第二天防火墙:ASPF 和 NAT实验

最新推荐文章于 2023-12-14 03:25:47 发布
最新推荐文章于 2023-12-14 03:25:47 发布
阅读量331 收藏
点赞数
分类专栏: 网络安全防御 文章标签: 服务器 网络 运维 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62870380/article/details/129673230
版权

一、实验要求

  1. 实现ASPF多通道协议

  1. 实现普通的NAT转换

3.实现NAT地址池转换

4.实现端口映射

5.实现利用NAT端口映射

6.双转

7.域内双转

二、实验设计图

三、ASPF实验

1.配置防火墙

2.配置IP地址

3.配置防火墙的各个端口IP地址

4.配置ASPF

5.配置防火墙策略

6.检查连通性

7.查看server-map表

8.查看ftp传输的流程

9.ASPF实验结束

四、普通的NAT转换实验

  1. 配置普通的NAT策略

  1. 配置安全策略,允许所有服务

3.检查连通性

4.抓包看是否源地址转换了

5.我们从抓包可以看到我们的源地址发生了转换

五、地址池的的NAT转换

1.新建源地址转换地址池

2.配置NAT策略

3.检查连通性

4.抓包

5.我们从上述的抓包可以看出,我们的源地址全都转换成了我们地址池中的地址

六、端口映射

1.对dmz区域的服务器选择服务

2.新建服务器映射

切记在配置安全区域的时候该区域为我们转换的地址池,也就是公网地址的区域。在公网地址我们不能选择端口,要选择该区域的一个地址。

3.创建防火墙的策略

4.检查连通性(利用我们转换的端口映射地址访问)

5.抓包

我们不难发现我们端口映射改变了我们的端口IP

6.查看我们的server-map表,查看我们转换的端口映射

7.结束端口映射实验

七、利用NAT实现端口映射

1.新建NAT策略

2.新建防火墙策略

3.检查连通性

4.在选择转换模式的时候我们需要按照实际场景进行选择

八、双转(外部访问,一般用在dmz只能允许同一网段访问)

1.配置NAT策略

2.配置安全策略

3.检查连通性

4.抓包

5.从抓包我们不难看出,该双转是将来自不安全区域的地址通过NAT转为该网段的地址,实现了该dmz区域的安全性

九、域内双转(一般用在我们的内网访问我们内网的服务器)

1.给server配置IP地址

2.给不安全区域做一个端口映射,让其可以访问我们的server3的服务器

3.给untrust到trust写一条安全策略

4.检查untrust是否可以访问server3

5.给内网写NAT双转策略

7.检查连通性

8.该双转一般用在我们内网的应用场景,外网需要访问内网的服务器,内网需要访问我们服务器

十、总结

  1. NAT主要是用来转换我们出口的IP地址,转换为固定的一个,让该区域的服务器可以访问同一网段的IP流量

  1. 端口映射主要就是为了固定某一个公网的IP映射到我们的服务器,使非本区域的IP访问,另外端口映射不可以利用接口的IP地址映射,一般用在公网IP地址比较富裕的情况下使用,而公网运营商只给一个IP地址我们就需要利用我们的NAT进行端口映射。

