目的NAT(基于USG6000V)

于 2024-07-09 19:29:03 发布
阅读量907 收藏 26
点赞数 29
分类专栏: 网络安全 文章标签: 网络 运维 计算机网络 信息与通信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46008548/article/details/140216815
版权

目录

基于策略的静态目的NAT

实验配置

抓包验证

基于策略的动态目的NAT

实验配置

抓包验证

NAT-Server

目的NAT的场景是公网用户访问私网服务器地址,私网地址不能被直接访问,所以服务器的地址需要使用公网地址供公网用户访问,防火墙接收到公网用户访问服务器的流量,进行目的地址的转换,转换为私网地址。

华为防火墙的目的NAT配置方法,可以通过配置NAT策略来完成,也可以通过配置NAT-Server命令来完成。

基于策略的目的NAT不会生成Server-map表;NAT-Server配置会生成Server-map表

基于策略的静态目的NAT

基于策略的目的NAT指的是报文命中NAT策略后,转换报文的目的IP地址,且转换前后的地址存在一定的映射关系。以一个实验为例。

  1.  公网用户访问1.1.1.10或者1.1.1.11的地址,防火墙收到报文匹配NAT策略
  2. 匹配到NAT策略后,防火墙从目的NAT地址池中选择一个私网IP地址,替换报文的目的地址,同时根据配置是否选择替换端口
  3. 报文通过安全策略后,会在防火墙上建立会话表,将报文转发到服务器
  4. 服务器回包,防火墙收到服务器的响应报文后,匹配会话表,转换报文的源地址为对外提供服务器的公网地址,然后转发回给公网用户
  5. 用户如果继续发送报文,后续就会根据会话表进行转换。

实验配置

两台服务器 10.2.1.2和10.2.1.3连接交换机,交换机不需要任何配置,充当一个HUB就可以,服务器网关配置为10.2.1.1在防火墙上

防火墙配置

配置IP地址

[USG6000V1]inter g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 10.2.1.1 24

[USG6000V1-GigabitEthernet1/0/1]q
[USG6000V1]inter g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 1.1.1.1 24 

接口加入安全区域,连接服务器的接口是DMZ区,连接公网用户的是Untrust区

[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add inter g1/0/1
[USG6000V1-zone-dmz]q
[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add inter g1/0/0 

配置安全策略,允许公网访问私网服务器

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name policy1
[USG6000V1-policy-security-rule-policy1]source-zone untrust 
[USG6000V1-policy-security-rule-policy1]destination-zone dmz
[USG6000V1-policy-security-rule-policy1]destination-address 10.2.1.2 32

[USG6000V1-policy-security-rule-policy1]destination-address 10.2.1.3 32 

[USG6000V1-policy-security-rule-policy1]action permit 

配置NAT地址池 

[USG6000V1]destination-nat address-group group1

# 地址池中有两个地址10.2.1.2 10.2.1.3
[USG6000V1-dnat-address-group-group1]section 10.2.1.2 10.2.1.3
[USG6000V1-dnat-address-group-group1]q 

配置NAT策略 

NAT策略可以指定多个destination-address ,但是要与NAT地址池中的地址按顺序一一映射,也就是1.1.1.10对应10.2.1.2; 1.1.1.11对应10.2.1.3,策略中的地址数和地址池中的地址数必要一直,不然会报错。

[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name policy1
[USG6000V1-policy-nat-rule-policy1]source-zone untrust 

[USG6000V1-policy-nat-rule-policy1]destination-address range 1.1.1.10 1.1.1.11 

[USG6000V1-policy-nat-rule-policy1]action destination-nat static address-to-address address-group group1 

 address-to-address 表示配置的是公网地址和私网地址一对一的映射,即一个公网地址映射为一个私网地址,有多少私网地址就需要有多少公网地址。除此外还有

port-to-port:公网地址的端口和私网地址的端口一对一映射,适用于通过一个公网地址的多个端口访问一个私网地址的多个端口的场景

address-to-port:表示多个公网地址与私网地址的多个端口一对一映射,适用于通过多个公网地址访问一个私网地址的多个端口的场景。

port-to-address:公网地址的多个端口与多个私网地址一对一映射,这适用于通过一个公网地址的多个端口访问多个私网地址的场景。

配置黑洞路由,地址池地址和出接口其实一个网段,不配置黑洞路由也可以,但是一般还是配置上比较好。

[USG6000V1]ip route-static 1.1.1.10 32 NULL 0
[USG6000V1]ip route-static 1.1.1.11 32 NULL 0 

查看会话表,目的地址发生了转换,原本的1.1.1.10转换为了10.2.1.2,1.1.1.11转换为了10.2.1.3。

[USG6000V1]dis firewall session table 
2024-07-09 07:33:46.590 
 Current Total Sessions : 2
 icmp  VPN: public --> public  1.1.1.2:256 --> 1.1.1.10:2048[10.2.1.2:2048]
 icmp  VPN: public --> public  1.1.1.2:256 --> 1.1.1.11:2048[10.2.1.3:2048]

抓包验证

防火墙公网接口抓包:源目都是公网地址

防火墙私网接口抓包:请求包目的IP转换为私网地址,回包源IP是私网地址

基于策略的动态目的NAT

动态目的NAT是一种动态转换报文目的IP地址的方式,转换前后的地址不存在一种固定的映射关系,在配置上也是通过地址池的方式,但是随机转换为目的转换地址池中的地址,不再是一一映射的关系。

实验配置

在刚才实验的基础上修改目的NAT的方式,并修改对外的地址为2.2.2.10和2.2.2.11

[USG6000V1]nat-policy
[USG6000V1-policy-nat] rule name policy1
[USG6000V1-policy-nat-rule-policy1]  source-zone untrust
[USG6000V1-policy-nat-rule-policy1]destination-address range 2.2.2.10 2.2.2.11 
[USG6000V1-policy-nat-rule-policy1]action destination-nat address-group group1

实验演示因为之前配置黑洞路由的原因,ping是不会通的,因为有黑洞路由,所以需要服务器启动服务,客户端访问服务器的相关服务进行演示,以Server1为例,启动HTTP服务;Server2也要启动HTTP服务 

 

客户端使用HttpClient去访问服务器的公网地址

查看会话表,动态随机选择了私网地址10.2.1.3或者10.2.1.2,http://2.2.2.10两次,结果两次会话表是不一样的,一次转换为了10.2.1.3,一次转为了10.2.1.2;http://2.2.2.10两次,会话表的结果也不一样。

[USG6000V1]display firewall session table 
2024-07-09 09:14:22.220 
 Current Total Sessions : 2
 http  VPN: public --> public  1.1.1.2:2055 --> 2.2.2.10:80[10.2.1.2:80]
 http  VPN: public --> public  1.1.1.2:2054 --> 2.2.2.10:80[10.2.1.3:80]

[USG6000V1]display firewall session table 
2024-07-09 09:10:50.930 
 Current Total Sessions : 1
 http  VPN: public --> public  1.1.1.2:2052 --> 2.2.2.11:80[10.2.1.3:80]
 http  VPN: public --> public  1.1.1.2:2053 --> 2.2.2.11:80[10.2.1.2:80]

抓包验证

防火墙公网接口抓包:源目都是公网地址

防火墙私网接口抓包:请求包目的IP转换为私网地址,回包源IP是私网地址

 1.1.1.2访问2.2.2.10 转变为 1.1.1.2访问10.2.1.2

 再使用http访问2.2.2.10一次

防火墙公网接口抓包:

防火墙私网接口抓包: 

  1.1.1.2访问2.2.2.10 转变为 1.1.1.2访问10.2.1.3

NAT-Server

NAT-Server是一种更为简洁的目的NAT配置方式,主要是针对服务器的地址转换使用,叫做服务器映射,NAT-Server的介绍,我写在了另一边文章中单独介绍,但是要理解的是NAT-Server是目的NAT的一种方式,目的NAT不是只有NAT-Server这种配置方式。

NAT-Server(基于USG6000V)_usg做了nat server后策略怎么写-CSDN博客

 

