nat的地址映射 华为_华为USG6000配置NAT Server及原理讲解案例分享

最新推荐文章于 2025-04-21 21:36:51 发布
最新推荐文章于 2025-04-21 21:36:51 发布
阅读量4.9k 收藏 13
点赞数 2
文章标签: nat的地址映射 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39859052/article/details/112527732
版权

公司的私网通常会有一些服务需要提供给公网的用户访问,但是由于网络部署时,服务器地址一般都会配置成私网地址,这样就不能实现公网的用户访问了。那么华为防火墙作为企业的出口网关时,是如何解决这个问题呢?

很多小伙伴会第一时间想到用NAT,没错,大致的方向正确了。只不过之前我们所使用的是源NAT,是对私网用户访问公网的报文源地址进行转换,而服务器对公网提供服务器时,是公网用户想私网发起访问,方向正好相反了。针对服务器的地址转换,我们赋予了它一个形象的名字――NAT Server(服务器映射)

下面来看下防火墙上的NAT Server是如何配置和实现的

ab29123ae53b939037e326e392215884.png

配置思路

1、华为防火墙接口配置IP地址,并把对应的接口加入到安全区域。

2、把服务器的私网地址映射成公网地址。

3、配置untrust区域允许访问dmz区域的安全策略

关键配置

1、华为防火墙接口与安全域的配置

[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 10.1.1.1 24
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 1/0/0
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 1.1.1.2 24

2、把服务器的私网地址映射成公网地址。

[FW1]nat server  protocol tcp global 1.1.1.2 9980 inside 10.1.1.2 80

这里将80端口映射为9980端口而不是直接映射为80端口是因为,一些地区的运营商会阻断新增的80、8000、8080端口的业务,从而导致服务器无法访问。

3、配置untrust区域允许访问dmz区域的安全策略

security-policy
 rule name untrust_to_dmz
  source-zone untrust
  destination-zone dmz
  action permit

以上命令配置允许untrust区域的流量访问dmz区域。完成了以上配置之后,可以通过访问1.1.1.2的9980端口,从而访问到内网10.1.1.2的80端口。

14f7cda8e3ff76e09565cab502dc29d2.png

上面的配置是比较简单的,下面来看看具体的流程吧。

当执行了nat server protocol tcp global 1.1.1.2 9980 inside 10.1.1.2 80这条命令后,Server-map会生成以下的映射关系。

7cd20535af24c5a5f9873525bb998f0f.png

上图就是NATServer的Server-map表项, 图中红框标注的字段就记录着服务器私网地址端口和公网地址端口的映射关系。[]内为服务器私网地址和端口、[]外为服务器公网地址和端口。我们将表项翻译成文字就是:任意客户端(any)向(->)1.1.1.2:9980发起访问时,报文的目的地址和端口都会被转换成10.1.1.2:80。具体的流程如下:

当客户端通过1.1.1.2:9980访问服务器时,防火墙收到报文的首包后,首先是查找并匹配到Server-map表项,将报文的目的地址和端口转换为10.1.1.2:80。然后根据目的地址判断出报文在哪两个安全区域间流动,报文通过域间安全策略检查后,防火墙会建立如下的会话表,并将报文转发到私网。

c8362b89d3705c9dbd848e5317d1ae0e.png

之后,服务器对客户端的请求做出响应。响应报文到达防火墙后匹配到上面的会话表,防火墙将报文的源地址和端口转换为1.1.1.2:9980,而后发送至公网。后续客户端继续发送给服务器的报文,防火墙都会直接根据会话表对其进行地址和端口转换,而不会再去查找Server-map表项了

在防火墙的前后抓包,能很清楚地看到NAT Server的效果:

