ensp防火墙nat的简单配置

防火墙 nat配置

实验环境

实验思路

• 设置PC和Server的IP与网关
• 端口ip设置
• 配置安全策略
• 配置NAT
• 测试连通性抓包

具体步骤

配置PC和服务器端

PC：

server:

端口ip设置

FW：

[FW1]int g1/0/0

[FW1-GigabitEthernet1/0/0]ip add 192.168.1.254 24

[FW1-GigabitEthernet1/0/0]int g1/0/1

[FW1-GigabitEthernet1/0/1]ip add 10.1.1.1 24

[FW1]ip route-static 0.0.0.0 0 10.1.1.2

AR：

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]ip add 10.1.1.2 24

[R1-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 200.1.1.254 24

配置安全策略

[FW1]firewall zone trust

[FW1-zone-trust]add int g1/0/0

[FW1]firewall zone untrust

[FW1-zone-untrust]add int g1/0/1

[FW1]security-policy

[FW1-policy-security]rule name t_u

[FW1-policy-security-rule-t_u]source-zone trust

[FW1-policy-security-rule-t_u]destination-zone untrust

[FW1-policy-security-rule-t_u]action permit

配置NAT

[FW1]nat-policy

[FW1-policy-nat]rule name s

[FW1-policy-nat-rule-s]source-address 192.168.1.0 24

[FW1-policy-nat-rule-s]source-zone trust

[FW1-policy-nat-rule-s]destination-zone untrust

[FW1-policy-nat-rule-s]action source-nat easy-ip

测试并抓包

总结

NAT技术通过对IP报文头中的源地址或目的地址进行转换，可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网，防火墙技术再将内网和公网之间隔绝开来。使得公网不能访问内网，而内网可以访问公网，减少了风险。有时候把NAT和防火墙的概念混为一谈，其实NAT就是NAT，它负责IP地址影射。防火墙就是防火墙，它负责数据包的过滤。但也有时候NAT也会过滤数据包，为什么NAT会碰到问题呢？通过网上查找我发现，假设C向B发送数据的过程中，C的另外一个端口100，也想向B发送数据包，那么当这个包到达A的时候A如何处理呢？过还是不过呢？如果过了，那么从另外一个IP到达A的数据包是否也允许过呢？让这些包通过是危险的。所以NAT决定不让这些包通过，也就是说NAT有了包过滤功能。