1.防火强支持哪些NAT技术,主要应场景?
防火墙NAT技术简介:
NAT是一种地址转换技术,可以将IPv4报文头种的地址转换为另一个地址。通常情况下,利用NAT技术将IPV4报文头中的私网地址转换为公网地址,可以实现位于私网的多个用户使用少量的公司地址同时访问Internet。用于解决公网地址短缺的问题。
NAT类型:
1.源NAT:源NAT在NAT转换时,仅对报文中的源地址进行转换,主要应用于私网用户访问公网的场景。
有:NO-PAT,NAPT,Easy_ip,smart_nat,三元组NAT。
2.目的NAT :目的NAT在NAT转换时,仅对报文中的目的地址和目的端口号进行转换,**主要应用于公网用户访问私网服务的场景。有:NAT-Server,SLB
3.双向NAT:指转换过程中同时转换报文的源信息和目的信息,双向NAT主要应用在同时有外网用户访问内部服务器和私网用户访问内部服务器的场景
域间双向NAT 好处:转完之后,当回包的时候不需要外网路由,只需要内网路由就可以
用于解决内网服务器没有外网路由的问题
注意点:
NAT策略:把握住转换前数据包源目地址是什么以及转换后源目地址是什么 安全策略:把握住在没有做NAT数据应该放行的参数,就是做完NAT后应该放行的参数。
域内双向NAT:
主要用于当内网PC以公网形式访问内网服务器时。
私网用户与内部服务器在同一安全区域同一网段时,私网用户希望像外网用户一样,通过公网地址来访问内部服务器的场景。
目的:由于私网用户与死亡服务器被划分到同一个网络中,为了提高内部网络的安全性使私网服务器的回应报文也经过防火墙,就需要配置域内NAT。
4.防火墙支持哪些接口模式,一般使用在那些场景?
部署透明模式(L2):适用于用户不希望改变现有网络规划和配置的场景 部署路由模式(L3):适用于需要防火墙提供路由和NAT功能的场景 部署混合模式(L1):适用于防火墙在网络中即有二层接口,又有三层接口的场景 部署旁路模式(Tap):适用于用户希望试用防火墙的监控、统计、入侵防御等功能,暂时不将防火墙直连在网络里 5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因? 流量包往返信息不一致导致,应该查看防火墙流量信息,解决方法:使往返流量包信息一致。
实验:
域间双向NAT:
做NAT策略:
新建源转换池:
新建安全策略:
启动服务器的HTTP服务,在客户端做测试 :
域内双向NAT实验
1、将内网的路由器换成服务器,服务器IP为:172.16.2.3/24
2、新建NAT策略:
转换后的源地址:100.1.1.200
转换后的目的地址:172.16.2.3
3、新建安全策略
双机热备实验
1、修改拓扑结构,加入第二台防火墙
2、给第二台防火墙配置IP
3、先配置防火墙1的链路聚合
4、进入第二台防火墙,配置接口IP
5、在第二台防火墙上添加安全策略