(防火墙USG6000V)双向NAT详解

于 2024-07-01 22:11:32 发布
阅读量838 收藏 16
点赞数 14
分类专栏: 网络安全 文章标签: 网络 运维 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46008548/article/details/140108640
版权

双向NAT概念

 在某些场景下我们需要同时改变报文的源地址和目的地址,双向NAT是源NAT和目的NAT的结合使用,“源NAT+NAT Server”。

双向NAT不是一个单独的功能,而是一个源NAT和目的NAT的组合,但是这两个策略针对的同一条流(比如公网用户访问内网服务器,在经过防火墙时同时转换源地址和目的地址)。

根据报文在防火墙的流动方向进行分类,有域间NAT和域内NAT。

域间NAT:报文在两个不同的安全区域之间流动时对报文进行NAT转换。

域内NAT:报文在同一个安全区域之内流动时对报文进行NAT转换,一般域内NAT会和NAT-Server一起配合使用。

双向NAt在技术没什么创新,但是应用场景很有意思

域内NAT+NAT Server

服务器和客户端连接一个交换机,客户端可以直接通过交换机访问服务器,但是管理员不希望客户端直接访问服务器,这对服务器来说不安全,所以需要隐藏服务器的IP地址。

所以此处就要做成客户端访问防火墙设定的NAT-Server的公网地址,然后防火墙转换客户端的私网地址再发送到服务器;服务器将数据包返回到防火墙,防火墙再返回到客户端。

 配置过程

# 配置IP地址

[USG6000V1]interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 10.1.1.1 24

# 接口加入安全区域

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add interface g1/0/0

Nat-Server配置

[USG6000V1]nat server global 2.2.2.2 inside 10.1.1.2

域内NAT配置

[USG6000V1]nat address-group 1
[USG6000V1-address-group-1]mode pat 

[USG6000V1-address-group-1]route enable 

[USG6000V1-address-group-1]section 4.4.4.4 4.4.4.4

# 域内NAT策略

[USG6000V1]nat-policy  

[USG6000V1-policy-nat]rule name policy1

[USG6000V1-policy-nat-rule-policy1]destination-address 10.1.1.2 32 # 由于是先进行的NAT-Server转换,在进行域内NAT转换,所以此处的目的地址是NAT-Server转换后的地址,即服务器的私网地址

[USG6000V1-policy-nat-rule-policy1]action source-nat address-group 1

验证结果

PC机 ping 服务器2.2.2.2   

查看会话表   源地址和目的地址都改变了

[USG6000V1]display firewall session table 
2024-07-01 13:11:16.210 
 Current Total Sessions : 1
 icmp  VPN: public --> public  10.1.1.3:256[4.4.4.4:2049] --> 2.2.2.2:2048[10.1.1.2:2048]

查看Server-map表

[USG6000V1]display firewall server-map
2024-07-01 13:10:49.330 
 Current Total Server-map : 2
 Type: Nat Server,  ANY -> 2.2.2.2[10.1.1.2],  Zone:---,  protocol:---
 Vpn: public -> public

 Type: Nat Server Reverse,  10.1.1.2[2.2.2.2] -> ANY,  Zone:---,  protocol:---
 Vpn: public -> public,  counter: 1

域间NAT+NAT Server

这个应用场景是公网用户访问NAT-Server时进行目的地址的转换,变成私网地址,然后经过NAT策略转换源地址为私网地址,且和服务器在一个网段。

这个和只配置NAT Server最大的区别就是,私网服务器再回复了客户端的访问请求时,会发现自己的地址和目的地址在同一个网段,此时私网服务器不会查找路由,而是发送ARP广播报文询问目的地址的MAC地址。

就是私网服务器上省去了查找路由的环节,不用再配置网关地址,当前只是一台服务器,感觉很容易配置网关,但是如果上百台服务器需要管理网关,就不方便了,这就是域间双向NAT的好处。

配置过程

# 配置IP地址

[USG6000V1]interface g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 1.1.1.1 24
[USG6000V1-GigabitEthernet1/0/0]q
[USG6000V1]interface g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 10.1.1.1 24

# 加入安全区域

[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add interface g1/0/0

[USG6000V1]firewall zone dmz 
[USG6000V1-zone-dmz]add interface g1/0/1

# 配置安全策略

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name untust_dmz
[USG6000V1-policy-security-rule-untust_dmz]source-zone untrust 
[USG6000V1-policy-security-rule-untust_dmz]destination-zone dmz
[USG6000V1-policy-security-rule-untust_dmz]destination-address 10.1.1.2 32
[USG6000V1-policy-security-rule-untust_dmz]action permit 

NAT Server

[USG6000V1]nat server global 1.1.1.3 inside 10.1.1.2

域内NAT

# 配置地址池

[USG6000V1]nat address-group 1
[USG6000V1-address-group-1]mode pat 
[USG6000V1-address-group-1]section 10.1.1.100 10.1.1.100

