網絡運維|防火墻的NAT典型應用案例

2020-06-02 21:09 作者：admin 瀏覽量：

大家好，我是一枚從事IT外包的網絡安全運維工程師，今天和大家分享的是網絡安全設備維護相關的內容，在這里介紹下防火墻NAT的應用場景。簡單網絡安全運維，從Web管理輕松學起,一步一步學成網絡安全運維大神。
網絡維護是一種日常維護，包括網絡設備管理(如計算機，服務器)、操作系統維護(系統打補丁，系統升級)、網絡安全(病毒防范)等。+
北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務，北京網絡維修信息查詢，同時您可以免費資訊北京網絡維護，北京網絡維護服務，北京網絡維修信息。專業的北京網絡維護信息就在北京艾銻無限+
+
北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息

外網訪問服務器的源NAT+虛擬服務器

可以通過配置源NAT+虛擬服務器來簡化服務器對外提供服務時的回程路由配置。

組網需求

如圖7-99所示，某企業內部網絡的兩個安全區域通過USG連接，其中DMZ區域部署了一臺FTP Server供Untrust區域用戶訪問。FTP Server的實際IP地址為10.1.1.2，對外公布的地址為200.10.10.1，端口號均為缺省值21。由于外網環境復雜，不方便在服務器上設置回程路由，所以通過配置NAT Inbound，使服務器缺省將回應報文發給USG，以完成回應報文的正常轉發。
圖  配置Inbound方向的NAT組網圖 

項目	數據
(1)	接口號：GigabitEthernet 0/0/3 IP地址：10.1.1.1/24 安全區域：DMZ
(2)	接口號：GigabitEthernet 0/0/4 IP地址：200.10.10.1/24 安全區域：Untrust
NAT地址池	地址池名稱：addresspool1 IP地址范圍：10.1.1.5～10.1.1.10
FTP Server	內部地址：10.1.1.2 內部端口：21 外部地址：200.10.10.1 外部端口：21

配置思路

配置源NAT時需要根據目的地址來匹配，目的地址為FTP Server的公網IP地址。且地址池中的地址需與FTP Server的實際IP地址在同一網段。
源NAT配置的菜單路徑為：“防火墻 > NAT > 源NAT”。
虛擬服務器配置的菜單路徑為：“防火墻 > NAT > 目的NAT > 虛擬服務器”。

操作步驟

1. 配置接口基本參數。
a. 選擇“網絡 > 接口 > 接口”。
b. 在“接口列表”中單擊GE0/0/3對應的。
c. 配置接口GigabitEthernet 0/0/3。
GigabitEthernet 0/0/3的相關參數如下，其他參數使用默認值：
· 安全區域：dmz
· 模式：路由
· 連接類型：靜態IP
· IP地址：10.1.1.1
· 子網掩碼：255.255.255.0
d. 單擊“應用”。
e. 重復上述步驟配置接口GigabitEthernet 0/0/4。
GigabitEthernet 0/0/4的相關參數如下，其他參數使用默認值：
· 安全區域：untrust
· 模式：路由
· 連接類型：靜態IP
· IP地址：200.10.10.1
· 子網掩碼：255.255.255.0
2. 對于USG系列，配置域間包過濾，以保證網絡基本通信正常。對于USG BSR/HSR系列，不需要執行此步驟。
a. 選擇“防火墻 > 安全策略 > 轉發策略”。
b. 選擇“轉發策略”頁簽。
c. 在“轉發策略列表”中單擊。參數配置如圖7-100所示。
圖7-100  配置允許Untrust安全區域用戶訪問FTP Server的FTP服務  3. 配置虛擬服務器，將FTP服務器私網地址10.1.1.2映射為公網地址200.10.10.1。
a. 選擇“防火墻 > NAT > 目的NAT”，單擊“虛擬服務器”頁簽。
b. 在“虛擬服務器列表”中單擊。
虛擬服務器的參數配置如圖7-101所示。
圖7-101  配置虛擬服務器  c. 單擊“應用”。
4. 配置NAT地址池。
 說明：
該地址池需要與FTP Server在同一網段，且其中的地址不被其他內網主機所使用。
a. 選擇“防火墻 > NAT > 源NAT”。
b. 選擇“NAT地址池”頁簽。
c. 在“NAT地址池列表”中單擊，NAT地址池的參數配置如圖7-102所示。
圖7-102  配置NAT地址池  d. 單擊“應用”。
5. 配置源NAT。
 說明：
此處配置的源NAT是指對訪問目的地址為10.1.1.2的報文源地址轉換。
a. 選擇“源NAT”頁簽。
b. 在“源NAT策略列表”列表中單擊，源NAT的參數配置如圖7-103所示。
圖7-103  配置源NAT  c. 單擊“應用”。

結果驗證

Untrust安全區域的用戶（以200.10.10.2為例）可以正常訪問FTP Server的FTP服務，選擇“防火墻 > 監控> 會話表”，查看會話表詳細信息如圖7-104所示。
圖7-104  結果驗證 

 

以上文章由北京艾銻無限科技發展有限公司整理