防火墙NAT策略_嘎嘣脆的技术博客_51CTO博客
source link: https://blog.51cto.com/u_15829479/5783023
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
防火墙NAT策略
推荐 原创防火墙NAT策略
>理论讲解:
NAT概述
NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术。
NAT分类
在内外网的边界,流量有出、入两个方向,所以NAT技术包含源地址转换和目标地址转换两类。一般情况下,源地址转换主要用于解决内部局域网计算机访问Internet的场景;而目标地址转换主要用于解决Internet用户访问局域网服务器的场景,目标地址通常被称为服务器地址映射。
NAT No-PAT:类似于Cisco的动态转换,只转换IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,实际情况使用较少,主要适用于需要上网的用户较少,而公网地址又足够的情况下。
NAPT (Network Address and port Translation,网络地址和端口转换):类似于Cisco的PAT转换,NAPT既转换报文的源地址,又转换原端口。转换后的地址不能是外网接口IP地址,属于多对多或多对一转换,可以节约IP地址使用场景较多,主要适用于内部大量用户需要上网,同时仅有少数几个公网IP地址可用的场景下。
出接口地址(Easy-IP):因其转换方式非常简单,所以也称为Easy-IP,和NAPT一样,既转换源IP地址,又转换源端口。区别是出接口地址方式后的地址只能是NAT设备外网接口所配置的IP地址,属于多对一转换,可以节约IP地址,主要是适用于没有额外的公网地址可用,内部上网用户非常多的场景下,直接通过外网接口本身的IP地址作为转换目标。
本文重点介绍前三种源地址转换。
华为的目标地址转换技术主要是NAT Server,可以基于IP地址转换,也可以基于“IP+端口+协议”进行转换。
配置NAT策略
\推荐步骤:\
1.路由器配置IP地址,将防火墙接口加入指定的区域配置IP地址,内网服务器配置为FTP和web服务器,外网服务器配置web服务器使用内2.网client1访问内网服务器是否正常,client2访问外网web服务器是否正常
3.防火墙访问外网使用默认路由,路由器访问内网使用静态路由,防火墙设置安全策略允许内网访问外网使用ping命令测试全网互通
4.防火墙配置Easy-IP的NAT将内网访问外网的流量映射到防火墙外网接口上查看会话表验证
- 防火墙配置Nat Server将web01服务器的80和21端口分别映射到外网IP地址192.168.100.3和192.168.100.4的80端口和21号端口外网客户端访问验证
\实验步骤:\
路由器配置IP地址,将防火墙接口加入指定的区域配置IP地址,内网服务器配置为FTP和web服务器,外网服务器配置web服务器使用内网client1访问内网服务器是否正常,client2访问外网web服务器是否正常
1)路由器配置IP地址,将防火墙接口加入指定的区域配置IP地址
2)内网服务器配置为FTP和web服务器
3)外网服务器配置web服务器
4)client1访问内网服务器是否正常,client2访问外网web服务器是否正常
5)防火墙访问外网使用默认路由,路由器访问内网使用静态路由,防火墙设置安全策略允许内网访问外网使用ping命令测试全网互通
6)防火墙配置Easy-IP的NAT将内网访问外网的流量映射到防火墙外网接口上查看会话表验证
7)防火墙配置Nat Server将web01服务器的80和21端口分别映射到外网IP地址192.168.100.3和192.168.100.4的80端口和21号端口外网客户端访问验证
感谢阅读 !如有技术错误欢迎指正!!!
- 赞
- 收藏
- 2评论
- 分享
- 举报
上一篇:ELK日志分析系统
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK