华为网络----防火墙理论+NAT策略理论与实验

最新推荐文章于 2024-05-15 22:30:04 发布
置顶 最新推荐文章于 2024-05-15 22:30:04 发布
阅读量2.1k 收藏 21
点赞数 4
分类专栏: 华为网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45726050/article/details/104502943
版权

文章目录

前言:
  • 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
  • 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
  • 而NAT 技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4向IPv6的一种过渡
一、防火墙简介

在这里插入图片描述

1.1 华为防火墙工作模式

  • 华为防火墙有三种工作模式

    ① 路由模式

    • 当防火墙处于内部网路和外部网络中间时,需要将防火墙的内部网络、外部网络、DMZ三个区域分配不同地址段的时候使用
    • 这个时候防火墙首先是台路由器,然后在提供其他的防火墙功能

    ② 透明模式

    • 华为防火墙通过二层和外相连接时候,则防火墙处于透明模式下

    ③ 混合模式

    • 既处于路由接口模式又处于透明模式下,则防火墙是混合模式
    • 目前只用于透明模式下的双机热备的特殊应用中。别的环境不用
1.2 华为防火墙安全区域

  • 华为防火墙有五种区域

    ① Local区域:通常定义防火墙本身,优先级为100,防火墙除了转发大的流量外,自己也有收发流量,如控制流量、动态路由协议等,这些报文通常是从Local区域发送的,安全等级最高。

    ② trust区域:主要用于连接公司内部网络,优先级为85,安全等级较高

    ③ DMZ:非军事化区域,优先级为50,是介于军事管事区和公共区域之间的一个区域,安全等级中

    ④ untrust区域:外部区域,优先级为5,安全等级低

    ⑤ 自定义区域:用户自定义区域,默认最多16个区域,默认没有优先级,用户自定义优先级

  • 默认情况下,华为防火墙拒绝任何区域之间的流量,如需放行指定流量,需要管理员设置策略

1.3 华为防火墙的inbound和outbound

  • inbound:数据由等级低的区域流向等级高的区域,如untrust(优先级5)区域流向trust(优先级85)区域

  • outbound:数据由等级高的区域流向等级低的区域,如DMZ(优先级50)区域流向untrust(优先级5)

  • 防火墙流量控制是根据优先级来的,规则为:流量从高到低直接放行,从低到高需要设置规则

  • 此外,华为防火墙的外网口是不允许ping通的
    在这里插入图片描述

1.4 华为防火墙安全策略
  • 传统的防火墙都是基于5元组:源IP、目标IP、协议号、源端口号、目标端口号
  • 新一代的防火墙除了传统的5元组之外,还加入了应用、内容、时间、用户、威胁、位置进行深层次探测
  • 默认情况下,华为防火墙的策略有以下特点
    • 任何2个安全区域的优先级不能相同
    • 本域内不同接口间的报文不过滤直接转发
    • 接口没有加入域之前不能转发包
    • 在USG6600系列防火墙上默认是没有安全策略的,也就是说,不管是什么区域之间项目访问,都必须要配置安全策略,除非是同一区域内的报文传递
二、NAT概述
2.1 NAT分类

  • ① NAT no-PAT

    类似思科的动态转化,多对多,只转换IP地址,不转换端口,不能节约公网IP地址,实际应用场景较少,主要适用于需要上网的用户较少,而公网IP地址相对充裕的场景

  • ② NAPT(网络地址端口转换)

    类似思科的PAT,NATP即转换报文的源地址,又转换源端口,转换后地址不能是外网接口IP地址,属于多对多或者多对一的转换,可以节省公网IP地址,使用场景较多

  • ③ Easy-IP (出接口地址)

    因其转换方式非常简单,所以也被称为Easy-IP、和NAPT一样,即转换源IP地址,又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址,属于多对一转换,可以节约IP地址

  • NAT Server

    静态一对一发布,主要用于内部服务器需要对internet提供服务时使用

  • Smart NAT(只能转换)

    与源IP地址、源端口和协议类型有关的一种转换,将源IP地址和源端口转换为固定公网IP地址和端口,能解决一些特殊应用在普遍NAT种无法实现的问题

  • 三元组NAT

    与源地址、源端口和协议类型有关的一种转换,将源IP地址和源端口转换为固定公网IP地址和端口,能解决一些特殊应用在普遍NAT中无法实现的问题,主要应用外部访问局域网的一些P2P应用

三、黑洞路由
3.1 黑洞路由的产生
  • 在特定的NAT转换时,可能会产生环路及无效ARP,关于其如何产生,大概就是,在有些NAT的转换方式中,是为了解决内网连接Internet,而映射出了一个公有IP,那么,若此时有人通过internet来访问这个映射出来的公有IP,就会产生这种情况。解决这个问题的办法就是配置黑洞路由(将internet主动访问映射出来的地址流量指定到空接口null0)
3.2 黑洞路由应用场景

