2

华为防火墙私网用户通过NAT No-PAT访问Internet(访问明确的目的Server)

 1 year ago
source link: https://blog.51cto.com/u_15630500/5285355
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

华为防火墙私网用户通过NAT No-PAT访问Internet(访问明确的目的Server)

原创

资本家的鱼 2022-05-10 11:37:18 博主文章分类:华为防火墙 ©著作权

文章标签 华为防火墙 eNSF NAT技术 No-PAT 文章分类 网络管理 网络/安全 阅读数253

某工作室在网络边界处部署了FW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet,需要在FW上配置源NAT策略。由于需要上网的用户少且访问明确的目的Server,FW采用NAT No-PAT的地址转换方式,将匹配上NAT策略的私网地址进行一对一转换。工作室向ISP申请了6个IP地址(1.1.1.10~1.1.1.15)作为私网地址转换后的公网地址。

华为防火墙私网用户通过NAT No-PAT访问Internet(访问明确的目的Server)_No-PAT

华为防火墙私网用户通过NAT No-PAT访问Internet(访问明确的目的Server)_No-PAT_02

  1. 配置接口IP地址和安全区域,完成网络基本参数配置。
  2. 配置安全策略,允许私网指定网段与Internet进行报文交互。
  3. 配置NAT地址池,不开启端口转换。
  4. 配置源NAT策略1,配置目的规则(目的IP或者安全区域)实现私网指定网段访问目的Server时自动进行源地址转换。
  5. 配置源NAT策略2,配置目的规则(目的IP或者安全区域)实现私网指定网段访问非目的Server时不进行源地址转换。如果不精确配置不转换的流量,同一个用户(IP)命中NAT策略1后,进行NAT转换。继续访问非目的Server,也会进行NAT转换。
  6. 在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。
  7. 在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往FW。
  8. 在Router上配置静态路由,使从Internet返回的流量可以被正常转发至FW。

eNSF拓扑

华为防火墙私网用户通过NAT No-PAT访问Internet(访问明确的目的Server)_华为防火墙_03

  • FW基本配置
[FW]interface GigabitEthernet1/0/1
Info: Interface GigabitEthernet1/0/1 is not shutdown.
[FW-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0 
[FW-GigabitEthernet1/0/1]interface GigabitEthernet1/0/2
[FW-GigabitEthernet1/0/2] ip address 1.1.1.1 255.255.255.0 
[FW-GigabitEthernet1/0/2]firewall zone trust
[FW-zone-trust] set priority 85
[FW-zone-trust] add interface GigabitEthernet1/0/1
[FW-zone-trust]firewall zone untrust
[FW-zone-untrust] set priority 5
[FW-zone-untrust] add interface GigabitEthernet1/0/2



  • 配置安全策略,允许私网指定网段与Internet进行报文交互。



[FW]security-policy 
[FW-policy-security]rule name policy01
[FW-policy-security-rule-policy01]source-zone trust 
[FW-policy-security-rule-policy01]destination-zone untrust 
[FW-policy-security-rule-policy01]source-address 10.1.1.0 24
[FW-policy-security-rule-policy01]access-authentication
[FW-policy-security-rule-policy01]action permit 
[FW-policy-security-rule-policy01]q
[FW-policy-security]q



  • 配置NAT地址池,不开启端口转换。



[FW]nat address-group addressgroup1
[FW-address-group-addressgroup1]mode no-pat global  //模式no-pat
[FW-address-group-addressgroup1]section 0 1.1.1.10 1.1.1.15
[FW-address-group-addressgroup1]route enable 
[FW-address-group-addressgroup1]quit



NAT NO-PAT有两种:



  • 本地(Local)NO-PAT
    本地NO-PAT生成的Server-Map表中包含安全区域参数,只有此安全区域的Server可以访问内网Host。
  • 全局(Global)NO-PAT
    全局NO-PAT生成的Server-Map表中不包含安全区域参数,一旦建立,所有安全区域的Server都可以访问内网Host。



  • 配置源NAT策略1,实现私网指定网段访问目的Server时自动进行源地址转换。​



[FW] nat-policy
[FW-policy-nat] rule name policy_nat1
[FW-policy-nat-rule-policy_nat1] source-zone trust
[FW-policy-nat-rule-policy_nat1] destination-zone untrust
[FW-policy-nat-rule-policy_nat1] source-address 10.1.1.0 24
[FW-policy-nat-rule-policy_nat1] destination-address 1.1.2.2 24
[FW-policy-nat-rule-policy_nat1] action source-nat address-group addressgroup1 
[FW-policy-nat-rule-policy_nat1] quit
[FW-policy-nat] quit



  • 在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。



[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254



PC1 ping PC3



华为防火墙私网用户通过NAT No-PAT访问Internet(访问明确的目的Server)_No-PAT_04



华为防火墙私网用户通过NAT No-PAT访问Internet(访问明确的目的Server)_eNSF_05

        

        

            

                report
            

        

    







        
Recommend

        



                

    
About Joyk

    
 





Aggregate valuable and interesting links.

Joyk means Joy of geeK