A、转换客户端发往服务器的报文的目的地址和端口。

防火墙处理前:

c69bf8efcc9e9d2131c0f2badeb7209f.png

防火墙处理前

防火墙处理后:

a86bd74030e61c781360b414934a2cc5.png

防火墙处理后

B、转换服务器响应客户端的报文的源地址和端口。

防火墙处理前

872a997cdc6c53ce5d0f32da77dce760.png

防火墙处理前

防火墙处理后

8b89a149c5facce8f73a812deb9aea8c.png

防火墙处理后

以上就是防火墙NAT Server的基本配置和工作原理。更多精彩的内容请关注我的头条号,欢迎大家留言讨论。

华为USG6000防火墙nat / nat server 配置(多出口情况)
weixin_45102241的博客
09-03 3857
FW1-policy-security-rule-lyshark] destination-zone untrust // 目标安全区域(外部)[FW1-policy-security-rule-lyshark] destination-address any // 目标地址区域。[FW1-policy-security-rule-lyshark] source-zone trust // 原安全区域(内部)[FW1] interface GigabitEthernet 1/0/2 // 选择外网接口。
NAT server之服务器映射(端口映射)--华为
网络之路Blog(其他平台同名)
08-09 4664
上面提到过服务器属于内网里面,本身地址是私网的,是无法被公网访问到,那这个时候公网的访问端能够访问的就是出口路由器的公网IP,服务器映射(端口映射)它的功能就是把出口公网IP地址对应的某个端口号,映射到内网某个地址的端口号上面来,这样当公网终端访出口路由器的公网IP某个端口号的时候,出口路由器就会把它转发给内网服务器,实现资源的访问,这里顺便说一下,不同路由器厂商对于技术的称呼不太一样,有叫端口映射的,有叫服务器映射的,指的都是这个功能。(如果群满了,可以公众号后台回复‘加群’获取最新群号)
2024年华为防火墙USG6000通过WEB图形界面配置案例(2),面试阿里的时候一定会问到的
2401_84413092的博客
05-07 537
我可以将最近整理的前端面试题分享出来,其中包含HTML、CSS、JavaScript、服务端与网络、Vue、浏览器、数据结构与算法等等,还在持续整理更新中,希望大家都能找到心仪的工作。开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】salocationmode patmode patdescription 外网访问FTP的安全策略nat-policypcp-policyreturn12345678910111213141516。
静态NAT、动态NAT、NAPT、Easy IP、NAT Server配置和个人理解enps
最新发布
weixin_66295187的博客
04-21 1009
静态NAT,避免在PC长时间没有发送数据时,从而导致IP地址浪费,这个时候呢,动态NAT就出现了。实现原理和NAPT相同,同时转换IP地址、传输层端口,区别在于Easy IP没有地址池的概念,使用接口地址做为NAT转换公有地址。NAT Server和静态NAT类似,区别在于静态NAT只转换IP地址,而NAT Server要同时转换IP地址和端口。其实吧,我觉得这个和动态NAT差不多,就是多了个端口转换,在配置方面少了个参数no-pat,静态NAT通过建立一对一的地址映射关系来实现内外网之间的通信。
华为USG6000V防火墙NAT智能选举
duoba_an的博客
07-16 1768
NAT技术是”网络地址转换“,将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定,随机的。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态NAT转换。动态NAT是在路由器或防火墙上配置一个外网IP地址池,当内部有计算机需要和外部通信时,就从地址池里动态的取出一个外网IP,并将他们的对应关系绑定到NAT表中,通信结束后,这个外网IP才被释放,可供其他内部IP地址转换使用,这个DHCP租约IP有相似之处。分公司内部的客户端可以通过域名访问到内部的服务器。
华为防火墙USG6000WEB配置案例
12-09
华为防火墙USG6000WEB配置案例,详细指导你如何配置华为防火墙,是新手入门的最佳文档
公众号配置服务器必须是80端口吗_华为USG6000配置NAT Server原理讲解案例分享...
weixin_39814393的博客
11-17 830
