防火墙如何处理nat(私网用户访问Internet场景)

目录

  • 私网用户访问Internet场景
    • 源NAT的两种转换方式
    • NAT No-PAT
  • NAPT配置思路
    • 规划
  • NAPT配置命令
    • 配置接口IP地址并将接口加入相应安全区域
    • 配置安全策略
    • 配置NAT地址池
    • 配置源NAT策略
    • 配置缺省路由
    • 配置黑洞路由

私网用户访问Internet场景

多个用户共享少量公网地址访问Internet的时候,可以使用源NAT技术来实现。
源NAT技术只对报文的源地址进行转换。

防火墙如何处理nat(私网用户访问Internet场景)_第1张图片

  • NAT(Network Address Translation)是一种地址转换技术,可以将IPv4报文头中的地址转换为另一个地址。通常情况下,利用NAT技术将IPv4报文头中的私网地址转换为公网地址,可以实现位于私网的多个用户使用少量的公网地址同时访问Internet。因此,NAT技术常用来解决随着Internet规模的日益扩大而带来的IPv4公网地址短缺的问题。
  • 在学校、公司中经常会有多个用户共享少量公网地址访问Internet的需求,通常情况下可以使用源NAT技术来实现。源NAT技术只对报文的源地址进行转换。通过源NAT策略对IPv4报文头中的源地址进行转换,可以实现私网用户通过公网IP地址访问Internet的目的。
  • 如图所示,FW部署在网络边界处,通过部署源NAT策略,可以将私有网络用户访问Internet的报文的源地址转换为公网地址,从而实现私网用户接入Internet的目的。

源NAT的两种转换方式

源NAT转换方式 含义 场景
NAT No-PAT 只转换报文的IP地址,不转换端口 需要上网的私网用户数量少,公网IP地址数量与同时上网的最大私网用户数量基本相同
NAPT 同时转换报文的IP地址和端口 公网IP地址数量少,需要上网的私网用户数量大
  • 源NAT有多种转换方式,这里我们只介绍其中的两种。
  • 不带端口转换的地址池方式(No-PAT):
    • 内部私网用户共享地址池中的IP地址,按照一个私网IP地址对应一个公网IP地址的方式进行转换。地址转换的同时不进行端口转换,地址池中IP的个数就是最多可同时上网的私网用户数。适用于某些服务需要使用特定的源端口,不允许进行源端口转换的场景。
  • 带端口转换的地址池方式(NAPT):
    • 一般适用于私网用户较多的大中型网络环境,多个私网用户可以共同使用一个公网IP地址,根据端口区分不同用户,所以可以支持同时上网的用户数量更多。

NAT No-PAT

NAT No-PAT也可以称为“一对一地址转换”,只对报文的地址进行转换,不转换端口

防火墙如何处理nat(私网用户访问Internet场景)_第2张图片- NAPT属于“多对一的地址转换”,在转换过程中同时转换报文的地址和端口。

  • NAPT方式通过配置NAT地址池来实现,NAT地址池中可以包含一个或多个公网地址。转换时同时转换地址和端口,即可实现多个私网地址共用一个或多个公网地址的需求。
  • 如图所示,当Host访问Web Server时,FW的处理过程如下:
    • FW收到Host发送的报文后,根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动,通过安全策略检查后继而查找NAT策略,发现需要对报文进行地址转换。
    • FW从NAT地址池中选择一个公网IP地址,替换报文的源IP地址,同时使用新的端口号替换报文的源端口号,并建立会话表,然后将报文发送至Internet。
    • FW收到Web Server响应Host的报文后,通过查找会话表匹配到上一步骤中建立的表项,将报文的目的地址替换为Host的IP地址,将报文的目的端口号替换为原始的端口号,然后将报文发送至Intranet。
  • 此方式下,由于地址转换的同时还进行端口的转换,可以实现多个私网用户共同使用一个公网IP地址上网,FW根据端口区分不同用户,所以可以支持同时上网的用户数量更多。

NAPT配置思路

某公司在网络边界处部署了NGFW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet,需要在NGFW上配置源NAT策略。除了公网接口的IP地址外,公司还向ISP申请了2个IP地址(1.1.1.10~1.1.1.11)作为私网地址转换后的公网地址。网络环境如图所示,其中Router是ISP提供的接入网关。

防火墙如何处理nat(私网用户访问Internet场景)_第3张图片### 配置思路

  1. 配置接口IP地址和安全区域,完成网络基本参数配置。
  2. 配置安全策略,允许私网指定网段与Internet进行报文交互。
  3. 配置NAT地址池。
  4. 配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
  5. 在NGFW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。
  6. 在NGFW上配置黑洞路由,避免NGFW与Router之间产生路由环路。
  7. 在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往NGFW。
  8. 在Router上配置静态路由,使从Internet返回的流量可以被正常转发至NGFW。

规划

防火墙如何处理nat(私网用户访问Internet场景)_第4张图片

NAPT配置命令

防火墙如何处理nat(私网用户访问Internet场景)_第5张图片

配置接口IP地址并将接口加入相应安全区域

interface GigabitEthernet1/0/1
 ip address 10.1.1.1 255.255.255.0 
#
interface GigabitEthernet1/0/2
 ip address 1.1.1.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2

配置安全策略

security-policy   
  rule name policy_sec_1  
    source-zone trust 
    destination-zone untrust 
    source-address 10.1.1.0 24  
    action permit 

配置NAT地址池

nat address-group addressgroup1 
 section 0 1.1.1.10 1.1.1.11 

配置源NAT策略

nat-policy  
  rule name policy_nat_1 
    source-zone trust 
    destination-zone untrust  
    source-address 10.1.1.0 24   
    action nat address-group addressgroup1 

配置缺省路由

ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 

配置黑洞路由

ip route-static 1.1.1.10 255.255.255.255 NULL0 
ip route-static 1.1.1.11 255.255.255.255 NULL0 

你可能感兴趣的:(网络安全之防御保护,网络,服务器,网络安全,huawei)