防火墙————目的NAT

已于 2023-11-16 18:55:40 修改
阅读量951 收藏 2
点赞数 1
文章标签: 服务器 网络 linux
于 2023-11-16 18:46:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiazhui1/article/details/134444464
版权

一、简介

目的NAT是指对报文中的目的地址和端口进行转换。通过目的NAT技术将公网IP地址转换成私网IP地址,使公网用户可以利用私网地址访问内部Server。

根据转换后的目的地址是否固定,目的NAT分为静态目的NAT和动态目的NAT。

二、目的NAT的两种方式

1.静态目的NAT
  • 静态目的NAT是一种转换报文目的IP地址的方式,且转换前后的地址存在一种固定的映射关系。
  • 通常情况下,出于安全的考虑,不允许外部网络主动访问内部网络。但是在某些情况下,还是希望能够为外部网络访问内部网络提供一种途径。例如,公司需要将内部网络中的资源提供给外部网络中的客户和出差员工访问。
1.动态目的NAT
  • 动态目的NAT是一种动态转换报文目的IP地址的方式,转换前后的地址不存在一种固定的映射关系。
  • 通常情况下,静态目的NAT可以满足大部分目的地址转换的场景。但是在某些情况下,希望转换后的地址不固定。例如,移动终端通过转换目的地址访问无线网络。

三、实例

实验一:

公网用户通过目的NAT访问内部服务器(公网地址与私网地址一对一进行映射)

1.1配置接口IP地址和安全区域

[FW1]display ip interface brief
Interface                         IP Address/Mask      Physical   Protocol
GigabitEthernet1/0/1              10.0.1.254/24        up         up
GigabitEthernet1/0/2              10.1.1.1/24          up         up

[R1]display ip interface brief
Interface                         IP Address/Mask      Physical   Protocol
GigabitEthernet0/0/0              10.1.1.254/24        up         up
GigabitEthernet0/0/1              172.16.1.254/24      up         up

配置区域
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet 1/0/2
[FW1-zone-untrust]quit
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 1/0/1
[FW1-zone-dmz]quit
1.2配置安全策略,允许外部网络用户访问内部服务器
[FW1]security-policy
[FW1-policy-security]rule name bdqn
[FW1-policy-security-rule-bdqn]source-zone untrust
[FW1-policy-security-rule-bdqn]destination-zone dmz
[FW1-policy-security-rule-bdqn]destination-address 10.0.1.0 24
[FW1-policy-security-rule-bdqn]action permit 
[FW1-policy-security-rule-bdqn]quit
1.3配置目的NAT地址池
[FW1]destination-nat address-group nat1
[FW1-dnat-address-group-nat1]section 10.0.1.1 10.0.1.2
[FW1-dnat-address-group-nat1]quit
1.4配置NAT策略
[FW1]nat-policy
[FW1-policy-nat]rule name dzc
[FW1-policy-nat-rule-dzc]source-zone untrust
[FW1-policy-nat-rule-dzc]destination-address range 1.10.1.10 1.10.1.11
[FW1-policy-nat-rule-dzc]service http
[FW1-policy-nat-rule-dzc]service ftp
[FW1-policy-nat-rule-dzc]action destination-nat static address-to-address addres
s-group nat1
[FW1-policy-nat-rule-dzc]quit
1.5配置目的地址的黑洞路由,以防路由环路,再配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器
[FW1]ip route-static 1.10.1.10 32 NULL 0
[FW1]ip route-static 1.10.1.11 24 NULL 0
[FW1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.254

R1

[R1]ip route-static 1.10.1.10 32 10.1.1.1
[R1]ip route-static 1.10.1.11 32 10.1.1.1

1.6测试

通过使用静态的目的NAT,我们可以从外部通过公网的地址转换访问到企业内部发布到公网的服务网站

实验二:

这边我在上面这个拓扑的基础上加了一台服务器

公网用户通过目的NAT访问内部服务器(公网端口与私网端口一对一进行映射)

