网络安全之防火墙 server nat 基本配置实验

已于 2023-03-30 18:00:56 修改
阅读量2.6k 收藏 18
点赞数 2
分类专栏: 网络安全 文章标签: web安全 安全 服务器
于 2023-03-28 16:39:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57289939/article/details/129803395
版权

目录

网络安全之防火墙 server nat 基本配置实验

实验图

 1.进入视图模式

 2.配置端口IP地址即区域

防火墙

      ​编辑

 untrust区域

DMZ区域

trust区域

配置trust-untrust区域的ftp

在untrust区域中的server1开启ftp服务

 配置trust-untrust区域的ftp的安全策略

登陆ftp

 查找server-map

配置  nat

配置Internet nat策略

 修改安全策略

 测试

配置目的转换地址池

配置服务器映射

server2配置HTTP服务

配置服务器映射

配置untrust to dmz-www区域的安全策略

配置接口地址来映射私网地址

关闭服务器映射

配置 dmz nat

 配置源、目双转换(nat域外双转)

新建原转换地址池

配置nat策略

测试

 nat域内双转

 trust区域添加一个server

配置服务器映射(放通公网)​编辑

 检查

 启动server的http服务

配置安全策略(外网访问)

 测试 (外网访问)

测试(内网访问)

新建原地址池

目的地址转换池

配置nat双转

 测试

网络安全之防火墙 server nat 基本配置实验

实验图

 1.进入视图模式

<USG6000V1>system-view
[USG6000V1] int g 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.160.1 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

 2.配置端口IP地址即区域

防火墙

      

 untrust区域

        server1

         Client 2

DMZ区域

trust区域

         PC 1

         Client 1

配置trust-untrust区域的ftp

在untrust区域中的server1开启ftp服务

 配置trust-untrust区域的ftp的安全策略

登陆ftp

 

 

         R1配置

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sy	
[Huawei]sysname R1
[R1]int g 0/0/0
[R1-GigabitEthernet0/0/0]ip address 10.1.1.4 24
[R1-GigabitEthernet0/0/0]q
[R1]ip route-static 0.0.0.0 0 10.1.1.1

        登陆ftp

 查找server-map

<USG6000V1>dis firewall server-map
2023-03-27 21:20:33.470 +08:00
 Current Total Server-map : 0
<USG6000V1>
Mar 27 2023 21:21:01+08:00 USG6000V1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.201
1.5.25.191.3.1 configurations have been changed. The current change number is 30
, the change loop count is 0, and the maximum number of records is 4095.
<USG6000V1>dis firewall server-map
2023-03-27 21:21:11.940 +08:00
 Current Total Server-map : 1
 Type: ASPF,  10.1.1.3 -> 100.1.1.2:2053,  Zone:---
 Protocol: tcp(Appro: ftp-data),  Left-Time:00:00:07
 Vpn: public -> public
<USG6000V1>display firewall session table 
2023-03-27 21:33:41.470 +08:00
 Current Total Sessions : 11
 ftp  VPN: public --> public  10.1.1.3:2059 +-> 100.1.1.2:21
 tcp  VPN: default --> default  192.168.160.2:58333 --> 192.168.160.1:8443
 netbios-name  VPN: default --> default  192.168.160.2:137 --> 192.168.160.255:1
37
 ftp  VPN: public --> public  10.1.1.3:2053 --> 100.1.1.2:21
 tcp  VPN: default --> default  192.168.160.2:59265 --> 192.168.160.1:8443
 ftp  VPN: public --> public  10.1.1.4:49901 --> 100.1.1.2:21
 ftp  VPN: public --> public  10.1.1.3:2057 +-> 100.1.1.2:21
 ftp  VPN: public --> public  10.1.1.3:2061 +-> 100.1.1.2:21
 tcp  VPN: default --> default  192.168.160.2:53849 --> 192.168.160.1:8443
 ftp-data  VPN: public --> public  10.1.1.3:2062 --> 100.1.1.2:2055
 ftp  VPN: public --> public  10.1.1.3:2055 --> 100.1.1.2:21

