防火墙如何处理nat(公网用户访问私网内部服务器)

这篇具有很好参考价值的文章主要介绍了防火墙如何处理nat(公网用户访问私网内部服务器)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

公网用户访问私网内部服务器

通过NAT Server(服务器映射)功能,可以实现外部网络用户通过公网地址访问私网内部服务器的需求。
NAT Server功能即将某个公网IP地址映射为服务器的私网IP地址。

防火墙如何处理nat(公网用户访问私网内部服务器),网络安全之防御保护,服务器,运维,网络安全,huawei

  • 通过NAT Server(服务器映射)功能,可以实现外部网络用户通过公网地址访问私网内部服务器的需求。
  • 学校或公司会提供Web、FTP等服务供公网中的用户访问,服务器一般部署在私网,通过服务器映射功能使公网用户可以访问到这些位于私网的服务器。
  • 如图所示,FW提供服务器映射功能,将某个公网IP地址映射为服务器的私网IP地址,相当于为外部网络提供一个“接口”,使外部网络的用户可以通过该公网IP地址来访问私网内部服务器。

NAT Server

NAT Server提供了公网地址和私网地址的静态映射关系。
在进行地址映射的过程中可以选择是否允许端口转换。

防火墙如何处理nat(公网用户访问私网内部服务器),网络安全之防御保护,服务器,运维,网络安全,huawei

  • 通常情况下,出于安全的考虑,不允许外部网络主动访问内部网络。但是在某些情况下,还是希望能够为外部网络访问内部网络提供一种途径。例如,公司需要将内部网络中的资源提供给外部网络中的客户和出差员工访问。NAT Server也称静态映射,是一种转换报文目的IP地址的方式,它提供了公网地址和私网地址的映射关系,将报文中的公网地址转换为与之对应的私网地址。
  • 在使用NAT Server功能时,外网的用户向内部服务器主动发起访问请求,该用户的IP地址和端口号都是不确定的,唯一可以确定的是内部服务器的IP地址和所提供服务的端口号。所以在配置NAT Server成功后,设备会自动生成Server-map表项,用于存放Globle地址与Inside地址的映射关系。设备根据这种映射关系对报文的地址进行转换并转发。每个生效的NAT Server都会生成正反方向两个静态的Server-map。该表项将一直存在除非静态映射的配置被删除。
  • 在FW上配置NAT Server,确定公网地址和私网地址的映射关系。配置完成后,FW将会自动生成Server-Map表项,用于存放公网地址和私网地址的映射关系。
  • 如图所示,当Host访问Server时,FW的处理过程如下:
    • FW收到Internet上用户访问1.1.1.10的报文的首包后,查找并匹配到Server-Map表项,将报文的目的IP地址转换为192.168.1.2。
    • FW根据目的IP地址判断报文需要在Untrust区域和DMZ区域之间流动,通过域间安全策略检查后建立会话表,然后将报文发送至Intranet。
    • FW收到Server响应Host的报文后,通过查找会话表匹配到上一步骤中建立的表项,将报文的源地址替换为1.1.1.10,然后将报文发送至Internet。
    • 后续Host继续发送给Server的报文,FW都会直接根据会话表项的记录对其进行转换,而不会再去查找Server-map表项。
  • 另外,FW在进行地址映射的过程中还可以选择是否允许端口转换,是否允许服务器采用公网地址上网,以满足不同场景的需求。

NAT Server配置思路

某公司在网络边界处部署了NGFW作为安全网关。为了使私网Web服务器能够对外提供服务,需要在NGFW上配置服务器静态映射功能。除了公网接口的IP地址外,公司还向ISP申请了一个IP地址(1.1.1.10)作为内网服务器对外提供服务的地址。网络环境如图所示,其中Router是ISP提供的接入网关。

防火墙如何处理nat(公网用户访问私网内部服务器),网络安全之防御保护,服务器,运维,网络安全,huawei

配置思路

  1. 配置接口IP地址和安全区域,完成网络基本参数配置。
  2. 配置安全策略,允许外部网络用户访问内部服务器。
  3. 配置服务器映射功能,创建静态映射,映射内网Web服务器。
  4. 在NGFW上配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
  5. 在NGFW上配置黑洞路由,避免NGFW与Router之间产生路由环路。
  6. 在Router上配置到服务器映射的公网地址的静态路由。

规划

防火墙如何处理nat(公网用户访问私网内部服务器),网络安全之防御保护,服务器,运维,网络安全,huawei文章来源地址https://www.toymoban.com/news/detail-814659.html

NAT Server配置

  • 对于同一个内部服务器发布多个公网IP供外部网络访问的场景,如果不同公网IP所在的链路规划在不同的安全区域,可以通过配置针对不同的安全区域发布不同的公网IP的NAT Server来实现。如果不同公网IP所在的链路规划在同一个安全区域,可以通过配置指定no-reverse参数的NAT Server来实现。指定no-reverse参数后,可以配置多个global地址和同一个inside地址建立映射关系。
  • 另外,指定no-reverse参数后,设备生成的Server-map表只有正方向,内部服务器主动访问外部网络时,设备无法将内部服务器的私网地址转换成公网地址,内部服务器也就无法主动向外发起连接。因此,通过指定no-reverse参数可以禁止内部服务器主动访问外部网络。
    防火墙如何处理nat(公网用户访问私网内部服务器),网络安全之防御保护,服务器,运维,网络安全,huawei

