华为防火墙NAT配置与策略管理

一、NAT概述

NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术。

1NAT分类

在内外网的边界,流量有出、入两个方向,所以NAT技术包含源地址转换和目标地址转换两类一般情况下,源地址转换主要用于解决内部局域网计算机访问 Internet的场景;而目标地址转换主要用于解决Internet用户访问局域网服务器的场景,目标地址通常被称为服务器地址映射。

华为支持的源地址转换方式有如下几类:

  • NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,实际情况下使用较少,主要适用于需要上网的用户较少,而公网地址又足够的场景下。
  • NAPT( Network Address and Port Translation,网络地址和端口转换):类似于Cisco的PAT转换,NAPT既转换报文的源地址,又转换源端口,转换后的地址不能是外网接口IP地址,属于多对多或多对一转换,可以节约IP地址,使用场景较多,主要适用于内部大量用户需要上网,同时仅有少数几个公网IP地址可用的场景下。
  • 出接口地址(Easy-IP):因其转换方式非常简单、所以也称为Easy-IP,和NAPT一样,既转换源IP地址,又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址,属于多对一转换,可以节约IP地址,主要适用于没有额外的公网地址可用,内部上网用户非常多的场景下,直接通过外网接口本身的IP地址作为转换目标。
  • Smart NAT(智能转换):通过预留一个公网地址进行NAPT转换,而其他的公网地址用来进行 NAT No-PAT转换。其主要用于平时上网用户比较少,而申请的公网地址基本可以满足这些少量用户进行  NAT No-PAT转换,但是偶尔会出现上网用户倍增的情况下。
  • 三元组NAT:与源IP地址、源端口和协议类型有关的一种转换,将源IP地址和源端口转换为固定公网IP地址和端口,能解决一些特殊应用在普通NAT中无法实现的问题。其主要用于外部用户访问局域网用户的一些P2P应用。

介绍前三种源地址转换。

华为的目标地址转换技术主要是 NAT Server,可以基于IP地址转换,也可以基于 “ IP+端口+协议 ” 进行转换。

华为防火墙NAT配置与策略管理_第1张图片

先将接口加入区域当中

[SRG]firewall zone trust

[SRG-zone-trust]add int g0/0/1

[SRG-zone-trust]firewall zone dmz

[SRG-zone-dmz]add int g0/0/2

[SRG-zone-dmz]firewall zone untrust

[SRG-zone-untrust]add int g0/0/3

[SRG-zone-untrust]quit

[SRG]firewall p d p interzone trust untrust direction outbound  (默认规则,高级别可以无条件访问低级别)

[SRG]firewall p d p interzone trust dmz dir out

[SRG]firewall p d p interzone dmz untrust dir out

[SRG]ip route-s 0.0.0.0 0.0.0.0 192.168.3.2

设置trust到untrust区域的NAT策略:

[SRG]nat-policy interzone trust untrust outbound

策略ID号:

[SRG-nat-policy-interzone-trust-untrust-outbound]policy 1

设置源地址:

[SRG-nat-policy-interzone-trust-untrust-outbound-1]policy source any

启用原地址转换功能:

[SRG-nat-policy-interzone-trust-untrust-outbound-1]action source-nat

设置转换类型为easy-ip,指定转换目标接口:

[SRG-nat-policy-interzone-trust-untrust-outbound-1]easy-ip GigabitEthernet0/0/3

[SRG-nat-policy-interzone-trust-untrust-outbound-1]quit

[SRG-nat-policy-interzone-trust-untrust-outbound]quit

2、防火墙控制策略

[SRG]policy interzone trust untrust outbound

[SRG-policy-interzone-trust-untrust-outbound]policy 1

[SRG-policy-interzone-trust-untrust-outbound-1]policy source 192.168.1.2 0  //源IP地址

[SRG-policy-interzone-trust-untrust-outbound-1]policy destination any   //目标地址为所有

[SRG-policy-interzone-trust-untrust-outbound-1]action permit       //设置允许/拒绝

[SRG-policy-interzone-trust-untrust-outbound-1]quit  

[SRG-policy-interzone-trust-untrust-outbound]policy 2

[SRG-policy-interzone-trust-untrust-outbound-2]policy source 192.168.1.3 0

[SRG-policy-interzone-trust-untrust-outbound-2]policy destination 192.168.4.2 0

[SRG-policy-interzone-trust-untrust-outbound-2]action deny  //设置一个拒绝条目,这样最终的实验效果会比较明显一点

[SRG-policy-interzone-trust-untrust-outbound-2]quit

[SRG-policy-interzone-trust-untrust-outbound]quit

3、防火墙配置服务器发布

[SRG]firewall packet-filter default permit all   //默认为允许所有

[SRG]nat server protocol tcp global interface g0/0/3 80 inside 192.168.2.2 80    将2.0网段的http服务转换到接口0/0/3的IP地址上面

最终的实验效果是内网能够ping通外网1.2能够访问服务,但是1.3访问不到。

内网的服务都可以访问到dmz区域的服务即2.2的http服务

但是外网的客户机访问不到真实的IP地址,通过g0/0/3的IP地址才可以访问到服务

你可能感兴趣的:(服务器,网络,运维)