华为防火墙实验---FTP服务/NAT地址转换/NAT Server观察

                华为防火墙实验---FTP服务/NAT地址转换/NAT Server观察实验   

华为防火墙实验---FTP服务/NAT地址转换/NAT Server观察_第1张图片
实验拓扑如图,需求如下:
1.办公网client2可以与生产服务器Server1通信,并建立FTP服务,模式为port主动模式,抓包观察现象。
2.通过配置NAT转换(EASY IP)使办公网client2与公网client1进行通信,抓包观察现象。
3.现公司内部申请多了一个公网地址1.1.1.10,通过配置NAT Server使得公网client1能与生产服务器建立ftp服务,抓包观察现象。

涉及到的内容:防火墙基本配置、NAT地址转换

需求1:办公网client2可以与生产服务器Server1通信,并建立FTP服务,模式为port主动模式,抓包观察现象。

首先我们先进行各个接口的IP地址配置(此处省略不描述),以及安全区域的划分。
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/0
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet1/0/2
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet1/0/1
网络中如果有防火墙存在,不同区域如果需要通信,则需要配置相应的安全策略
[FW1]security-policy
[FW1-policy-security]rule name r1
[FW1-policy-security]source-zone trust
[FW1-policy-security]destination-zone dmz
[FW1-policy-security]destination-zone local
[FW1-policy-security]destination-zone untrust
[FW1-policy-security]source-address 192.168.2.0 mask 255.255.255.0
[FW1-policy-security]action permit
配置安全策略r1,源区域为trust区域、源IP地址为192.168.2.0/24网段,目的区域为dmz、untrust、local,动作为允许。
此时在client2上ping server1:
华为防火墙实验---FTP服务/NAT地址转换/NAT Server观察_第2张图片
发现是可以成功通信的,但实际上我们并没有配置回程的路由。根据防火墙的状态检测机制,如果命中了安全策略,那么则会创建一条会话表,表示通信双方的一个连接,包括五元组:源地址、源端口、目的地址、目的端口和协议。在server1发送给client2的报文只要匹配上会话表的信息,就可以通过了。
此时需要比较迅速地使用命令dis firewall session table 来查看:
在这里插入图片描述
从会话表中可以比较清楚地看到协议为icmp,cilent2和server1的ip地址和通信时的端口号。

接下来再进行FTP有关配置:
华为防火墙实验---FTP服务/NAT地址转换/NAT Server观察_第3张图片
华为防火墙实验---FTP服务/NAT地址转换/NAT Server观察_第4张图片
配置完成后,我们先对防火墙的g 1/0/0进行抓包,并点击登录。
抓包结果如下:
华为防火墙实验---FTP服务/NAT地址转换/NAT Server观察_第5张图片

首先可以Server1是使用21号端口与client2的2056端口建立FTP连接的,此时进行了一次TCP的三次握手;在进行数据传输时,Server1使用了20号端口与client2的2057端口建立三次握手。
此时再查看再使用命令display firewall session table来查看会话表:
在这里插入图片描述
可以看到关于FTP有两条会话,一条为建立连接时的会话,一跳为传输数据的会话。
建立连接时的会话是因为第一条报文匹配上了安全策略才创建的,后续报文直接根据会话进行转发。而数据传输的会话,我们是没有创建相应的策略的,但还是生成了会话表,这是由于防火墙的ASPF功能。FTP是多通道的协议,防火墙可以检测报文的应用层数据,获取相应的信息并提前创建相应的会话表项,来保证这些应用的正常通信,这个提前创建的表项叫做server-map,可以通过命令display firewall server-map 来进行查看:
华为防火墙实验---FTP服务/NAT地址转换/NAT Server观察_第6张图片
可以看到server map上的五元组信息与会话表信息是一致的,因为server map在检查了首个报文后,会生成相应的会话表来匹配后面的报文,符合会话表五元组的报文都能通过。
需求1完成。


需求2:通过配置NAT转换(EASY IP)使办公网client2与公网client1进行通信,抓包观察现象。

内网如果要访问公网的话,需要先通过NAT转换成公网地址,此时现在防火墙上进行相应配置:
[FW1]nat-policy
[FW1-policy-nat]rule name r1
[FW1-policy-nat-rule-r1]source-zone trust
[FW1-policy-nat-rule-r1]destination-zone untrust
[FW1-policy-nat-rule-r1]source-address 192.168.2.10 24
[FW1-policy-nat-rule-r1]action source-nat easy-ip
指定源区域为trust,源ip为192.168.2.10,而目的区域为untrust,动作为源地址通过easy ip,使用出端口的公网IP地址的随机端口来与公网进行通信。
[FW1]ip route-static 0.0.0.0 0 1.1.1.1
[FW1]ip route-static 1.1.1.2 30 NULL 0
另外需要配置一条静态路由来指向公网,并配置一条黑洞路由,防止公网回包时造成环路。
华为防火墙实验---FTP服务/NAT地址转换/NAT Server观察_第7张图片
此时使用client2去ping client1,已经可以成功ping通,再查看一下防火墙上所创建的会话表:
在这里插入图片描述
从会话表上可以看到,IP地址为192.168.2.10:256转换成了IP地址为1.1.1.2:2049,与client1的100.1.1.1:2048进行通信
再查看g1/0/2的抓包结果:
华为防火墙实验---FTP服务/NAT地址转换/NAT Server观察_第8张图片
还可以看到在IMCP报文中,由于没有TCP/UDP报头填充端口号,是使用自身报头里的identifer(BE)来进行填充端口号的。需求2完成。


需求3:现公司内部申请多了一个公网地址1.1.1.10,通过配置NAT Server使得公网client1能与生产服务器建立ftp服务,抓包观察现象。

[FW1]nat server ftp2 protocol tcp global 1.1.1.10 2121 inside 192.168.3.10 21 no-reverse
ip route-static 1.1.1.10 32 NULL 0
在防火墙配置NAT Server的静态转换,当外网访问1.1.1.10:2121时,转换成为192.168.3.10:21,no-reverse参数代表内网主动的话则不能转换。再配置一条黑洞路由防止环路。
[r1]ip route-static 1.1.1.10 32 1.1.1.2
在R1上也要配置一条静态路由,否则路由表里没有1.1.1.10的路由导致无法访问。
配置完成后在cilent1上登录:
华为防火墙实验---FTP服务/NAT地址转换/NAT Server观察_第9张图片
此时FTP服务已经建立成功,另外再查看抓包结果,以及防火墙上的会话表与Server-map。
华为防火墙实验---FTP服务/NAT地址转换/NAT Server观察_第10张图片
华为防火墙实验---FTP服务/NAT地址转换/NAT Server观察_第11张图片
通过抓包结果以及防火墙的会话表与Server map可以分析得出:
公网的client1与生产服务器Server1建立连接的时候,ASPF、NAT Server都会生成了server-map
NAT Server生成的server-map中,可以看到192.168.3.10:21映射到1.1.1.10:2121上,映射后与公网地址100.1.1.1:2054进行FTP服务的建立通信,收到第一份报文后建立了会话100.1.1.1:2054→1.1.1.10:2121。
ASPF的Server-map是FTP服务建立的时候生成的,也可以看到抓包截图中出现了两次的三次握手,一次是建立连接,一次为传输数据,并后续生成了会话192.168.3.10:20[1.1.1.10:20]→100.1.1.1:2055,保证本次连接服务的成功。
本次小实验结束~

你可能感兴趣的:(防火墙,nat,tcp,网络)