配置  nat

配置Internet nat策略

 修改安全策略

 测试

<R1>ping 100.1.1.3
  PING 100.1.1.3: 56  data bytes, press CTRL_C to break
    Reply from 100.1.1.3: bytes=56 Sequence=1 ttl=254 time=70 ms
    Reply from 100.1.1.3: bytes=56 Sequence=2 ttl=254 time=40 ms
    Reply from 100.1.1.3: bytes=56 Sequence=3 ttl=254 time=40 ms
    Reply from 100.1.1.3: bytes=56 Sequence=4 ttl=254 time=30 ms
    Reply from 100.1.1.3: bytes=56 Sequence=5 ttl=254 time=50 ms

  --- 100.1.1.3 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 30/46/70 ms

        抓包

配置目的转换地址池

        新建源地址转换池

         

 注意:

        配置路由黑洞,防止该虚拟设备被当做一个真实的设备使用。

        修改nat策略

         访问

此时,源地址变为地址池的地址

配置服务器映射

server2配置HTTP服务

配置服务器映射

安全区域 --- 发到哪里选哪个区域

黑洞路由 --- 防止当作真实服务器去访问

公网地址 --- 服务器映射不能直接配置到接口地址(NAT策略可以,服务器映射不可以)

配置untrust to dmz-www区域的安全策略

目的地址 --- 写私网地址,私网地址为真正的服务器,公网只是个Ip(服务器所在的地址)

测试

<USG6000V1>display firewall server-map 
2023-03-28 11:16:00.810 +08:00
 Current Total Server-map : 1
 Type: Nat Server,  ANY -> 100.1.1.111:80[10.1.2.2:80],  Zone: untrust ,  protoc
ol:tcp
 Vpn: public -> public

<USG6000V1>

server nat 调用 server-map的隐秘通道,将公网流量放进来实行转换

配置接口地址来映射私网地址

关闭服务器映射

配置 dmz nat

测试

 配置源、目双转换(nat域外双转)

前提:

        公网地址源地址不是私网地址,公网地址访问的对象不能直接写为私网地址

新建原转换地址池

配置nat策略

目的地址 --- 可以转为端口

测试

 nat域内双转

 trust区域添加一个server

配置服务器映射(放通公网)

 检查

 启动server的http服务

配置安全策略(外网访问)

 测试 (外网访问)

测试(内网访问)

