防火墙ASPF技术及NAT

防火墙如何处理双通道协议?

利用ASPF技术抓取多通道协议的控制报文,并找到传输进程所需的详细网络参数,再根据ASPF分析控制进程的特殊报文,找到传输进程的报文参数,动态生成server-map表,放行传输进程报文。传输进程匹配server-map表后生成会话表,传输进程的后续报文匹配会话表进行传输。

防火墙如何处理nat?

使用NAT ALG技术
在路由器上nat针对多通道协议也会像防火墙那样抓取控制进程中协商传输进程网络参数的报文,进而生成传输进程返回的nat映射。

防火墙支持那些NAT技术,主要应用场景是什么?

源NAT:
内网想要访问外网时将内网地址转换为公网地址。当只有一个公网地址时,配置为出接口。有多个公网地址时,可建立地址池。

Server NAT:
外网访问内网服务器时使用,将内网服务器地址映射到公网上,公网访问该地址时将访问内网服务器。在防火墙服务器映射中,服务器地址不能为物理接口地址。

NAT域间双向转换:
当外网想访问内网服务器,内网没有外网路由时,使用NAT域间向转换。

NAT域内双向转换:
当内网PC以公网形式访问内网服务器时,使用NAT域内双向转换(刚需)。

当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?

内网做DNS解析时,因为出接口做了服务器映射,所以源地址访问服务器时地址会被公网映射回内网,服务器回包时发现目的地址就在内网中,所以直接回包给源地址。

使用NAT域内双向转换或者在内网搭建NDS服务器。一般情况都使用NAT双转来解决。

防火墙ASPF及NAT实验

防火墙多通道协议的处理

防火墙ASPF技术及NAT_第1张图片
先做通各区域
防火墙ASPF技术及NAT_第2张图片

ASPF:

启动FTP服务
防火墙ASPF技术及NAT_第3张图片
放行向外访问的FTP
防火墙ASPF技术及NAT_第4张图片
不开启ASPF配置时,只能控制层面访问FTP服务,并不能进行文件传输。
防火墙ASPF技术及NAT_第5张图片
防火墙ASPF技术及NAT_第6张图片
开启ASPF配置后,创建动态server-map表,放行后续建立数据通道的报文。
防火墙ASPF技术及NAT_第7张图片
防火墙ASPF技术及NAT_第8张图片
命中server-map表后加入会话表
防火墙ASPF技术及NAT_第9张图片

NAT

源NAT

NAT策略牵扯多个运营商时选择出接口
防火墙ASPF技术及NAT_第10张图片
公网地址多时可建立地址池,一个地址选择出接口。
出接口:
防火墙ASPF技术及NAT_第11张图片
防火墙ASPF技术及NAT_第12张图片
做完NAT策略后,一定要做安全策略进行放行。
防火墙ASPF技术及NAT_第13张图片
防火墙ASPF技术及NAT_第14张图片
防火墙ASPF技术及NAT_第15张图片
防火墙ASPF技术及NAT_第16张图片
私网地址已转换为公网地址
防火墙ASPF技术及NAT_第17张图片
防火墙ASPF技术及NAT_第18张图片
地址池:
防火墙ASPF技术及NAT_第19张图片
防火墙ASPF技术及NAT_第20张图片
防火墙ASPF技术及NAT_第21张图片

Server NAT

启用HTTP服务
防火墙ASPF技术及NAT_第22张图片
安全区域:那个区域访问就写那个区域。
防火墙中服务器映射里,服务器地址不能为物理接口地址。
防火墙ASPF技术及NAT_第23张图片
做完映射后,做安全策略。
目的地址写最终目的(服务器所在的地址,私网),公网由server-map表放行。
防火墙ASPF技术及NAT_第24张图片
防火墙ASPF技术及NAT_第25张图片
防火墙ASPF技术及NAT_第26张图片
防火墙ASPF技术及NAT_第27张图片

使用NAT策略做服务器映射

NAT策略中可以映射物理接口地址
防火墙ASPF技术及NAT_第28张图片
这个场景下,第二三四个转换方式都可以使用。
防火墙ASPF技术及NAT_第29张图片
做完NAT策略记着做安全策略!
防火墙ASPF技术及NAT_第30张图片
防火墙ASPF技术及NAT_第31张图片
防火墙ASPF技术及NAT_第32张图片
只有一个公网地址时,再NAT策略中做,有多个公网地址时,服务器映射中做更简单。

域间双向NAT

将公网转换为内网访问DMZ
防火墙ASPF技术及NAT_第33张图片
防火墙ASPF技术及NAT_第34张图片
防火墙ASPF技术及NAT_第35张图片
防火墙ASPF技术及NAT_第36张图片

域内双向NAT

Server3为HTTP服务
防火墙ASPF技术及NAT_第37张图片
防火墙ASPF技术及NAT_第38张图片
做Server3到unstrust的映射
防火墙ASPF技术及NAT_第39张图片

做untrust到server的策略防火墙ASPF技术及NAT_第40张图片
外网访问Server3
防火墙ASPF技术及NAT_第41张图片
内网访问Server3失败
防火墙ASPF技术及NAT_第42张图片
将源转换为G1/0/0口
防火墙ASPF技术及NAT_第43张图片
将目的转换为Server3服务器
防火墙ASPF技术及NAT_第44张图片
防火墙ASPF技术及NAT_第45张图片
内网成功访问Server3
防火墙ASPF技术及NAT_第46张图片

你可能感兴趣的:(网络,安全)