# 配置NAT策略,源NAT

[USG6000V1]nat-policy 
[USG6000V1-policy-nat]rule name policy1
[USG6000V1-policy-nat-rule-policy1]destination-address 10.1.1.2 32
[USG6000V1-policy-nat-rule-policy1]action source-nat address-group 1

验证结果

外网客户端client ping 内网服务器Server

查看Server-map表

[USG6000V1]display firewall server-map
2024-07-01 13:43:25.560 
 Current Total Server-map : 2
 Type: Nat Server,  ANY -> 1.1.1.3[10.1.1.2],  Zone:---,  protocol:---
 Vpn: public -> public

 Type: Nat Server Reverse,  10.1.1.2[1.1.1.3] -> ANY,  Zone:---,  protocol:---
 Vpn: public -> public,  counter: 1

查看会话表

[USG6000V1]display firewall session table 
2024-07-01 13:59:20.170 
 Current Total Sessions : 1
 icmp  VPN: public --> public  1.1.1.2:256[10.1.1.100:2048] --> 1.1.1.3:2048[10.1.1.2:2048]

 双向NAT不是必须配置的功能,有时候只用源NAT或者目的NAT就可以达到同样的效果,但是灵活地应用双向NAT可以起到简化网络配置、方便网络管理的作用,也就达到了1+1大于2的效果。