在这里插入图片描述

3.3 黑洞路由配置命令

  • 解决方法

    配置黑洞路由,将internet主动访问映射出来的地址的流量指定到空接口null0中

ip route-static 100.2.2.10 32 NULL 0
四、Server-map表
最低0.47元/天 解锁文章
weixin_45726050
关注
  • 4
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为防火墙NAT策略原理+实验验证!
CN_TangZheng的博客
02-11 4845
华为防火墙主要分为NAT NO-PAT ,NAPT,出接口地址( Easy-IP),Smart NAT,三元组NAT
华为防火墙基础理论与连接的四种方式
CN_TangZheng的博客
02-10 4019
通过AAA认证管理,管理方式有四种,Console线连接,Telnet远程连接,Web网页连接,SSH连接 生产环境中,我们使用Console线连接和他Telnet连接的方式,web连接和ssh连接有漏洞,我们不采用
防火墙安全策略NAT策略的匹配优先级
qq_35382262的博客
02-29 951
防火墙上如果做的目的NAT,则先匹配目的NAT策略,在匹配安全策略防火墙上如果做的源NAT,则先匹配安全策略,在匹配源NAT策略
NAT技术总结与双向NAT配置案例
最新发布
weixin_45103766的博客
05-15 1158
分析查看流量走向,流量(源1.3 目的11.6)经交换机到达Router后会转换目的ip,此时(源1.3,目的1.2),接下来可以到达内网服务器,内网服务器收到报文后,要返回流量。返回时,源目地址交换(源1.2,目的1.3),流量到达交换机(1.2–1.3)后,因为统一网段可直接发给内网主机。nat环路问题,pc1发送查找202.1.1.10的路由 经过由路由器r1交给防火墙防火墙30位掩码地址段只有.1和.2两个地址,snat地址不在其中。配置双向nat,使得内网用户通过公网ip访问内网服务器。
华为防火墙工作模式及安全区域划分
weixin_50523028的博客
02-06 4205
华为防火墙安全策略
华为防火墙双向NAT
u010612642的博客
09-19 4736
NAT根据报文在防火墙上的流动方向进行分类:域间NAT、域内NAT 域间NAT:报文两个不同的安全区域之间流动时对报文进行NAT转换 根据流动方向的不同又可以分为 NAT Inbound:报文由低安全级别的安全区域向高安全级别的安全区域方向流动时,对报文进行的NAT转换。一般来说,这种情况是公网用户访问内部网络,不太常见 ...
华为防火墙NAT配置与策略管理
qq_60654159的博客
11-19 7119
人类对计算机网路的使用已经拓展到各个领域,而计算机网络的设计者在当时无法想象网络能有今天的规模。任何一个接入互联网的计算机、ipad、手机及安卓电视,要想在互联网中畅游,必须有一个合法的IP地址。而IP地址,曾经认为足以容纳全球的计算机,但是在今天看来,已经严重枯竭。IPv6的出现就是为了解决地址不足的问题,但在IPv6普及之前,需要有一个过渡技术ーNATNAT的出现缓解了地址不够用的情况,它可以让同一局域网内60000多用户同时使用一个合法IP地址访问互联网,NAT技术不是新技术,对于我们来说也不陌生
华为防火墙笔记-网络地址转化NAT
weixin_46622350的博客
12-04 4572
NATNAT技术对IP报文的源地址进行转换,将私网IP地址转换成公网IP地址,使大量私网用户可以利用少量公网IP地址访问Internet,大大减少了对公网IP地址的消耗。整个NAT转换过程对于内部网络中的用户和Internet上的主机来说是完全透明的。 NAT地址池是一个虚拟的概念,它形象地把“公网IP地址的集合”比喻成一个“放IP地址的池子或容器”,防火墙在进行地址转换时就是从NAT地址池中挑选出一个公网IP地址,然后对私网IP地址进行转换。挑选哪个公网IP地址是随机的,和配置时的顺序...
内网访问外网(nat outbound
qq_43220560的博客
06-07 2067
比如,LSW1,左侧PC1 和AR2;因此LSW1可以ping通 192.168.10.1和192.168.30.2。自上而下匹配,先允许192.168.0.0的数据流通过,然后再阻止其他流量;要在外网边界接口下(G0/0/1)nat outbound 2000。
ensp华为配置NAT
phoenix7670的博客
10-31 4251
静态NAT:将内网主机的私有地址一对一映射到公有地址。动态NAT:将内网主机的私有地址转换为公网地址池里面的地址。NAPT:也叫端口NAT或PAT,从地址池中选择地址进行地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:N映射,可以有效提高公有地址利用率。Easy-IP:特殊的NAPT,Easy IP没有地址池的概念,使用设备接口地址作为NAT转换的公有地址。将内部服务器映射到公网,保障服务器安全。
ACL-VLANIF的Inbound和Outbound区别