公司的私网通常会有一些服务需要提供给公网的用户访问,但是由于网络部署时,服务器地址一般都会配置成私网地址,这样就不能实现公网的用户访问了。那么华为防火墙作为企业的出口网关时,是如何解决这个问题呢?很多小伙伴会第一时间想到用NAT,没错,大致的方向正确了。只不过之前我们所使用的是源NAT,是对私网用户访问公网的报文源地址进行转换,而服务器对公网提供服务器时,是公网用户想私网发起访问,方向正好相反了。...
华为防火墙USG6000通过WEB图形界面配置案例
热门推荐
LiBai'S BLOG
12-02 3万+
华为防火墙USG6000NATNAT Server配置案例网络拓扑图通过WEB方式登录到防火墙登录成功配置防火墙使内网用户通过PAT方式上网配置防火墙使得外网用户能访问企业DMZ区域的FTP服务器(双向nat)内网用户与FTP-Server配置配置代码官方参考文档 网络拓扑图 通过WEB方式登录到防火墙 登录成功 配置防火墙使内网用户通过PAT方式上网 防火墙上新建一个Nat Pool,供内网用户以NAT方式访问外网 配置Nat策略 配置策略,使得trust区域可以访问untrust区域 配
华为---USG6000V防火墙web基本配置示例
lehe99的专栏
12-26 6315
防火墙配置宗旨是人性本恶,进出防火墙的数据都要放行才能出入。是不是“好人”?要经过检查才知道。 终端配置IP及网关; 防火墙创建区域,区域添加相应端口; 防火墙端口配置IP地址、路由; 防火墙配置策略: trust-->untrust、trust-->dmz、dmz-->untrust 放行; 防火墙配置源转换,实现trust和dmz区域可以访问外网; 防火墙配置目标地址转换、配置策略,实现外网可以访问dmz区域服务器。
HUAWEI USG6000系列 & NGFW Module V100R001 典型配置案例
07-23
本文档介绍NGFW典型应用场景的配置方法。本文档并不覆盖所有的特性,而只专注于 典型的配置场景。您可以以本文档所提供的案例为范本,自定义您的配置。 本文档适用于负责配置和管理防火墙设备的网络管理员。您应该熟悉以太网基础知识, 且具有丰富的网络管理经验。
HUAWEI USG6000 V500R001 全图化Web典型配置案例
03-05
华为USG6000系列防火墙WEB典型配置案例,易学易懂。适合初学者使用。
华为防火墙USG6000全图化Web典型配置案例(V4.0)-彩图版.zip
08-29
华为防火墙USG6000全图化Web典型配置案例(V4.0)-彩图版.zip
华为USG防火墙配置实例
03-24
USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网络边界。USG5500系列产品部署于网络出口处,有效阻止Internet上的黑客入侵、DDoS攻击,阻止内网用户访问非法网站,限制带宽,为内部网络提供一个安全可靠的网络环境。
华为USG6000防火墙配置合集
qq_43710889的博客
03-03 1万+
文章目录防火墙安全策略实验实验拓扑图实验目的:实验配置:测试:防火墙NAT Server & 源NAT实验源NAT实验实验拓扑端口地址和区域划分1.配置安全区域2.配置安全策略3.配置NAT地址池4.配置NAT策略测试:NAT Server2.配置安全策略3.配置NAT地址池4.配置NAT策略5.配置服务器映射6.服务器配置7.客户端配置测试: 防火墙安全策略实验 实验拓扑图 实验目的: 使得PC1能ping通PC2 实验配置: 1.配置基本的IP地址和所属安全区域。 2.配置域间安全策略。
华为防火墙技术之NAT Server
m0_67598829的博客
06-29 3906
Nat server:指定和形成一对一映射关系——映射表。这也是Nat server与其他nat的区别之一,Nat server可以指定端口进行映射。
华为(huawei)USG6000的CLI命令行综合配置之Ensp真机连接 USG6000防火墙
zsisle的博客
10-15 3910
华为USG系列防火墙一般部署在园区网出口中,很多朋友对USG系列如何进行配置不是太了解。本案例将用ensp模拟器的USG6000来演示配置真机如何连接USG防火墙以及USG防火墙如何在CLI模式下配置安全区域、nat策略以及安全策略。
[ensp案例]防火墙USG6000设置
weixin_53473589的博客
12-12 2433
场景:企业用路由器连接外网和内网的防火墙,防火墙连接划分为trust、untrust和dmz三个区域。网络拓扑如下,请按要求进入配置(1)所有区域任何主机都直接访问DMZ区(2)信任区主机能访问外网,但外网不能访问信任区主机(3)仅信任区主机110.1.1.1/24能访问外网主机20.1.1.1/24,且外网仅20.1.1.1/24仅能访问信任区主机110.1.1.2/24。这是我的一篇作业练习[嘻嘻]
华为USG防火墙配置端口映射
03-14
