华为防火墙双向NAT
案例1
如图所示,主机1与主机2之间处在同网段,且主机1与主机2之间通过交换机一般来说是可以正常进行二层通信的,且其通信流量不通过防火墙,如若主机2是一台服务器,主机1是一台内网的主机,这时我们不能确定主机1访问服务器的流量是健康的,所以我们希望将主机1的流量进行引流至防火墙,借助防火墙来实现流量的阻拦和检查。
实现
我们将内网的服务器的IP地址借助nat server隐藏起来,虽然主机1和主机2之间已经处在内网,但是我们同样可以向其他主机宣告,服务器的IP地址是nat server后的IP地址。其他主机如果想要和内网服务器进行通信就需要使用到这个nat server的地址。
实现总结:
因为是同区域,所以没有必要设置安全策略,只要进行nat server和源nat就可以了。
问题1
如果我们仅仅在上述的例子中做nat server是不够的,因为虽然目的地址进行了转换,主机1的报文可以正常到达主机2,但是主机2的回包还是会通过二层网络直接交互给主机1,这就暴露了服务器的地址。所以我们希望服务器去往主机1的流量也从防火墙上走,所以主机1的数据报文从防火墙上出来的时候源地址也要进行转换,这样的话,主机1的报文经过防火墙的时候,即抓换了源地址,也转换了目的地址。假设主机1的流量转换的是一个与服务器地址不同网段的地址,那么服务器就会将数据报文发送给网关,也就是防火墙,因为防火墙上先前已经记录了相关的会话表,所以在接收到主机2的回包的时候会将其进行数据包转换,于是主机1就可以从防火墙上接收到回包,而不是从交换机上接收到。
双向NAT的会话表
双向NAT的会话表大概如下图所示:
从会话表上我们可以看见其不仅记录会话信息,还记录源目地址的转换信息,如果只是普通的nat server或者源nat,是只会记录目的或者源的转换信息的其中一种。
案例2
如图所示,PC7是外网主机,PC8是一台内网主机,假设PC8连接了多个网关,并对外提供服务,可以PC上能够配置的网关只有一个,现在就可以使用双向NAT。
实现
在防火墙上配置双向NAT,PC7访问PC8的时候访问的是nat server向外开放的地址,PC7访问PC8的时候进行目的地址的转换,同时防火墙进行数据包转发的时候,将PC7的源IP转换为与PC8通网段的地址,这样PC8在进行回包的时候,就会发现目的地址是同网段的数据包,于是会发送arp请求,防火墙会作为arp代理帮助PC8进行arp回应,于是PC8后续的回包都会从防火墙上出去,又因为PC7的数据包去往防火墙的时候已经生成了对应的会话表项,里面记录了双向NAT的信息,所以当PC8的回包发送到防火墙的时候,就会匹配上相应的会话表,然后进行相应的地址转换并发送给PC7.
实现总结:
首先需要放行相应的流量,也就是制定安全策略,然后创建nat server和源nat即可
双向NAT的nat server和NAT policy的设置
案例1
我们先从案例1开始进行设计,首先我们针对的是主机1到主机2,且因为它们是处于同一个安全区域,所以默认主机1到主机2是不需要设置任何的安全策略的,那么剩下的就是nat server的策略和源nat策略的编写,首先是nat server,因为这个只是域内nat只是针对该区域的,所以nat sever就可以加上zone选择,表示只有这个区域发起的才进行nat server,所以我们可以输入:
nat server protocol icmp zone dmz global 2.2.2.2 inside 192.168.0.1 no-reverse
上面这句命令表示dmz区域的其他主机去ping 2.2.2.2的时候,防火墙会对其进行nat目的地址转换
接下来就是源nat的策略书写,我们首先创建一个nat地址池,比如创建了一个pat模式的地址池,里面的地址是2.2.2.1,然后我们进行nat-policy策略的书写, 因为该双向NAT主要针对的是主机2,所以我们在书写nat策略的时候,可以输入destination-address去报文的指定目的地址,那么这个destination-address要写nat-server向外开放的地址还是私网地址?这里写的是私网地址,主机1的数据报文进入防火墙后进行了nat server的目的转换后才到源nat抓换,所以这个时候源nat策略匹配的数目的地址已经转换后的数据报文,所以我们这里需要填入私网的地址。如果想更精细一点的话,还可以加入source-address。这样源nat也写完了。
案例2
案例2是主机与主机间处在不同安全区域的,所以这个时候我们需要制定安全策略,首先就是外网到内网的安全策略,我们只需要针对内网服务器的服务开放nat server即可,内网同样也需要相应的安全策略,这个视具体情而定,比如你要粒度大的还是小的。然后就是nat server策略,这个和上面的例子差不多。然后就是源nat,同样的,源nat的destination-address如果要设置的话,要设置成私网的服务器地址而不能设置为nat-server的外网地址,因为nat-server抓换后才进行源nat。
华为防火墙双向NAT相关推荐
- 华为防火墙的NAT介绍及配置详解
一.华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少. NAPT ...