YancyYue
关注
  • 29
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙目的NAT配置实战
悦分享
10-05 459
NAT流量先从内到外(公司内办公主机上网),内到外转换源地址和端口。目的NAT流量先从外到外内 (公司内服务器对外提供访问),外到内转换目的地址和端口。目的NAT是指对报文中的目的地址和端口进行转换,通过目的NAT技术将公网IP地址转换成私网IP地址,使公网用户可以利用公网地址访问内部Server。当外网用户访问内网Server的报文到达FW时,FW将报文的目的IP地址由公网地址转换为私网地址。当回程报文返回至FW时,FW再将报文的源地址由私网地址转换为公网地址。
NAT server目的nat技术及配置4.4
kanxingxingdemao的博客
02-02 1210
NAT配置
煮酒闲谈
06-08 3023
NAT配置一、实验目的通过本实验,可以掌握以下技能:配置接口IP地址。 配置NAT。 验证NAT配置。 二、设备需求Cisco路由器2台, 其中一台为ISP路由器。 三、拓扑结构及接口IP配置 公司使用一台两接口路由器,一个是Ethernet,另一个是串行接口。Ethernet连接到内部网络,而串行接口则通过PPP链路连接到ISP路由器。在内部网络中,公司使用10.0.0.0/24地址范围内的地
NAT配置之目的NAT详解
Mario_Ti的博客
12-25 1840
本文将收录NAT合集专栏,此文主要是讲解NAT技术之目的NAT的原理以及种类及配置。
华为防火墙配置目的nat
Ddfgxfgg的博客
10-17 2111
华为防火墙内网映射
USG6000V.zip
05-15
在ENSP模拟器上使用的USG6000V镜像,在启动时导入即可使用。在ENSP模拟器上使用的USG6000V镜像,在启动时导入即可使用。
华为USG6000V镜像包.rar
12-02
华为ensp防火墙USG6000V镜像包
华为eNSP 设备文件 USG6000V系列
01-08
描述:eNSP使用的设备文件USG6000V 设备文件适用版本:V100R003C00SPC100 华为eNSP论坛传送门:https://forum.huawei.com/enterprise/zh/forum-753.html (〃 ̄︶ ̄)人( ̄ω ̄o)摸鱼学习恰饭睡觉,真理无穷。
USG6000V.rar
06-03
华为模拟器eNSP USG6000V设备包USG6000V.zip 华为模拟器使用USG6000V需要加载设备包
USG6000V-enspv1.3 +virtualBox + USG6000V设备包
01-23
USG6000V-enspv1.3 +virtualBox + USG6000V设备包,华为USG6000V,基于NFV架构的虚拟综合业务网关,虚拟资源利用率高,资源虚拟化技术支持大量多租户共同使用,产品具备丰富的网关业务能力,可以导入到ensp中
HUAWEI USG6000V, USG9000V V500R005C10 产品文档
04-21
1. **深度包检测(DPI)**:USG6000V和USG9000V支持基于DPI的流量分析,能够识别并控制网络中的应用流量,有效防止恶意软件传播和数据泄露。 2. **应用识别与控制**:通过智能应用识别技术,设备可以识别并分类数千...
华为防火墙 USG6000v 配置详细版.docx
03-19
针对华为ensp模拟软件,为学习者提供USG6000v防火墙详细配置教程以及调试方法供使用者学习,更好的进行模拟实验,帮助了解防火墙的配置流程以及技术要领
ENSP-USG6000V.zip
05-03
华为USG6000V,基于NFV架构的虚拟综合业务网关,虚拟资源利用率高,资源虚拟化技术支持大量多租户共同使用,产品具备丰富的网关业务能力,可以导入到ensp中
ENSP软件USG6000v1版本软件包
12-28
USG6000v1版本,943M放心下载
华为eNSP防火墙USG6000v安装包
最新发布
04-22
华为eNSP防火墙USG6000v安装包
NAT的配置详解
热门推荐
RongChun的博客
06-03 2万+
NAT:Network address Translation是网络地址转换 它实现内网的IP地址与公网的地址之间的相互转换,将大量的内网IP地址转换为一个或少量的公网IP地址,减少对 公网IP地址的占用 概念: 1) 私有网络—>公有网络转换 2) NAT术语 Inside Local:内部本地地址,公司内部私有网络 Inside Global:内部全局地址,公司访问外网使用的公网IP地...
目的NAT(公网地址与私网地址一对一进行映射)
hey1616的博客
11-16 1428
静态目的NAT原理、静态目的NAT实验
华为eNSP防火墙NAT配置
YT的博客
01-12 2万+
NAT技术的基本原理 NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过少量的公网IP地址来访问公网。 NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程。从实现上来说,一班的NAT转换设备(实现NAT功能的网络设备)都维护者一张地址转换表,所有经过NAT转换设备并且需要进行地址转换的报文,都会通过这个表做相应的修改。地址转换的机制分为如下两个部分...
NAT工作原理与配置
q1y2y3的博客
03-22 1589
NAT(Network Address Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访。公网地址是指在互联网上全球唯一的ip地址,私有地址是指内部网络的IP地址和主机的IP地址,一般在一个单位或公司内部使用。这样做是为了减少IP不足的问题,而这个私网地址转到公网的过程就需要使用NATNAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机相连。NAT外部的主机无法跟位于NAT内部的主机通信NAT内部主机想要通信,必须主动和公网的一个IP通信,路
ESXI 安装USG6000V
04-14
ESXi是一种虚拟化平台,而USG6000V是华为提供的一款虚拟化防火墙产品。在ESXi上安装USG6000V可以实现虚拟化环境下的网络安全保护。 要在ESXi上安装USG6000V,可以按照以下步骤进行操作: 1. 首先,确保你已经安装了ESXi虚拟化平台,并且已经具备了相应的硬件和软件要求。 2. 下载USG6000V的安装镜像文件,可以从华为官方网站或者其他可信渠道获取。 3. 在ESXi上创建一个新的虚拟机,设置虚拟机的名称、操作系统类型和版本等信息。 4. 为虚拟机分配足够的计算资源和存储空间,确保能够满足USG6000V的运行需求。 5. 将下载好的USG6000V安装镜像文件上传到ESXi主机上,并将其关联到新创建的虚拟机上。 6. 启动虚拟机,并按照USG6000V的安装向导进行操作。根据提示,设置网络参数、管理员密码等信息。 7. 完成安装后,你可以通过访问USG6000V的管理界面来配置和管理防火墙规则、网络策略等功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值