ASPF,源NAT、server nat、域内双向NAT、域间双向NAT,以及双机热备实验,IPS配置实验

最新推荐文章于 2023-06-24 15:39:12 发布
最新推荐文章于 2023-06-24 15:39:12 发布
阅读量333 收藏
点赞数
文章标签: 服务器 linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkzzxh/article/details/130205144
版权
文章详细描述了如何配置ASPF以关闭FTP,然后通过NAT策略实现IP地址转换,并通过安全策略放开服务。通过抓包验证了NAT转换的效果,包括源地址池的建立和服务器映射的使用。最后,文章介绍了如何使用NAT策略替换服务器映射来允许untrust域访问DMZ中的服务器。
摘要由CSDN通过智能技术生成

1.ASPF

配置好各个设备的IP地址

PC1 

Client 1

 AR1 int  g 0/0/0   

ip add 10.1.1.4 24

Server1

 

 Client 2

Server2

 然后进入防火墙,配置端口和书写安全策略。

安全策略

 

进入ASPF中,把FTP关闭,

此时,1里面的客户端信息是没有的。然后打开FTP,

 

进入到AR1中查看,会发现可以进去了

再进入防火墙,查看配置

 

 

NAT 

建立最基本的NAT策略

在安全策略中,放开所有服务,然后要想知道NAT转没转换,我们可以在端口进行抓包。

 

 可以看到,已经转换成了100.1.1.0网段的IP地址。

如下图,我们可以看到之前的FTP也进行了转换。

 源地址池的建立

 

 

此时AR1还是可以ping通 

Client1也可以访问服务器。

然后进行抓包

 

IP地址全变成了地址池里面的地址。

怎样做到untrust去访问DMZ。

首先,做一个服务器映射

 

然后写安全策略 

域间双转

进行测试抓包

 

 

 

 NAT对应关系Nat Server,  ANY -> 100.1.1.111:80[10.1.2.2:80]

使用NAT策略替换服务器映射。首先禁用掉服务器映射,然后配置一个NAT策略。

 

 

 抓包

 

源IP转换为内部ip

防火墙NAT类型的server-map

 

 

 

