網絡運維|防火墻的NAT典型應用案例

2020-06-02 21:08 作者：admin

大家好，我是一枚從事IT外包的網絡安全運維工程師，今天和大家分享的是網絡安全設備維護相關的內容。今天和大家聊一聊防火墻的NAT應用場景，簡單網絡安全運維，從防火墻學起,一步一步學成網絡安全運維大神。
網絡維護是一種日常維護，包括網絡設備管理(如計算機，服務器)、操作系統維護(系統打補丁，系統升級)、網絡安全(病毒防范)等。+
北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務，北京網絡維修信息查詢，同時您可以免費資訊北京網絡維護，北京網絡維護服務，北京網絡維修信息。專業的北京網絡維護信息就在北京艾銻無限+
+
北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息

域內NAT

如果服務器和普通用戶部署在同一安全區域，配置域內NAT可以實現該區域的普通用戶通過公網IP地址訪問服務器。

組網需求

圖7-94所示為某校園網的組網，Web Server同時對校內和校外提供Web服務。Web服務器和校內用戶均部署在USG的Trust區域，二者通過交換機與USG相連。
為了保障服務器安全，不對用戶公布服務器的真實IP地址和端口，無論是校內用戶還是校外用戶均只能通過公網IP地址和端口訪問Web Server。
圖  配置域內NAT組網圖 

項目	數據
(1)	接口號：GigabitEthernet 0/0/3 IP地址：10.1.1.1/24 安全區域：Trust
NAT地址池	地址池名稱：addresspool1 IP地址范圍：200.10.10.3～200.10.10.5
內網用戶地址范圍	IP地址：10.1.1.0/24
Web Server	內部地址：10.1.1.2/24 內部端口：8080 外部地址：200.10.10.2/24 外部端口：80

配置思路

1. 為實現校內用戶和校外用戶均通過公網IP地址和80端口訪問Web Server的需求，首先需要配置虛擬服務器。
虛擬服務器配置的菜單路徑為：“防火墻 > NAT > 目的NAT > 虛擬服務器”。
2. 為實現校內用戶通過公網IP地址和80端口訪問Web Server的需求，除配置虛擬服務器外還需要保證校內用戶訪問Web Server和Web Server應答的報文均經過USG，禁止校內用戶不經過USG而直接訪問Web Server。
· PC訪問Web Server的流量必須經過設備，這需要通過將PC的缺省網關設置為設備內網接口的IP來實現。同時，不能將Web服務器的實際IP地址告知內網用戶。
· Web Server回應給PC的流量的必須經過設備，這需要通過將PC訪問服務器的流量的源地址轉換為公網地址來實現。這樣服務器會認為訪問流量來自外網，回應報文就發給設備，由設備進行轉發，而不會由交換機直接轉發。
域內NAT配置的菜單路徑為：“防火墻 > NAT > 源NAT”。

操作步驟

1. 配置接口基本參數。
a. 選擇“網絡 > 接口 > 接口”。
b. 在“接口列表”中單擊GE0/0/3對應的。
c. 配置接口GigabitEthernet 0/0/3。
GigabitEthernet 0/0/3的相關參數如下，其他參數使用默認值：
· 安全區域：trust
· 模式：路由
· 連接類型：靜態IP
· IP地址：10.1.1.1
· 子網掩碼：255.255.255.0
d. 單擊“應用”。
2. 配置域間安全策略，以保證網絡基本通信正常。具體步驟略。
3. 配置虛擬服務器。
a. 選擇“防火墻 > NAT > 目的NAT”，單擊“虛擬服務器”頁簽。
b. 在“虛擬服務器列表”列表中單擊，參數配置如圖7-95所示。
圖7-95  配置虛擬服務器  c. 單擊“應用”。
 說明：
在校內用戶PC上和Web Server上均需要配置到達外部網絡（200.10.10.0/24）的路由，下一跳為10.1.1.1。
4. 配置NAT地址池。
a. 選擇“防火墻 > NAT > 源NAT”。
b. 選擇“NAT地址池”頁簽。
c. 在“NAT地址池列表”中單擊，參數配置如圖7-96所示。
圖7-96  配置NAT地址池  d. 單擊“應用”。
5. 配置域內NAT。
a. 選擇“源NAT”頁簽。
b. 在“源NAT策略列表”中單擊，參數配置如圖7-97所示。
圖7-97  配置源NAT  c. 單擊“應用”。

結果驗證

校內用戶（以10.1.1.5為例）可以通過公網IP地址200.10.10.2訪問Web Server。選擇“防火墻 > 監控 > 會話表”，查看會話表如圖7-98所示。
圖7-98  結果驗證  以上文章由北京艾銻無限科技發展有限公司整理