YancyYue
关注
  • 14
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为防火墙USG6000通过WEB图形界面配置案例
2401_83412172的博客
03-29 198
由于文档内容过多,为了避免影响到大家的阅读体验,在此只以截图展示部分内容,详细完整版的JavaScript面试题文档,或更多前端资料可以点此处即可获取!!!。4195196197198199200201202203204205206207208自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数前端工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。
2024年Web前端最全华为防火墙USG6000通过WEB图形界面配置案例(1),真服了
2401_84412357的博客
05-05 437
题外话,毕竟我工作多年,深知技术改革和创新的方向,Flutter作为跨平台开发技术、Flutter以其美观、快速、高效、开放等优势迅速俘获人心level high.1.1.2dh group14aaar(g+IYOVqbtq@%@%level 15level 15level 15est description 链路故障检测salocationmode patmode patdescription 外网访问FTP的安全策略nat-policypcp-policyreturn。
2024年华为防火墙USG6000通过WEB图形界面配置案例(2),面试阿里的时候一定会问到的
最新发布
2401_84413092的博客
05-07 307
我可以将最近整理的前端面试题分享出来,其中包含HTML、CSS、JavaScript、服务端与网络、Vue、浏览器、数据结构与算法等等,还在持续整理更新中,希望大家都能找到心仪的工作。开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】salocationmode patmode patdescription 外网访问FTP的安全策略nat-policypcp-policyreturn12345678910111213141516。
华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置
热门推荐
lehe99的专栏
11-03 1万+
华为防火墙USG6000V示例配置,展示了访问防火墙、内网服务器、外网和外网访问内网服务器(NAT服务器)的配置
华为下一代USG防火墙-NAT技术之源NAT-想上网少不了它
m0_60797416的博客
02-14 2024
技术出现背景 NAT技术的出现主要是为了解决IPV4地址枯竭的问题,回想下上一篇,学过了几种主流接入Internet的方式,但是这几种方式都是配置防火墙上面,防火墙访问外网没问题,但是下面的终端设备呢?不管是DHCP还是PPPOE拨号都只有一个可以上网的地址分配下来,而固定专线可能有几个,对于一个局域网几十台、几百台终端设备的场景显然可上网地址就不够用了,就需要利用NAT技术了。NAT技术里面分为两大类,这一篇我们来讲解源NAT技术,也就是解决局域网下多个终端通过一个或者数个可上网地址来复用共享上网。
结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)
m0_65463546的博客
03-13 9021
这两天跟着老师学习了网络安全防御之防火墙配置,过程中不乏遇到了许多问题,例如访问https://ip:8443地址却没有提示继续进入的接口,或者是无法ping通防火墙测试端口等问题,希望接下来的分享能够帮助到大家! 为了节省大家的时间,我把实验和具体问题分开罗列,大家根据个人需求查看即可!(这里建议初学的伙伴们还是跟着实验走一遍比较好!)
华为 USG 6000v防火墙基础配置
m0_64188996的博客
07-23 4902
4、电脑访问https://192.168.152.100 输入修改后的密码登录web页面。2、进入usg6000v命令行,输入密码Admin@123,并修改密码自定义密码。1、配置cloud添加端口,绑定信息选择虚拟网卡。3、开启服务策略并配置电脑虚拟网卡网段IP地址。5、修改接口的安全区域并配置ip地址。pc2无法ping通pc1。pc1可以ping通pc2。8、R1上完善回程路由。
ensp防火墙USG6000v
02-04
eNSP里面的防火墙USG6000v可用版本,解决eNSP里防火墙USG6000v为beta版的问题 适合刚入手学习eNSP及其防火墙配置的实验 亲测可配置云、nat、IP v6过渡技术、VRRP、隧道等技术
华为防火墙 USG6000v 配置详细版.docx
03-19
针对华为ensp模拟软件,为学习者提供USG6000v防火墙详细配置教程以及调试方法供使用者学习,更好的进行模拟实验,帮助了解防火墙配置流程以及技术要领
华为eNSP防火墙USG6000v安装包
04-22
华为eNSP防火墙USG6000v安装包
华为---登录USG6000V防火墙---console、web、telnet、ssh方式登录
lehe99的专栏
12-22 1万+
USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0 //将GigabitEthernet 1/0/0端口添加到信任区域。[USG6000V1-aaa-manager-user-sshuser]service-type ssh web terminal //服务类型为ssh、web、terminal。[USG6000V1-GigabitEthernet0/0/0]service-manage ping permit //启用ping。
ensp防火墙usg6000配置
m0_56617933的博客
03-18 3062
防火墙简单配置学习
华为USG6000防火墙nat / nat server 配置(多出口情况)
weixin_45102241的博客
09-03 2444
FW1-policy-security-rule-lyshark] destination-zone untrust // 目标安全区域(外部)[FW1-policy-security-rule-lyshark] destination-address any // 目标地址区域。[FW1-policy-security-rule-lyshark] source-zone trust // 原安全区域(内部)[FW1] interface GigabitEthernet 1/0/2 // 选择外网接口。
防护墙概述以及USG6000基础应用实验配置
m0_59082856的博客
03-15 1026
防火墙是一种位于内部网络与外部网络之间的网络安全系统,可以将内部网络和外部网络隔离。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
USG6000V防火墙基础配置实验
qq_58187222的博客
03-17 1780
防火墙是一种计算机网络安全系统,可限制进出专用网络或专用网络内的互联网流量。此类软件防火墙或专用的软硬件防火墙的主要功能是选择性地阻止或允许数据包。防火墙通常用于帮助阻止恶意活动并防止专用网络内外的任何人进行未经授权的 Web 活动。防火墙可以被视为门控边界或网关,用于管理被允许和被禁止的 Web 活动在专用网络中的传播。该术语源于物理墙的概念,即在紧急救援人员将其扑灭之前用于减缓火势蔓延的屏障。而网络安全领域的防火墙用于 Web 流量管理,通常旨在减缓Web 威胁的传播。
华为USG6000V-(一)防火墙基础知识与华为USG6000V学习实验环境(个人记录)
qq_42190186的博客
10-06 1458
华为USG6000V华为USG6000系列的下一代防火墙的Virtual Box镜像,用于为ENSP创建USG6000的实验模拟环境,该防火墙基本能够模拟硬件防火墙的常用特性,是入门学习华为防火墙/防火墙的不错的工具。ENSP与配套Wincap、Wireshark、Virtualbox的安装与硬件配置要求简略。在ENSP中创建华为USG6000V,导入vFW镜像文件,创建防火墙防火墙提供CLI、Web页面的管理方式,学习通过CLI、Web页面或者Xshell等工具进行登陆学习、配置防火墙
USG6000v防火墙的基本使用:制定安全策略让不同安全区域的设备进行访问
qq_68163788的博客
07-23 2217
USG600v防火墙是一款由esnp公司开发的虚拟化防火墙设备,旨在提供高级的网络安全保护和流量管理功能。高性能:USG600v防火墙采用先进的硬件和软件设计,具备强大的处理能力和高吞吐量,能够处理大量的网络流量,确保网络的稳定和高效运行。 综合安全防护:USG600v防火墙提供多种安全功能,包括入侵检测和防御系统(IDS/IPS)、网页过滤、反病毒防护、应用程序控制等,可以全面保护网络免受各种威胁和攻击。 VPN支持:USG600v防火墙支持虚拟专用网(VPN)连接,可以通过加密通道连接远程办公室
华为usg6000配置手册_带你了解防火墙安全区域的作用及简单的配置,小白不要错过了...
weixin_39611413的博客
12-08 1万+
上一篇文章《防火墙入门基础之登录Web配置界面》已经简单的介绍了关于华为防火墙的如何配置Web登录,也开始接触了关于防火墙安全区域的基本概念。其实防火墙安全区域是一个非常重要的概念,简称为区域(Zone)。安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特征。防火墙默认情况下为我们提供了三个安全区域,分别是Trust、DMZ和Untrust。Trust区域,该区域内网络的受信任程度高,通...
如何在ensp中的防火墙USG6000V配置nat地址转换
04-06
以下是在ensp中的防火墙USG6000V配置NAT地址转换的步骤: 1. 在ensp中打开USG6000V防火墙,并进入配置模式。 2. 配置公网接口IP地址。 interface GigabitEthernet 0/0/0 ip address 202.108.22.1 255.255.255.0 3. 配置内网接口IP地址。 interface GigabitEthernet 0/0/1 ip address 192.168.1.1 255.255.255.0 4. 配置NAT地址转换规则。 nat address-group 1 202.108.22.2 202.108.22.4 nat policy 1 action source-nat rule any any source-group 1 5. 配置完成后,保存并退出。 6. 测试NAT地址转换是否正常工作。 以上是在ensp中的防火墙USG6000V配置NAT地址转换的步骤,可以根据实际情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值