zkzzxh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NATserver nat双向NAT域间双向NAT,以及双机热备实验,练习IPS配置实验
xiaooxiangg的博客
03-21 869
lsw1]ip route-static 0.0.0.0 0 10.1.2.254 防火墙的虚网关。然后ping100.1.1.2抓包发现地址进行了地址转换。做同步,在防火墙之间连一根线,把两条接口配成一个网段。配置好防火墙地址,然后用网页登录两个防火墙。配置虚拟IP和第一个防火墙配置方法一样。写一条trust到untrust的策略。写untrust 到dmz 的策略。如图先配置好各个设备IP地址。LSW2配置配法LSW1的一样。trust区加一个服务器。还原后主备切换回为原来。
网络——双向NAT技术
Jay
04-18 1497
到达网关时,网关发现目的地址是10.1.12.100(AR1的G0/0/1同网段地址),于是想要将该数据包从G0/0/1发出,不过G0/0/1接口上配置NAT Server,发现转换后的地址是AR1的G0/0/0网段地址,那么该HTTP请求又从G0/0/0接口发回,G0/0/0接口上并没有配置NAT Server进行转换。我们查看内Client1能否正常访问内部的HTTP Server服务器。**备注:**可以通过抓包发现,AR1的G0/0/1出接口并无数据包,而G0/0/0的接口存在TCP无回应。
NATserver nat双向nat域间双向nat配置
weixin_64311421的博客
03-27 897
对于防火墙来说,我们需要考虑转换和放行。NAT策略只是转换了,防火墙不放行,所以还需要做个放行策略。最后可以在LSW1上接个路由器,用路由器ping 100.1.1.3。在分别在g1/0/1、g1/0/0、g1/0/2上添加IP地址和安全区。在浏览器上输入刚添加的IP地址,进入华为防火墙图形化界面。然后在WF1上配置0/0/0接口IP地址并开启服务。先做nat策略(trust双转)开启DMZ区的http服务器。新建一个名称为du的NAT策略。访问服务器,发现外网可以访问。转包可以看见,转换成功。
第二天防火墙:ASPF 和 NAT实验
weixin_62870380的博客
03-21 371
防火墙的ASPF策略、防火墙的NAT各种策略、防火墙的端口映射配置实验
防火墙双向NAT
坏坏-5的博客
10-23 2686
本篇是防火墙的双向NAT的简单配置
防火墙双通道协议、NAT双机热备、IDS问题总结
xiaooxiangg的博客
03-21 693
IDS(入侵检测系统):入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。主要针对防火墙涉及不到的部分进行检测。合法用户伪装用户秘密用户。
HCIE-Security Day8:3个实验理解双向NAT
小梁的博客
02-11 3224
目录 ​ 外网用户访问内网服务器 私网用户访问内部服务器 同时转换报文的信息和目的信息,不是单独的功能,而是NAT和目的NAT的组合,双向NAT是针对同一条流,在其经过防火墙时同时转换报文的地址和目的地址。 主要用在两个场景 外网用户访问内网服务器 避免在内部服务器上设置网关,简化配置服务器可以有多个网卡,分别接入不同的网络,但是只能有一个网关。如果网关配置给了同一私网内的用户,那么就无法给联入公网的网卡配置网关。所以从公网到达私网服务器的报文,如果地址依然...
HCIE-Security Day9:5个实验理解NAT Server
小梁的博客
02-11 2397
NAT Server与目的NAT的区别和联系 NAT Server是一种静态目的NAT技术,与基于策略的静态目的NAT一样,都可以用于解决私网IP与公网IP存在固定映射关系的场景,但是基于策略的目的NAT在一条策略中可以匹配多个地址段,且支持地址排除功能,配置更为灵活。NAT Server可以逐条配置地址转换关系,命令简单清晰。 两者还有如下区别 1、nat server 配置后创建静态server-map表项,destination-nat不创建 2、nat server 优先级...
华为-NAT技术详解
09-29
NAT ALG和ASPF(Application Specific Packet Filter,应用特定包过滤)通常是结合使用的,可以使用一条命令同时开启这两种功能,例如:`detect protocol`命令可以在域间配置中使用。 ##### 2. 基于目的IP地址的NAT...
HCIE-Security Day6:5个实验深入浅出理解NAT
小梁的博客
02-10 2513
NAT是一种地址转换技术,可以将ipv4报文头中的地址做转换,通常情况下,利用nat技术将ipv4报文头中的私网地址转换为公网地址,实现了内网设备与公网设备的互访。 从实现上来说,NAT转换设备都维护一张地址转换表。地址转换的机制分为: 内部网络主机的ip地址和端口转换为nat转换设备外部网络地址和端口 外部网络主机的ip地址和端口转换位nat转换设备内部网路地址和端口 即私有地址+端口与共有地址+端口之间互相转换。 常见的nat转化设备由路由器、防火墙等。 NAT分类 ...
natnat server
最新发布
2303_77223717的博客
06-24 798
nat出现的背景ipv4地址严重不足,且企业需要和公网通信,需要将私有地址转化为公有地址nat是什么将数据报文里面的私有ip地址转化为公有地址的过程nat的作用将数据包里面的私有ip地址转化为公有地址,进而可以访问互联网隐藏内网,提高内网的安全性,避免外网的攻击nat工作表:把一个私有地址和一个公有地址绑定在一起nat的工作当数据转发的时候,转化的是,是先经过路由表,再经过nat表当数据转发的时候,转化的是,是先经过nat表再经过路由表。
安全防御 --- 防火墙-- ASPF、NAT
weixin_62443409的博客
03-29 1359
主机之间传输文件是IP网络的一个重要功能,如今人们可以方便地使用网页、邮箱进行文件传输。然而在互联网早期,Web(World Wide Web,万维网)还未出现,操作系统使用命令行的时代,用户使用命令行工具进行文件传输。其中最通用的方式就是使用FTP(File Transfer Protocol,文件传输协议)以及TFTP(Trivial File Transfer Protocol,简单文件传输协议)。
华为防火双向NAT
不定期分享一些自己的学习笔记
10-16 2949
华为防火双向NAT
华为防火墙ASPF详解及配置实例
永远是少年
07-26 7370
今天继续给大家介绍防火墙。本文主要介绍防火墙的ASPF原理,并使用华为eNSP模拟器,实际搭建了应用场景展示ASPF的x相关配置。 一、ASPF详解 ASPF,即Application Specific Packet Filter,应用层的包过滤,及给予状态的报文过滤。ASPF能够检测试图通过设备的应用层号会话信息,通过维护会话的状态和检查会话报文的协议和端口号等信息,使得某些特殊应用的报文能够正常转发。 ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议在通信过程中自动协商一些随机端口,在严
ASPF
sherlockmj的博客
03-05 702
安全策略动态放行 firewall detect ftp(启用动态放行功能,开启aspf功能) ASPF application specific packet filter功能 1、识别应用层数据 2、根据应用层数据,产生server-map表 3、后续报文、匹配serve-map表,直接转发 tipsserver-map表的优先级比安全策略表优先级高 Display firewall session table Display firewall server-map ASPF对多通道协议的支持 STU
ensp防火墙ASPF、NAT ALG配置NAT server
m0_46626894的博客
03-23 4705
实验11、防火墙ASPF、ALG配置NAT server 文章目录实验11、防火墙ASPF、ALG配置NAT server实验环境具体步骤1、防火墙的NAT配置基础配置:端口ip设置划分并配置防火墙安全策略测试客户端登陆ftp:给防火墙配置NAT抓包测试2、NAT server配置NAT server以及安全策略ping 测试并抓包:个人总结 实验环境 具体步骤 1、防火墙的NAT配置 基础配置: client: server: 端口ip设置 FW: [FW1]int g01/0/1 [FW1-
aspf
no pay no gay
10-01 7296
aspf(application specific packet filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。 为保护网络安全,基于acl规则的包过滤可以在网络层和传输层检测数据包,防止非法入侵。aspf能够检测应用层协议的信息,并对应用的流
ASPF(Application Specific Packet Filter)
weixin_33720452的博客
11-16 607
ASPF ASPF(Application Specific Packet Filter)是针对应用层的包过滤,其原理是检测通过设备的报文的应用层协议信息,记录临时协商的数据连接,使得某些在安全策略中没有明确定义要放行的报文也能够得到正常转发。 通过以下实验说明,ASFP: FTP客户端经过防火墙访问FTP服务器 配置完成后,尝试登陆FTP服务器,可...
华为防火墙双机热备配置详解与组网指南
防火墙双机热备配置与组网是网络安全设计的重要组成部分,它确保了在主设备故障时,业务连续性不受影响。这种配置通常基于两种模式:路由模式和透明模式。本文将详细介绍这两种模式下的防火墙配置过程。 首先,HRP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值