NAT:网络地址转换。将内网的地址转换为公网IP,进而去访问外部互联网的技术。
NAT分类:
Basic NAT:IP地址转换
NPAT:IP+端口号转换
NAT主要实现方式:
静态NAT:静态一对一
1、配置防火墙的接口IP和安全区域
2、创建安全策略
3、创建NAT策略
4、静态路由
防火墙
控制流量的转发(路由器是通、转发)
1、使用防火墙的NAT
EasyIP:基于出接口的网络地址+端口转化NAPT
地址池NAT:基于地址池的NAPT
NAT server:端口映射/服务器映射,将内部服务器发布到外网。
2、使用防火墙搭建VPN-IPSec VPN
一、VPN
Virtual Private Network 虚拟专用网络
1、VPN特性
虚拟、专用
2、VPN类别
MPLS VPN:运营商专用网络
IPSec VPN:用于站点到站点
SSL VPN:用于员工远程访问
L2TP VPN:用于员工远程访问
3、VPN优点
(1)成本低
(2)配置灵活。(VPN为逻辑网络)不受企业内部和外部互联网架构的限制,可扩展性强。
(3)数据的传输安全。①数据防窃取。采用加密技术将数据进行加密,即使数据被拦截,很难得到原始数据。②确保数据不被篡改,采用哈希(单向的加密)技术。③秘钥认证技术进行身份认证。
(4)不受地域限制,支持移动业务
(5)隐私性强,隐藏IP地址
IPSec
互联网安全协议,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输的协议簇。
(1)认证头(AH)提供无连接数据完整性、消息认证以及防重放攻击保护,主要确保数据的完整性。
(2)封装安全载荷(ESP)提供机密性、数据源认证、无连接完整性等,主要确保数据的机密性。
(3)安全关联(SA)提供算法和数据包。主要提供AH、ESP操作所需的参数
(4)密钥协议(IKE)提供对称密码的钥匙的生存和交换(自动管理密钥)
配置场景:
1、配置防火墙的接口地址和安全区域
2、创建地址对象
3、创建安全策略
4、NAT策略(看需求)
5、制定路由
6、创建IPSec VPN
点到点:本段接口、对端接口、与共享密钥,两端要完全一样,
待加密数据流
点到多点:会等待对端的传输,它不主动
3、使用策略路由+IP-Link完成链路冗余备份
完成双机热备:一台工作,一台备份
负载分担/负载均衡:两台全部工作,并且作为对方的备份设备进行备份