Server3,IP地址

2.1配置不用改,创建一个新的地址池:
[FW1]destination-nat address-group bdqn1
[FW1-dnat-address-group-bdqn1]section 10.0.1.10 10.0.1.10
2.2配置NAT策略(新写一条策略)
[FW1]nat-policy
[FW1-policy-nat]rule name dzc1
[FW1-policy-nat-rule-dzc1]source-zone untrust
[FW1-policy-nat-rule-dzc1]destination-address 1.10.1.12 32
[FW1-policy-nat-rule-dzc1]service protocol tcp destination-port 2000 to 2001
[FW1-policy-nat-rule-dzc1]action destination-nat static port-to-port address-gro
up bdqn1 80 to 81
2.3R1还要配置一条静态路由
[R1]ip route-static 1.10.1.12 32 10.1.1.1
2.4测试,server3配置ftp和http端口号

IT-灰灰
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
防火墙——目的NAT
qq_59359593的博客
09-25 336
指报文命中NAT策略后,转换报文的目的IP地址,且转换前后的地址存在一定的映射关系。通常情况下,出于安全考虑,我们不允许外部网络主动访问内部网络。当公网用户访问服务器时,防火墙处理流程如下。①防火墙收到用户访问服务器198.51.100.2的第一个报文后,匹配NAT策略。②匹配到NAT策略后,防火墙目的NAT地址池中选择一个私网IP地址,替换报文的目的地址,同时可以选择使用新的端口替换目的端口或者端口保持不变。③报文通过安全策略后,会在防火墙上建立会话表,然后将报文发送至内网服务器
华为防火墙配置目的nat
Ddfgxfgg的博客
10-17 2082
华为防火墙内网映射
目的NAT(公网端口与私网端口进行映射)
hey1616的博客
11-16 170
动态目的NAT、公网端口与私网端口一对一进行映射
目的NAT: 公网用户通过目的NAT访问内部服务器(公网地址与私网地址一对一进行映射)
GUOJUNWEI11的博客
11-16 254
通过目的NAT技术将公网IP地址转换成私网IP地址,使公网用户可以利用私网地址访问内部Server。根据转换后的目的地址是否固定,目的NAT分为静态目的NAT和动态目的NAT目的NAT是指对报文中的目的地址和端口进行转换。Client1 FTP 连接成功信息。WEB 的连接成功信息。
目的NAT(公网地址与私网地址一对一进行映射)
hey1616的博客
11-16 1349
静态目的NAT原理、静态目的NAT实验
网络安全课程设计之D防火墙——Iptables.docx
09-17
任务: (1)查看 Filter、NAT 和 Mangle 表的现有规则。 (2)清除现有规则。 (3)设计并添加规则,阻止另一主机对 iptables 所在主机的访问(ping),但允许 iptables 所 在主机对其它主机的访问(ping)。 (4)...
Hillstone防火墙技术——StoneOS安全架构简介
03-04
在哪里部署能够控制所有二层和三层的所有类型流量的安全功能呢?Hillstone的StoneOS提供了一...StoneOS通过将网络功能从安全功能中分离出来,扩展了NAT/路由模式。这样,用户就可以在一个完全灵活的环境下使用NAT功能。
linux实验——企业防火墙的架设与维护.doc
01-09
● 能熟练完成利用Iptables架设企业NAT服务器。 ● 能熟练完成企业Squid代理服务器的架设与维护。
华为防火墙技术漫谈.z01
09-11
主要包括安全策略、攻击防范、NAT、双机热备、选路,并结合网上案例给出以上技术的综合应用配置举例,以防火墙网上实际需求为导向,采用发现问题——解决问题——再发现问题——再解决问题的思路组织内容,...
毕业论文—— 校园网规划与建设
07-03
本文在局域网技术和先进发展基础上,分析了建立校园网的意义,建设原则和目的,并详细阐述了其设计方案过程。文章从系统结构、网络方案、管理、布局等方面讨论了校园网络的设计方案。在网络设计中,详细介绍了网络...
