網絡運維|防火墻的NAT典型應用案例

2020-06-01 19:54 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網絡安全運維工程師，今天和大家分享的是網絡安全設備維護相關的內容，今天就和大家聊一聊防火墻的負載均衡。簡單網絡安全運維，從防火墻學起,一步一步學成網絡安全運維大神。

網絡維護是一種日常維護，包括網絡設備管理(如計算機，服務器)、操作系統維護(系統打補丁，系統升級)、網絡安全(病毒防范)等。+

北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務，北京網絡維護信息查詢，同時您可以免費資訊北京網絡維護，北京網絡維護服務，北京網絡維護信息。專業的北京網絡維護信息就在網絡維護+

+
北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息
 

 舉例：地址池方式源NAT+虛擬服務器

本舉例介紹企業申請了多個公網IP地址用于訪問Internet，企業在對外提供FTP服務和Web服務的同時，還有部分員工需要通過NAT訪問Internet的場景和配置過程。

組網需求

如圖7-75所示，某企業內部網絡通過USG與Internet進行連接，將內網用戶劃分到Trust區域，兩臺服務器劃分到DMZ區域，將Internet劃分到Untrust區域。

該企業申請了4個公網IP地址用于內部用戶訪問Internet。

· 需求1

企業Trust區域的192.168.1.0/24網段的用戶可以訪問Internet，該安全區域的其它網段用戶不能訪問。用于訪問外部網絡的合法IP地址范圍為1.1.1.3～1.1.1.6。

· 需求2

提供FTP和Web服務器供外部網絡用戶訪問。其中FTP Server的內部IP地址為10.1.1.2，端口號為缺省值21，Web Server的內部IP地址為10.1.1.3，端口為8080。兩者對外公布的地址均為1.1.1.2，對外使用的端口號均為缺省值，即21和80。

配置思路

1. 由于有4個公網地址，因此采用地址池方式，不采用接口IP地址方式。由于需要上網的用戶數遠大于用于上網的公網IP地址數，因此需要使用NAPT（Network Address Port Translation）功能進行地址復用。

配置源NAT的菜單路徑為：“防火墻 > NAT > 源NAT”。

2. 配置虛擬服務器時，FTP服務器的內部端口和外部端口相同，Web服務器的內部端口和外部端口不同。

配置虛擬服務器的菜單路徑為：“防火墻 > NAT > 目的NAT > 虛擬服務器”。

操作步驟

1. 配置接口基本參數。

a. 選擇“網絡 > 接口 > 接口”。

b. 在“接口列表”中單擊GE0/0/2對應的。

c. 配置接口GigabitEthernet 0/0/2。

GigabitEthernet 0/0/2的相關參數如下，其他參數使用默認值：

· 安全區域：trust

· 模式：路由

· 連接類型：靜態IP

· IP地址：192.168.1.1

· 子網掩碼：255.255.255.0

d. 單擊“應用”。

e. 重復上述步驟配置接口GigabitEthernet 0/0/3和GigabitEthernet 0/0/4。

GigabitEthernet 0/0/3的相關參數如下，其他參數使用默認值：

· 安全區域：dmz

· 模式：路由

· 連接類型：靜態IP

· IP地址：10.1.1.1

· 子網掩碼：255.255.255.0

GigabitEthernet 0/0/4的相關參數如下，其他參數使用默認值：

· 安全區域：untrust

· 模式：路由

· 連接類型：靜態IP

· IP地址：1.1.1.1

· 子網掩碼：255.255.255.0

2. 對于USG系列，配置域間包過濾，以保證網絡基本通信正常。對于USG BSR/HSR系列，不需要執行此步驟。使192.168.1.0/24網段用戶可以訪問Internet，使Internet用戶可以訪問10.1.1.2的FTP服務和10.1.1.3的Web服務。

a. 配置192.168.1.0/24網段用戶可以訪問Internet。

. 選擇“防火墻 > 安全策略 > 轉發策略”。

i. 選擇“轉發策略”頁簽。

ii. 在“轉發策略列表”中單擊。參數配置如圖7-76所示。

圖7-76  配置192.168.1.0/24網段用戶可以訪問Internet 


iii. 單擊“應用”。

a. 配置Internet用戶可以訪問10.1.1.2的FTP服務和10.1.1.3的Web服務。

i. 在“轉發策略列表”中單擊。參數配置如圖7-77所示。

圖7-77  配置Internet用戶可以訪問10.1.1.2的FTP服務 


ii. 單擊“應用”。

iii. 重復上述步驟配置Internet用戶可以訪問10.1.1.3的Web服務。參數配置如圖7-78所示。

圖7-78  配置Internet用戶可以訪問10.1.1.3的Web服務 



1. 配置允許端口地址轉換的源NAT，實現需求1。

a. 配置NAT地址池。

i. 選擇“防火墻 > NAT > 源NAT”。

ii. 選擇“NAT地址池”頁簽。

iii. 在“NAT地址池列表”中單擊。參數配置如圖7-79所示。

圖7-79  配置NAT地址池 


iv. 單擊“應用”。

說明：

· 本舉例中地址池1.1.1.3～1.1.1.6和上網接口GigabitEthernet 0/0/4地址1.1.1.1/24是在同一網段的，如果地址池所在網段與上網接口不在同一個網段，注意需要在USG的下一跳設備上配置到地址池的路由。

· 如果上網接口已經配置過接口IP地址方式的NAT轉換，必須先刪除已有的接口IP地址NAT配置。

a. 配置源NAT。

. 選擇“源NAT”頁簽。

i. 在“源NAT策略列表”中單擊。參數配置如圖7-80所示。

圖7-80  配置源NAT 


ii. 單擊“應用”。

1. 配置虛擬服務器，實現需求2。

a. 配置FTP服務器的虛擬服務器。

i. 選擇“防火墻 > NAT > 目的NAT”，單擊“虛擬服務器”頁簽。

ii. 在“虛擬服務器列表”中單擊。參數配置如圖7-81所示。

圖7-81  配置FTP服務器的虛擬服務器 


iii. 單擊“應用”。

b. 配置Web服務器的虛擬服務器。

i. 在“虛擬服務器列表”中單擊。參數配置如圖7-82所示。

圖7-82  配置Web服務器的虛擬服務器 

ii. 單擊“應用”。

2. 在USG以及與USG相連的網絡設備上正確配置路由協議，使外網設備可以正確生成到達虛擬服務器的路由信息，使設備上可以正確生成外網的路由信息。

結果驗證

1. 配置完成后選擇“防火墻 > 監控 > ServerMap”，查看FTP虛擬服務器和Web虛擬服務器的配置情況。

2. 從內部網絡的主機192.168.1.2可以Ping通Internet地址（如2.2.2.2）。

3. Internet上的用戶（如2.2.2.2）可以通過公網地址1.1.1.2訪問FTP和Web服務。

4. 選擇“防火墻 > 監控 > 會話表”，查看詳細會話表。如圖7-83所示，以從192.168.1.2 ping 2.2.2.2為例：

圖7-83  查看192.168.1.2 ping 2.2.2.2的詳細會話表 

以上文章由北京艾銻無限科技發展有限公司整理