 内网无法通,解决办法:配置双转

新建原地址池

目的地址转换池

配置nat双转

 测试

White乄joker
关注
  • 2
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
H3C_综合配置NAT及端口映射基础案例
04-20
《H3C综合配置NAT及端口映射基础案例详解》 网络技术中,NAT(Network Address Translation)和端口映射是确保内部网络与外部网络通信的重要手段,尤其是在有限的公网IP资源下。本文将深入解析H3C网络设备(如...
NAT介绍及命令配置
m0_74412260的博客
03-22 9845
NAT又称网络地址转换,1990年代中期,NAT是作为一种解决IPv4地址短缺以避免保留IP地址困难的方案而流行起来的。网络地址转换在很多国家广泛使用。所以NAT就成了家庭和小型办公室网络连接上的路由器的一个标准特征,因为对他们来说,申请独立的IP地址的代价要高于所带来的效益。
跟着实验NAT Server配置
Yearningforwood的博客
04-19 2707
基于目的IP的NAT Server配置,通过实验学习NAT配置
防火墙技术基础篇:基于Ensp配置防火墙NAT server(服务器映射)
最新发布
qq_39241682的博客
05-29 2132
NAT(Network Address Translation,网络地址转换)是一种允许多个设备共享一个公共IP地址的技术。NAT Server,也称为服务器映射,是NAT技术中的一种应用,主要用于将外部网络的访问请求映射到内部网络中的某个具体服务器上。这种技术广泛应用于需要将外网请求路由到内网特定服务器的场景,比如Web服务器、邮件服务器等。
防火墙之部署服务器NAT
晚风挽着浮云的博客
06-03 3114
NAT(Network Address Translation),是指网络地址转换,1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。这种方法需要在专用网(私网IP)连接到因特网(公网IP)的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址(公网IP地址)。
防火墙 NAT
qq_51574973的博客
03-31 385
当内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换功能称为SNAT,主要用于内部共享IP访问外部网络。iptables有一个默认备份文件 /etc/sysconfig/iptables ,iptables服务在每次重启后会自动加载该文件。#将iptables规则文件保存在 /etc/sysconfig/iptables,iptables服务启动时会自动还原规则。
防火墙NAT配置
悦分享
11-15 2515
1. NAT简介网络地址转换(Network Address Translation)简称为NAT,是是将IP数据包包头中的IP地址转换为另一个IP地址。当IP数据包通过设备时,设备会把IP数据包的源IP地址和/或者目的IP地址进行转换。在实际应用中,NAT主要用于私有网络访问外部网络或外部网络访问私有网络的情况。NAT技术就是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术。要设置一个服务器防火墙,就要使用规则,每个规则指定在包中与什么匹配,以及对包执行什么操作。
7.防火墙网络地址转换-nat-server.pdf
09-02
防火墙
网络安全技术-H3C SecPath系列防火墙41课.zip
03-11
网盘文件永久链接 01-登录设备Web管理页面 ...03-对象组典型配置举例 04-安全策略配置 05-安全策略阻断应用流量典型配置举例 06-指定IP方式接入Internet ...30-NAT Server典型配置举例 31-NAT Flow典型配置举例 ..........
H3C SecPath系列防火墙配置图解.rar
08-01
01web管埋贞由配置图解pdt 02 -License注册配置图解pdf 03安全策略配置图解pdf 04指定P方式接入 nternet配置图解pdf ...09 NAT Server配置图解pdf 10设备配置备份与恢复配置图解,pdf 11忘记登录密码解决办法配置图解pdf
Windowsserver2003NAT配置.pdf
10-11
总之,Windows Server 2003的NAT配置涉及多个层面,包括基本配置、高级设置、安全策略以及动态连接管理,正确配置NAT服务器能够有效地保护内部网络,同时确保内外部通信的顺利进行。理解并熟练掌握NAT的原理和配置...
华为防火墙NAT原理及配置
爱意随风起,人生不可弃。
12-17 3828
面临IP地址匮乏,短期方案:NAT(全称),长期方案:IPV6(下一代因特网)。
防火墙NAT配置实验
ChenD的学习笔记
11-16 5340
防火墙NAT配置实验,no-pat,NAPT,easy-ip,NAT Sever
华为防火墙NAT概述和基础配置
qq2353177176的博客
11-13 3475
华为防火墙NAT概述和基础配置
防火墙与网络地址转换(NAT
qq_45331503的博客
04-14 1816
1:网络地址转换NAT 建立NAT的动机是IP地址减少。 NAT的工作原理就是重写通过路由器的数据包的识别信息(IP地址)。 传统NAT基本NAT和NAPT(网络地址端口转换) 传统NAT包括基本NAT(网络地址转换)和NAPT(网络地址端口转换) 基本NAT 基本NAT只执行IP地址的重写。 本质上就是将私有地址改写位公有地址 不流行 缺点: 无法减少需要使用的IP地址 一个共有IP地址只能对应一个私有地址。 网络地址端口转换NAPT 使用端口来标识到底和NAT内部哪台私有主机关联。 一个共有
防火墙(firewall)详细介绍
热门推荐
Ye的博客
08-09 1万+
防火墙介绍、包过滤防火墙、代理防火墙、状态检测防火墙、ASIC架构防火墙、UTM防火墙web应用防火墙
四、防御保护---防火墙NAT
M372109150的博客
01-30 1621
NAT不上网,当我们畅快访问互联网时,并没有意识到NAT的作用。本篇介绍防火墙常见的NAT模式。
NAT基础知识点及实验配置(详细版)
linsjshdn的博客
06-19 1万+
注意:AR2并不知道pc端的真正路由,他只知道ping通12.1.1.3和12.1.1.4,并且与AR1是直连(通过ttl值知道的)。现在的话还需要添加一条去往8.8.8.8的路由,可以用ospf或者isis(isis我还没学到,就用ospf)也可以抓包(建议每次使用都抓捕报文,看不懂没关系,多看看这些报文,完了保存一下,时间久了可以看看)版本信息/源地址 ospf的组播地址,长度,flags,头部校验,邻接状态等等。·在AR1上g0/0/0抓包可知,都转发为相同的公有地址:12.1.1.5。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

White乄joker

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值