NAT配置之目的NAT详解
Mario_Ti的博客
12-25 1622
本文将收录NAT合集专栏,此文主要是讲解NAT技术之目的NAT的原理以及种类及配置。
NAT目的NAT
热门推荐
netabecedarian的博客
10-16 1万+
NAT 目的NAT区别 在FW中,匹配策略的顺序导致存在源NAT目的NAT。 源NAT就是平常的PAT,NAT,数据包到了FW,先匹配策略,看是否同行,策略过了后,才会进行NAT转换。 目的NAT一般用于将内网服务器端口映射到公网端口,但是该顺序是在匹配同行策略之前,所以它会先将内网地址转换后,在匹配策略,最后通向外网。 如图所示 FW的策略为 源NAT策略大致为 源192.168.1....
防火墙NAT配置
悦分享
11-15 2492
1. NAT简介网络地址转换(Network Address Translation)简称为NAT,是是将IP数据包包头中的IP地址转换为另一个IP地址。当IP数据包通过设备时,设备会把IP数据包的源IP地址和/或者目的IP地址进行转换。在实际应用中,NAT主要用于私有网络访问外部网络或外部网络访问私有网络的情况。NAT技术就是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术。要设置一个服务器防火墙,就要使用规则,每个规则指定在包中与什么匹配,以及对包执行什么操作。
目的NAT: 公网用户通过目的NAT访问内部服务器(公网端口与私网端口一对一进行映射)
GUOJUNWEI11的博客
11-16 393
目的NAT是指对报文中的目的地址和端口进行转换。通过目的NAT技术将公网IP地址转换成私网IP地址,使公网用户可以利用私网地址访问内部Server。转换过程如所示。根据转换后的目的地址是否固定,目的NAT分为静态目的NAT和动态目的NAT
防火墙NAT
最新发布
2302_77035737的博客
01-27 715
-- 基于源IP地址进行转换。我们之前接过的静态NAT,动态NAT,NAPT都属于源NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网。--- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为了保证公网用户可以访问内部的服务器。--- 同时转换源IP和目标IP地址。
NAT server目的nat技术及配置4.4
kanxingxingdemao的博客
02-02 1208
华为防火墙目的NAT
08-16 2445
目的NAT学习qq3421609946 1.概述 目的NAT就是防火墙中数据包在转换时,转换的是目的IP地址,不是源IP地址。在移动终端访问无线网络时,如果缺省WAP网关地址于所在地运营商的WAP网关地址不一致时,可以在终端于WAP网关中间部署一台设备,并配属署目的NAT功能,使设备自动将转发给错误WAP网关地址的报文自动转发给正确的WAP网关。 2.网络拓扑图 2.首先进行网络基础配置 AR1...
HCIE-Security Day7:6个实验理解目的NAT
小梁的博客
02-10 2016
目的NAT技术 对报文中的目的地址和端口进行转换。根据转换后的目的地址是否固定,分为静态目的nat和动态目的nat。 静态目的nat 实验一:公网用户通过目的NAT访问内部服务器(公网地址与私网地址一对一进行映射) 需求和拓扑 某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了IP地址(1.1.10.10,1.1.10.11)作为内网服务器对外提供服务的地址。网络...
H3C防火墙——解决回环流量问题
05-24
回环流量问题是指当网络中的数据包从一个设备发送到另一个设备时,可能会出现数据包在本地回环过程中被防火墙过滤的现象。这种情况下,数据包无法到达目标设备,网络通信会受到影响。 H3C防火墙可以通过以下方法解决回环流量问题: 1. 在防火墙上配置回环接口的ACL规则,允许回环流量通过。 2. 在防火墙上配置NAT转换规则,将回环流量转换为外部地址,避免被防火墙过滤。 3. 在网络拓扑中加入一台路由器,将回环流量路由到目标设备。 需要注意的是,在进行以上操作时,需要根据实际网络拓扑和业务需求进行合理配置,以保证网络安全和正常通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值