- 华为防火墙(nat地址转换+安全策略+HA热备)
拓扑 实现需求: 1.PC1&PC2使用nat的pat模式经过防火墙做地址转换 2.PC3&Client1使用nat server模式经过防火墙做地址转换 3.Client1可以使用 ...
- 目的地址,源地址防火墙双向nat转换
步骤1,50.0.0.1能到北京172.0.0.1再就是2.0.0.1能到2.0.0.2也就是物理链路畅通 步骤2,目的地址转换,源地址58.0.0.1,目的地址21.0.0.1,源地址nat为2 ...
- 华为防火墙(NAT)
目录 一.NAT概述 1.1.黑洞路由 1.2.Server-map表 1.3.NAT对报文的处理流程 1.3.1.总结 二.NAT实例 2.1.拓扑图 2..3.配置命令 2.3.测试结果 一.NA ...
- 华为防火墙在NAT安全策略设置的解释
1.no-pat 我们知道no-pat会产生相应的server-map表项,其主要作用是加快nat的转换,但是在一开始的时候防火墙是没有server-map表的,只有本次通信中的首包触发了链接的建立之 ...
- 华为防火墙配置(防火墙NAT)
目录 前言 一.防火墙NAT概述 1.防火墙NAT策略介绍 2.NAT策略分类 (1)NAT No-PAT (2)NAPT (3)Easy-IP (4)Smart NAT (5)三元组NAT 3.NA ...
- 华为防火墙NAT策略原理+实验验证!
文章目录 前言 一:华为防火墙的NAT分类 1.1:NAT NO-PAT 1.2:NAPT 1.3:出接口地址( Easy-IP) 1.4:NAT Server 1.5:Smart NAT 1.6:三 ...
- 安全防御(二)--- 防火墙域间双向NAT、域内双向NAT、基于VRRP的双机热备
目录 一.防火墙支持那些NAT技术,主要应用场景是什么? 二.当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明 三.防火墙使用VRRP实现双机热备时会遇到什么问题,如何 ...
- 华为防火墙NAT配置及简介
华为防火墙NAT策略 一.NAT概述 NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术. 二.华为防火墙NAT分类 1.NAT No-PAT:类似于Cisco的 ...
最新文章
- 工作激发了我的热情,并不断激励着我” - SAP成都研究院Jerry Wang
- 【Transformer】AdaViT: Adaptive Tokens for Efficient Vision Transformer
- Linux内核热补丁方案对比
- HDU - 2586 - How far away ? (最短路)
- 漫画英语作文怎么写 计算机,漫画英文作文怎么写
- 新年亲朋好友最经典的“互相伤害”,你中过几条?
- 老客户回访与需求挖掘计划
- python 老师_一个法语老师的python 入门之路
- 全球及中国同步相量测量装置行业研究及十四五规划分析报告(2022)
- 基于Proteus的8×8LED点阵实验
- VMWare16Pro 调整中文
- 【JZOJ B组】【NOIP2013模拟】小喵喵的新家
- HDU 1243 反恐训练营(最长公共序列)
- Zephyr_FileSystems
- 微信小程序订单语音播报
- 全国高校计算机能力挑战赛C语言编程题 第四题
- next和nextLine的区别
- 盐城北大青鸟东台基地教学活动 | 照片转Q版手绘设计作品展
- 解决arm64安装nodejs出现Error while loading /usr/local/sbin/node: No such file or directory问题
- JbdcTemplate操作数据库