Welcome To OpenClouds World !!!
10-16 3051
ACL是由一系列permit(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是无法使用的,需要应用在业务模块中才能生效,如在NAT中调用、在防火墙策略部署中被调用、在路由策略中被调用和用来通过流量过滤。2、ACL分类(1)基本ACL:ACL编号2000-2999,只能用报文的源IP地址、分片时间和生效时间段来定义规则;(2)高级ACL:ACL编号3000-3999,可以使用报文的源IP地址、目的IP地址、协议类型、源端口号、目的端口号、生效时间来定义规则;
防火墙基础知识
热门推荐
爱意随风起,人生不可弃。
10-18 1万+
攻击模式:先ping服务器的在线ip,再扫描端口。通信双方一定会交互报文,即安全区域的两个方向上都有报文的传输,通过设置安全区域,防火墙的安全区域之间有等级明确的域间关系,不同的安全区域代表不同网络防火墙成为连接各个网络的节点,以此为基础,防火墙可以对各网络之间流动的报文实施管控。安全区域是防火墙的重要概念,简称:区域(zone),安全区域是一个或多个接口的集合,是防火墙区别路由器的主要特性,防火墙通过安全区域来划分网络,标识报文流动的“路线”,一般来说,当报文在不同的安全区域流动时,才会受到控制。
七、NAT场景下黑洞路由作用
u012451051的博客
12-08 1479
NAT来说:如果NAT地址池地址与公网接口地址不在同一网段,必须配置黑洞路由。如果NAT地址池地址与公网接口地址在同一网段,建议配置黑洞路由。对于特定协议和端口的NAT Server来说:如果NAT Server的Global地址与公网接口地址不在同一网段,必须配置路由黑洞。如果NAT Server的Global地址与公网接口地址在同一网段,建议配置路由黑洞。
NAT 地址转换
khvbjhb的博客
06-09 1964
NAT
NAT工作原理与配置
q1y2y3的博客
03-22 1598
NAT(Network Address Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访。公网地址是指在互联网上全球唯一的ip地址,私有地址是指内部网络的IP地址和主机的IP地址,一般在一个单位或公司内部使用。这样做是为了减少IP不足的问题,而这个私网地址转到公网的过程就需要使用NATNAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机相连。NAT外部的主机无法跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路
[网络工程师]-路由配置-NAT配置
m0_58983558的博客
10-07 4123
通过实例讲述了配置NAT的两种方式Easy IP和NAT地址池
NAT、PAT的原理及配置
weixin_67470255的博客
03-16 4494
目录 一、NAT 1.私有地址 2.NAT工作原理 3.NAT功能 4.NAT配置命令 5.ACL访问控制表 二、PAT 1.PAT的作用: 2.PAT的类型: 3.NAPT的配置 4.Easy IP的配置 ​5.PAT端口多路复用 一、NAT NAT又称为网络地址转换,用于实现私有网络和共有网络之间的互访 1.私有地址 私有网络地址是指內部网络或主机的IP地址,IANA(互联网数字分配机构)规定将下列的IP地址保留用作私网地址不在Internet上被分配,可在一个单
华为/思科ACL
一个懒鬼的博客
08-04 3089
ACL 访问控制列表 (Access Contril List,ACL)是应用在路由器接口的指令列表 标准的ACL,基于源IP地址的过滤 思科:1-99 华为:2000-2999 扩展的访问控制列表 基于源IP,目标端口号,协议号,标准进行过滤 思科:100-199 华为:3000-3999 标准ACL配置: acl number 2000 rule 5 deny source 192.168.1.1 0 ...
H3C路由器动态NAT配置步骤全解析
923723914
08-20 7271
以下内容摘自刚刚上市,史上最全面、最系统的的四本大型(每本平均近900页)网络设备新书之一《H3C路由器配置与管理完全手册》(第二版),其它三本分别是:《Cisco交换机配置与管理完全手册》(第二版)、《Cisco路由器配置与管理完全手册》(第二版)和《H3C交换机配置与管理完全手册》(第二版)。 目前在京东网、当当网上同时购买这四本新书,可直减30元,点击查看:http://item.jd....
华为HCIE-RS面试理论精华: ICT与数通详解
华为HCIE-RS面试理论V3.0是一个针对华为认证高级信息架构师-路由与安全(Routing & Switching, 简称R&S)方向的专业培训资料。该资料强调了理论知识在实际面试中的重要性,特别指出学习者可以通过“葵花宝典”这一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值