.2能够访问服务，但是1.3访问不到。

内网的服务都可以访问到dmz区域的服务即2.2的http服务

但是外网的客户机访问不到真实的IP地址，通过g0/0/3的IP地址才可以访问到服务