網(wǎng)絡(luò)運(yùn)維|防火墻的NAT典型應(yīng)用案例

2020-06-02 21:09 作者：admin 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，在這里介紹下防火墻NAT的應(yīng)用場(chǎng)景。簡(jiǎn)單網(wǎng)絡(luò)安全運(yùn)維，從Web管理輕松學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。
網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級(jí))、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無(wú)限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息查詢(xún)，同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息。專(zhuān)業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無(wú)限+
+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽(yáng)豐臺(tái)北京周邊海淀、大興、昌平、門(mén)頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息

外網(wǎng)訪(fǎng)問(wèn)服務(wù)器的源NAT+虛擬服務(wù)器

可以通過(guò)配置源NAT+虛擬服務(wù)器來(lái)簡(jiǎn)化服務(wù)器對(duì)外提供服務(wù)時(shí)的回程路由配置。

組網(wǎng)需求

如圖7-99所示，某企業(yè)內(nèi)部網(wǎng)絡(luò)的兩個(gè)安全區(qū)域通過(guò)USG連接，其中DMZ區(qū)域部署了一臺(tái)FTP Server供Untrust區(qū)域用戶(hù)訪(fǎng)問(wèn)。FTP Server的實(shí)際IP地址為10.1.1.2，對(duì)外公布的地址為200.10.10.1，端口號(hào)均為缺省值21。由于外網(wǎng)環(huán)境復(fù)雜，不方便在服務(wù)器上設(shè)置回程路由，所以通過(guò)配置NAT Inbound，使服務(wù)器缺省將回應(yīng)報(bào)文發(fā)給USG，以完成回應(yīng)報(bào)文的正常轉(zhuǎn)發(fā)。
圖  配置Inbound方向的NAT組網(wǎng)圖 

項(xiàng)目	數(shù)據(jù)
(1)	接口號(hào)：GigabitEthernet 0/0/3 IP地址：10.1.1.1/24 安全區(qū)域：DMZ
(2)	接口號(hào)：GigabitEthernet 0/0/4 IP地址：200.10.10.1/24 安全區(qū)域：Untrust
NAT地址池	地址池名稱(chēng)：addresspool1 IP地址范圍：10.1.1.5～10.1.1.10
FTP Server	內(nèi)部地址：10.1.1.2 內(nèi)部端口：21 外部地址：200.10.10.1 外部端口：21

配置思路

配置源NAT時(shí)需要根據(jù)目的地址來(lái)匹配，目的地址為FTP Server的公網(wǎng)IP地址。且地址池中的地址需與FTP Server的實(shí)際IP地址在同一網(wǎng)段。
源NAT配置的菜單路徑為：“防火墻 > NAT > 源NAT”。
虛擬服務(wù)器配置的菜單路徑為：“防火墻 > NAT > 目的NAT > 虛擬服務(wù)器”。

操作步驟

1. 配置接口基本參數(shù)。
a. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。
b. 在“接口列表”中單擊GE0/0/3對(duì)應(yīng)的。
c. 配置接口GigabitEthernet 0/0/3。
GigabitEthernet 0/0/3的相關(guān)參數(shù)如下，其他參數(shù)使用默認(rèn)值：
· 安全區(qū)域：dmz
· 模式：路由
· 連接類(lèi)型：靜態(tài)IP
· IP地址：10.1.1.1
· 子網(wǎng)掩碼：255.255.255.0
d. 單擊“應(yīng)用”。
e. 重復(fù)上述步驟配置接口GigabitEthernet 0/0/4。
GigabitEthernet 0/0/4的相關(guān)參數(shù)如下，其他參數(shù)使用默認(rèn)值：
· 安全區(qū)域：untrust
· 模式：路由
· 連接類(lèi)型：靜態(tài)IP
· IP地址：200.10.10.1
· 子網(wǎng)掩碼：255.255.255.0
2. 對(duì)于USG系列，配置域間包過(guò)濾，以保證網(wǎng)絡(luò)基本通信正常。對(duì)于USG BSR/HSR系列，不需要執(zhí)行此步驟。
a. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
b. 選擇“轉(zhuǎn)發(fā)策略”頁(yè)簽。
c. 在“轉(zhuǎn)發(fā)策略列表”中單擊。參數(shù)配置如圖7-100所示。
圖7-100  配置允許Untrust安全區(qū)域用戶(hù)訪(fǎng)問(wèn)FTP Server的FTP服務(wù)  3. 配置虛擬服務(wù)器，將FTP服務(wù)器私網(wǎng)地址10.1.1.2映射為公網(wǎng)地址200.10.10.1。
a. 選擇“防火墻 > NAT > 目的NAT”，單擊“虛擬服務(wù)器”頁(yè)簽。
b. 在“虛擬服務(wù)器列表”中單擊。
虛擬服務(wù)器的參數(shù)配置如圖7-101所示。
圖7-101  配置虛擬服務(wù)器  c. 單擊“應(yīng)用”。
4. 配置NAT地址池。
 說(shuō)明：
該地址池需要與FTP Server在同一網(wǎng)段，且其中的地址不被其他內(nèi)網(wǎng)主機(jī)所使用。
a. 選擇“防火墻 > NAT > 源NAT”。
b. 選擇“NAT地址池”頁(yè)簽。
c. 在“NAT地址池列表”中單擊，NAT地址池的參數(shù)配置如圖7-102所示。
圖7-102  配置NAT地址池  d. 單擊“應(yīng)用”。
5. 配置源NAT。
 說(shuō)明：
此處配置的源NAT是指對(duì)訪(fǎng)問(wèn)目的地址為10.1.1.2的報(bào)文源地址轉(zhuǎn)換。
a. 選擇“源NAT”頁(yè)簽。
b. 在“源NAT策略列表”列表中單擊，源NAT的參數(shù)配置如圖7-103所示。
圖7-103  配置源NAT  c. 單擊“應(yīng)用”。

結(jié)果驗(yàn)證

Untrust安全區(qū)域的用戶(hù)（以200.10.10.2為例）可以正常訪(fǎng)問(wèn)FTP Server的FTP服務(wù)，選擇“防火墻 > 監(jiān)控> 會(huì)話(huà)表”，查看會(huì)話(huà)表詳細(xì)信息如圖7-104所示。
圖7-104  結(jié)果驗(yàn)證 

 

以上文章由北京艾銻無(wú)限科技發(fā)展有限公司整理