<think>嗯,用户想找华为USG防火墙配置端口映射的方法和示例。首先,我需要回忆一下华为防火墙的相关配置步骤。根据之前学过的知识,端口映射通常涉及到NAT(网络地址转换)中的目的NAT,也就是目标地址转换。用户提到的USG6000V防火墙,我记得引用[1]里提到过配置目标地址转换来实现外网访问DMZ区域的服务器,这可能就是端口映射的应用场景。 接下来,用户需要具体的配置步骤和示例。根据引用[1],配置思路包括创建区域、添加端口、配置策略,以及源地址转换和目标地址转换。而端口映射属于目标地址转换的一部分,可能需要使用NAT Server功能。引用[3]提到了一对一的地址转换,也就是NO PAT,这可能适用于需要固定IP映射的情况,比如服务器对外提供服务。 然后,我需要确认华为防火墙的配置命令和逻辑。比如,首先需要进入接口视图,配置公网IP,然后在系统视图下配置NAT Server,将公网IP的某个端口映射到内网服务器的私有IP和端口上。同时,安全策略也是关键,必须允许外部区域(如untrust)到DMZ区域的访问,否则即使配置NAT,流量也会被防火墙拦截。 用户可能还会遇到问题,比如配置完成后无法访问,这时候需要检查NAT配置是否正确,安全策略是否放行,以及路由是否可达。引用[2]中提到了配置接口IP和允许管理服务,这可能和接口的基础配置有关,确保接口已经正确分配到区域,并且启用了必要的服务。 另外,需要注意华为防火墙的不同版本可能在命令上有些差异,但基本逻辑是相似的。比如,配置NAT Server的命令是nat server protocol tcp global [公网IP] [端口] inside [内网IP] [端口]。同时,可能需要配置相应的安全策略,允许untrust到DMZ的流量。 最后,生成相关问题时要考虑用户可能进一步的问题,比如如何验证配置、如何处理多端口映射、以及和源NAT的区别等。这些都能帮助用户更全面地理解端口映射配置和应用。</think>### 华为 USG 防火墙端口映射配置方法 华为USG防火墙的端口映射(即**目标地址转换**)通常通过`NAT Server`功能实现,需结合安全策略与NAT配置。以下是具体步骤及示例: --- #### **1. 基础环境准备** - **接口划分区域**:将公网接口(如G0/0/1)加入`untrust`区域,内网服务器接口(如G0/0/2)加入`dmz`区域[^1]。 - **接口IP配置**: ```python # 公网接口配置示例 interface GigabitEthernet0/0/1 ip address 203.0.113.1 24 # 公网IP service-manage permit # 允许管理(可选) # 内网接口配置示例 interface GigabitEthernet0/0/2 ip address 192.168.1.1 24 # 内网服务器IP段 ``` --- #### **2. 配置端口映射NAT Server)** **场景**:将公网IP `203.0.113.1`的TCP 80端口映射到内网服务器`192.168.1.100`的80端口。 ```python # 在系统视图下配置NAT策略 nat server protocol tcp global 203.0.113.1 80 inside 192.168.1.100 80 ``` - **关键参数**: - `global`:公网IP及端口 - `inside`:内网服务器IP及端口 - `protocol`:协议类型(TCP/UDP) --- #### **3. 配置安全策略放行流量** 需允许`untrust`区域访问`dmz`区域的映射端口: ```python security-policy rule name permit_dmz_http source-zone untrust destination-zone dmz destination-address 192.168.1.100 32 # 内网服务器IP service http # 或自定义端口 action permit ``` --- #### **4. 验证与调试** - **查看NAT会话**: ```python display nat server # 检查NAT映射状态 display security-policy session # 查看策略命中情况 ``` - **测试访问**:从外网通过公网IP `203.0.113.1:80`访问内网HTTP服务。 --- #### **注意事项** 1. **多端口映射**:若需映射多个端口,需逐条配置`nat server`或使用端口范围(如`8080 to 8081`)。 2. **动态公网IP**:若公网IP动态分配,需结合DDNS服务[^3]。 3. **策略联动**:若映射失败,优先检查**安全策略**和**路由表**是否允许流量通过[^2]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值