华为防火墙实验---FTP服务/NAT地址转换/NAT Server观察

                华为防火墙实验---FTP服务/NAT地址转换/NAT Server观察实验   

实验拓扑如图，需求如下：
1.办公网client2可以与生产服务器Server1通信，并建立FTP服务，模式为port主动模式，抓包观察现象。
2.通过配置NAT转换（EASY IP）使办公网client2与公网client1进行通信，抓包观察现象。
3.现公司内部申请多了一个公网地址1.1.1.10，通过配置NAT Server使得公网client1能与生产服务器建立ftp服务，抓包观察现象。

涉及到的内容：防火墙基本配置、NAT地址转换

需求1：办公网client2可以与生产服务器Server1通信，并建立FTP服务，模式为port主动模式，抓包观察现象。

首先我们先进行各个接口的IP地址配置（此处省略不描述），以及安全区域的划分。
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/0
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet1/0/2
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet1/0/1
网络中如果有防火墙存在，不同区域如果需要通信，则需要配置相应的安全策略
[FW1]security-policy
[FW1-policy-security]rule name r1
[FW1-policy-security]source-zone trust
[FW1-policy-security]destination-zone dmz
[FW1-policy-security]destination-zone local
[FW1-policy-security]destination-zone untrust
[FW1-policy-security]source-address 192.168.2.0 mask 255.255.255.0
[FW1-policy-security]action permit
配置安全策略r1，源区域为trust区域、源IP地址为192.168.2.0/24网段，目的区域为dmz、untrust、local，动作为允许。
此时在client2上ping server1：

发现是可以成功通信的，但实际上我们并没有配置回程的路由。根据防火墙的状态检测机制，如果命中了安全策略，那么则会创建一条会话表，表示通信双方的一个连接，包括五元组：源地址、源端口、目的地址、目的端口和协议。在server1发送给client2的报文只要匹配上会话表的信息，就可以通过了。
此时需要比较迅速地使用命令dis firewall session table 来查看：

从会话表中可以比较清楚地看到协议为icmp，cilent2和server1的ip地址和通信时的端口号。

接下来再进行FTP有关配置：


配置完成后，我们先对防火墙的g 1/0/0进行抓包，并点击登录。
抓包结果如下：

首先可以Server1是使用21号端口与client2的2056端口建立FTP连接的，此时进行了一次TCP的三次握手；在进行数据传输时，Server1使用了20号端口与client2的2057端口建立三次握手。
此时再查看再使用命令display firewall session table来查看会话表：

可以看到关于FTP有两条会话，一条为建立连接时的会话，一跳为传输数据的会话。
建立连接时的会话是因为第一条报文匹配上了安全策略才创建的，后续报文直接根据会话进行转发。而数据传输的会话，我们是没有创建相应的策略的，但还是生成了会话表，这是由于防火墙的ASPF功能。FTP是多通道的协议，防火墙可以检测报文的应用层数据，获取相应的信息并提前创建相应的会话表项，来保证这些应用的正常通信，这个提前创建的表项叫做server-map，可以通过命令display firewall server-map 来进行查看：

可以看到server map上的五元组信息与会话表信息是一致的，因为server map在检查了首个报文后，会生成相应的会话表来匹配后面的报文，符合会话表五元组的报文都能通过。
需求1完成。

---

需求2：通过配置NAT转换（EASY IP）使办公网client2与公网client1进行通信，抓包观察现象。

内网如果要访问公网的话，需要先通过NAT转换成公网地址，此时现在防火墙上进行相应配置：
[FW1]nat-policy
[FW1-policy-nat]rule name r1
[FW1-policy-nat-rule-r1]source-zone trust
[FW1-policy-nat-rule-r1]destination-zone untrust
[FW1-policy-nat-rule-r1]source-address 192.168.2.10 24
[FW1-policy-nat-rule-r1]action source-nat easy-ip
指定源区域为trust，源ip为192.168.2.10，而目的区域为untrust，动作为源地址通过easy ip，使用出端口的公网IP地址的随机端口来与公网进行通信。
[FW1]ip route-static 0.0.0.0 0 1.1.1.1
[FW1]ip route-static 1.1.1.2 30 NULL 0
另外需要配置一条静态路由来指向公网，并配置一条黑洞路由，防止公网回包时造成环路。

此时使用client2去ping client1，已经可以成功ping通，再查看一下防火墙上所创建的会话表：

从会话表上可以看到，IP地址为192.168.2.10:256转换成了IP地址为1.1.1.2:2049，与client1的100.1.1.1:2048进行通信
再查看g1/0/2的抓包结果：

还可以看到在IMCP报文中，由于没有TCP/UDP报头填充端口号，是使用自身报头里的identifer(BE)来进行填充端口号的。需求2完成。

---

需求3：现公司内部申请多了一个公网地址1.1.1.10，通过配置NAT Server使得公网client1能与生产服务器建立ftp服务，抓包观察现象。

[FW1]nat server ftp2 protocol tcp global 1.1.1.10 2121 inside 192.168.3.10 21 no-reverse
ip route-static 1.1.1.10 32 NULL 0
在防火墙配置NAT Server的静态转换，当外网访问1.1.1.10:2121时，转换成为192.168.3.10:21，no-reverse参数代表内网主动的话则不能转换。再配置一条黑洞路由防止环路。
[r1]ip route-static 1.1.1.10 32 1.1.1.2
在R1上也要配置一条静态路由，否则路由表里没有1.1.1.10的路由导致无法访问。
配置完成后在cilent1上登录：

此时FTP服务已经建立成功，另外再查看抓包结果，以及防火墙上的会话表与Server-map。


通过抓包结果以及防火墙的会话表与Server map可以分析得出：
公网的client1与生产服务器Server1建立连接的时候，ASPF、NAT Server都会生成了server-map
NAT Server生成的server-map中，可以看到192.168.3.10:21映射到1.1.1.10:2121上，映射后与公网地址100.1.1.1:2054进行FTP服务的建立通信，收到第一份报文后建立了会话100.1.1.1:2054→1.1.1.10:2121。
ASPF的Server-map是FTP服务建立的时候生成的，也可以看到抓包截图中出现了两次的三次握手，一次是建立连接，一次为传输数据，并后续生成了会话192.168.3.10:20[1.1.1.10:20]→100.1.1.1:2055，保证本次连接服务的成功。
本次小实验结束~