配置接口IP地址并将接口加入相应安全区域

interface GigabitEthernet1/0/1
 ip address 1.1.1.1 255.255.255.0 
#
interface GigabitEthernet1/0/2
 ip address 10.2.0.1 255.255.255.0 
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/2 

配置安全策略

security-policy   
  rule name policy_sec_1  
    source-zone untrust 
    destination-zone dmz 
    destination-address 10.2.0.0 24 
    action permit 

配置服务器映射

#
nat server policy_nat_web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www no-reverse 
#


配置缺省路由

ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

配置黑洞路由

ip route-static 1.1.1.10 255.255.255.255 NULL0

到了这里,关于防火墙如何处理nat(公网用户访问私网内部服务器)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 防火墙NAT

    1.防火墙支持那些NAT技术,主要应用场景是什么? 防火墙NAT技术简介: NAT是一种地址转换技术,可以将IPv4报文头种的地址转换为另一个地址。通常情况下,利用NAT技术将IPV4报文头中的私网地址转换为公网地址,可以实现位于私网的多个用户使用少量的公司地址同时访问Int

    2024年02月05日
    浏览(56)
  • iptables防火墙-NAT

    工作在网络层和传输层,实现地址重写,实现端口重写     作用:①隐藏本地网路中主机地址                 ②节约IP地址的使用 分为DNAT和SNAT(互相对应的,需要查找NAT会话表)    SNAT:只是修改请求报文的源地址(为了隐藏真实服务器的IP地址)    DNAT:只是修改请

    2024年04月16日
    浏览(57)
  • ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】

    注:所有的通信使用静态路由来保证。 HQ: Partner Branch HQ Partner Branch HQ Partner HQ Branch HQ Branch HQ HQ Partner Branch 注:此为FTP服务器设置 注:客户端Client3成功访问FTP服务器的截图 注:通过抓包抓取FTP的流量(筛选ftp),可以看到有多个ftp的包,点开其中一个流量,可以清晰看到

    2023年04月08日
    浏览(38)
  • 华为防火墙地址转换技术(NAT)

    281、NAT理论 私网地址不能再公网上路由,NAT的功能主要就是将私网地址在往外转发的过程中,将私网地址转换成为公网地址; 282、PAT:端口多路复用,可以将多个私网地址转换成为一个公网IP地址上网 283、工作原理:私网地址想要出外网,会将自己的源IP地址、目的IP地址、

    2024年02月06日
    浏览(42)
  • 华三防火墙NAT配置CLI

    如图所示,有两种NAT的配置方式,一种是基于对象组,另一种是传统的ACL,其实两者并没有什么十分大的区别,对象组是人为的预先定义地址组,然后在配置NAT策略的时候通过调用地址组来完成的,这种方式对于那种简单的网络,临时的策略来说有点麻烦,但是如果是需要配

    2024年02月05日
    浏览(44)
  • 防火墙之部署服务器NAT

    NAT(Network Address Translation),是指网络地址转换,1994年提出的。 当在 专用网 内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。 这种方法需要在专用网(私网IP)连接到因

    2024年02月08日
    浏览(44)
  • 华为ensp防火墙nat64案例配置

    不得不说csdn中关于nat64的案例配置没有几个详细,要么照抄,要么搬运~ 今天也敲个做了一单nat64的小实验,实话实说这种需求的题平时遇见的也少,今天跟大家详细的分析以下。 场景很简单,黄色区域为v6内网,蓝色区域为v4外网,实现pc1通过nat64技术访问服务器1  不多BB,

    2024年02月16日
    浏览(46)
  • H3C防火墙NAT配置

                                              静态NAT配置 动态NAT配置(NO-PAT) NAT配置(PAT) 步骤一:进行端口IP设置 步骤二:进行访问策略的添加以及策略的设置 步骤三:开启端口NAT转换 步骤四:测试ping下外网IP 步骤五:查看是否生成NAT会话表 步骤1-3与上述相同 步骤

    2024年02月13日
    浏览(41)
  • cisco ASA防火墙NAT/PAT详解

    一、NAT/PAT基本需求 需求1 :LAN1 、LAN2 、DMZ 都能上internet 需求2 :LAN1 、 LAN2 、 DMZ 中服务器对外提供web 服务 需求3 :LAN1 、 LAN2 、 DMZ 中主机能够使用公网地址访问各自区的web 服务器 需求4:各区主机可以使用公网地址访问其他区内的web服务器 二、实现方式 1、需求1的实现

    2024年02月07日
    浏览(57)
  • 华为防火墙nat(easy-ip)实验

    目的:         掌握在防火墙上配置源NAT的方法,使内网用户可以通过NAT技术访问外网资源,节省公网IP地址,增强网络安全性。 需求: 办公网内网(trust)可以访问生产服务器(dmz)和外网client2(untrust)。 client2可以访问生产服务器,但不可以访问办公网。 生产服务器不能

    2024年02月09日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包