防火墙NAT策略
NAT概述:
NAT技术是用解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术。
NAT分类:
在内网的边界,流量有出,入两个方向,所以NAT技术包含源地址转换目标地址两类。一般情况下,源地址转换主要用于解决内部局域网计算机访问Internet的场景;而目标地址转换主要用于解决Internet用户访问局域网服务器的场景,目标地址通常被称为服务器地址映射。
华为支持的源地址转换方式有:
NAT NO-PAT:动态转换,只转换源IP地址,不转换端口,属于多对多转换,这种方式不能有效的节约公网IP地址。
NAPT(Network Address and Port Translation):PAT转换,NAT即转换报文的源地址,又转换源端口,属于多对一转换,可以有效的节约IP地址。
出接口地址(Easy-IP):因其转换方式简单,所以称为Easy-IP,和NAPT一样,既可以转发接口所配的IP地址,又可以转发源端口。
Smart NAT(智能转换):通过预留一个公网地址进行NAPT转换,而其他的公网地址用来进行NAT NO-PAT转换。
三元组NAT:与源IP地址,源端口和协议类型有关的一种转换,将源IP地址和端口转换为固定公网IP地址和端口,能够解决一些特殊应用在普通NAT中五法实现的问题。
NAT对报文的处理流程:
防火墙接口从收到一个报文到最终发送出去需要经历一系列处理,而NAT只是其中的一项任务,NAT的配置受到路由及安全策略的影响。这里需要重点去了解NAT对报文的处理流程。
NAT处理报文流程如下:
防火墙收到报文后,首先检查报文是否匹配Server-map中的条目,如果是,则根据表项转换报文的目标地址,然后根据报文的目标地址查找路由表,如果存在路由表,便依次匹配安全策略中的规则,如果策略允许报文通过,则去查找是否存在源NAT的相关配置及是否符合NAT条件,如果是,则准换源地址后,在发送报文之前创建会话,后续和返回的报文可以直接匹配会话表转发。最后防火墙发送报文。
NAT NO-PAT实例演示:
配置命令:
配置默认路由
配置安全策略
配置内网接口为trust区域
配置外网接口为untrust区域
配置NA地址组,地址组中的IP地址对应公网地
指定地址组的模式
配置NAT策略:
针对转换后的全局地址,配置黑洞路由:
这里呢实验就完事了。非常好理解。那么我们再看下一条。
NAPT实例演示:
配置命令:
R1的配置:
FW1的配置:
配置安全策略
配置NAT地址组,地址组中的地址对应的是公网地址。
配置NAT策略:
有了前面的基础也非常的简单。