Computer Virus
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙的安全区域及安全策略、NAT 配置
Qconfig100的博客
10-18 2432
公司总部的网络分成了三个区域,包括内部区域(Trust)、外部区域(Untrust)和服务器区域(DMZ)。你设计通过防火墙来实现对数据的控制,确保公司内部网络安全,并通过DMZ区域对外网提供服务。并且需要将DMZ区域中的一台服务器(IP地址为10.0.3.3)提供的Telnet服务和FTP服务发布出去,对外公开的地址为10.0.10.254/24。
华为防火墙ASPF详解及配置实例
永远是少年
07-26 7081
今天继续给大家介绍防火墙。本文主要介绍防火墙ASPF原理,并使用华为eNSP模拟器,实际搭建了应用场景展示ASPF的x相关配置。 一、ASPF详解 ASPF,即Application Specific Packet Filter,应用层的包过滤,及给予状态的报文过滤。ASPF能够检测试图通过设备的应用层号会话信息,通过维护会话的状态和检查会话报文的协议和端口号等信息,使得某些特殊应用的报文能够正常转发。 ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议在通信过程中自动协商一些随机端口,在严
防火墙实验(实现trust、untrust、DMZ区域互通)
weixin_64311421的博客
03-17 4803
通了之后在浏览器上输入192.168.81.2,输入用户密码。先给交换机LSW1接口配置划分VLAN2和VLAN3。分别在server1 和server3上测试是否成功。用LSW1上ping 防火墙10.1.255.2。在PC1上ping 10.1.255.2。在交换机上配置vlan10 vlan11。修改g1/0/2和g1/0/3连接类型。在FW1上配置一个静态路由。到这里区域内部都互通了。在LSW1上写个缺省路由。再在物理主机上ping。在server2上配置。先配置GE0/0/0。
安全防御 --- 防火墙-- ASPF、NAT
weixin_62443409的博客
03-29 1255
主机之间传输文件是IP网络的一个重要功能,如今人们可以方便地使用网页、邮箱进行文件传输。然而在互联网早期,Web(World Wide Web,万维网)还未出现,操作系统使用命令行的时代,用户使用命令行工具进行文件传输。其中最通用的方式就是使用FTP(File Transfer Protocol,文件传输协议)以及TFTP(Trivial File Transfer Protocol,简单文件传输协议)。
防火墙实验
lml_0916的博客
09-11 1834
我在这里遇到一个问题就是client2和server1是连接没有问题的、配置也没有问题,但是它一直获取失败,但是当我调整了一下server访问的路径,就连接成功,所以这可能是因为权限不够造成的。这里所显示的优先级也可以理解为是他的安全信任度,优先级越高他越信任。同时也有一个说法就是,从高到低的流量就是outbound;然后就用上面方式将接口1/0/1划分到trust区域;这里可能会有疑问就是明明我发的是5个,并且都ping通了;新建策略的方法和刚刚的相同,只不过要多选一个服务。这样的话安全策略就新建成功。
2023-03-24 网工进阶(四十)华为防火墙技术---概述、基本概念(安全区域、安全策略、会话表)、ASPF、虚拟系统
x629242的博客
04-02 6570
在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。防火墙的转发流程比路由器复杂。以框式设备为例,硬件上除了接口、LPU(Line Processing Unit)、交换网板等外,防火墙还特有,用于实现防火墙的安全功能。
2.防火墙ASPF功能.pdf
09-02
2. 动态创建和删除过滤规则:ASPF可以动态创建和删除过滤规则,根据应用层协议的状态来决定数据包是否被允许通过防火墙或丢弃。 3. 丰富的ASPF功能:ASPF功能可以 guarantee business security,确保业务安全。 4. ...
防火墙ASPF工作机制与原理.docx
05-14
H3C防火墙ASPF工作机制与原理
SecPath防火墙aspf典型配置.docx
12-05
SecPath防火墙aspf典型配置.docx
SecPath防火墙通过ASPF实现单向访问的典型组网
09-05
SecPath防火墙通过ASPF实现单向访问的典型组网
华为防火墙配置培训
03-11
华为防火墙配置培训防火墙的域和模式 攻击防范、包过滤、ASPF、NAT、黑名单的使用方法
DMZ-非军事区
顺其自然~专栏
09-27 4418
两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低。DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后不能访的问题,而设立的一个非安全系统与安全系统之间的。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络
ASPF,源NAT、server nat、域内双向NAT、域间双向NAT,以及双机热备实验,IPS配置实验
zkzzxh的博客
04-17 318
配置好各个设备的IP地址然后进入防火墙配置端口和书写安全策略。安全策略进入ASPF中,把FTP关闭,此时,1里面的客户端信息是没有的。然后打开FTP,进入到AR1中查看,会发现可以进去了再进入防火墙,查看配置
防火墙ASPF技术、NAT、接口模式、双机热备
weixin_57507186的博客
04-14 674
(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能 可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。通 过旁观设备的端口镜像技术收集流量给给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任务,功能是最少的。
防火墙ASPF技术及NAT
weixin_57949883的博客
03-20 301
利用ASPF技术抓取多通道协议的控制报文,并找到传输进程所需的详细网络参数,再根据ASPF分析控制进程的特殊报文,找到传输进程的报文参数,动态生成server-map表,放行传输进程报文。传输进程匹配server-map表后生成会话表,传输进程的后续报文匹配会话表进行传输。
安全防御第二天防火墙
weixin_62870380的博客
03-21 731
ASPF、NAT、端口映射原理,以及双机热备的使用场景,原理
ASPF的配置与详解
qq_45309500的博客
02-13 3451
ASPF的配置与详解 ASPF是针对于多通道协议的解决方案,具有典型特征的就是ftp协议,因为ftp需要建立两次连接,控制连接与数据连接,且在数据连接建立是时,因为端口是随机的,无法针对其做安全策略,全部开放又存在安全隐患,所以这个时候就需要ASPF出面解决 在ftp进行第一次连接时会触发流量,同时也就触发了server-map表,当后续的第二次连接会匹配server-map表里的信息,而不用通...
数通面试 : FTP/主动被动模式/ASPF (全网最细)
最新发布
weixin_61113386的博客
12-14 1135
今天是数通面试的第六篇 , 让我们来详细学习一下FTP文件传输协议 , 后面我会结合防火墙相关场景 , 特别是ASPF协议的具体细节 ,, 目前我在网上看到对ftp的客户端口的, 如果是一个随机的端口 那么如何通过防火墙呢??, 并且会呢 ,几乎全网没有文章能说清这个内容 , 今天让我们来慢慢分析一下这里面的细节。
局域网配置,03-防火墙配置
09-13
03-防火墙配置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值