网工干货知识

网工技术实战
当前位置:首页 > 干货知识

防火墙NAT配置案例

更新时间:2021年11月04日   作者:spoto   标签(Tag):

1、了解双向NAT

双向NAT指的是在转换过程中同时转换报文的源信息和目的信息。双向NAT不是一个单独的功能,而是源NAT和目的NAT的组合。双向NAT是针对同一条流,在其经过防火墙时同时转换报文的源地址和目的地址。双向NAT主要应用在以下两个场景。
 

外网用户访问内部服务器

外网用户访问内部服务器

 

私网用户访问内部服务器

私网用户访问内部服务器

 

2、配置案例

某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了IP地址(1.1.10.10,1.1.10.11)作为内网服务器对外提供服务的地址。同时,为了简化内部服务器的回程路由配置,通过配置源NAT策略,使内部服务器缺省将回应报文发给FW。网络环境如图1所示,其中Router是ISP提供的接入网关。

源NAT+目的NAT组网图


FW的配置脚本:
#
sysname FW
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 10.2.0.1 255.255.255.0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/2
#
firewall interzone dmz untrust
detect ftp
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
ip route-static 1.1.10.10 255.255.255.255 NULL0
ip route-static 1.1.10.11 255.255.255.255 NULL0
#
nat address-group addressgroup1 0
mode pat
route enable
section 0 10.2.0.10 10.2.0.15
#
destination-nat address-group addressgroup2 0
section 10.2.0.7 10.2.0.8
#
security-policy
rule name policy1
source-zone untrust
destination-zone dmz
destination-address 10.2.0.0 24
action permit
#
nat-policy
rule name policy_nat1
source-zone untrust
destination-address range 1.1.10.10 1.1.10.11
service http
service ftp
action source-nat address-group addressgroup1
action destination-nat static address-to-address address-group addressgroup2
#
return

 

 

 

二、配置NAT Server

双出口环境下公网用户通过NAT Server访问内部服务器配置案例:

 

 

 

1、组网需求

如图1所示,某公司在网络边界处部署了FW作为安全网关,通过两个ISP接入Internet。为了使私网FTP服务器能够对外提供服务,需要在FW上配置指定zone参数的NAT Server功能。除了公网接口的IP地址外,公司还向ISP1和ISP2分别申请了1.1.1.10和2.2.2.10作为内网服务器对外提供服务的地址。网络环境如图1所示,其中Router是ISP1和ISP2提供的接入网关。

 

Router是ISP1和ISP2提供的接入网关

2、配置思路

配置接口IP地址和安全区域,完成网络基本参数配置。
配置安全策略,允许外部网络用户访问内部服务器。
配置NAT Server。
在GigabitEthernet 1/0/1和GigabitEthernet 1/0/7上配置源进源出功能和默认网关。

 

 

 

3、配置脚本

#
sysname FW
#
nat server policy_ftp1 0 zone untrust1 protocol tcp global 1.1.1.10 ftp inside 10.2.0.8 ftp no-reverse unr-route
nat server policy_ftp2 1 zone untrust2 protocol tcp global 2.2.2.10 ftp inside 10.2.0.8 ftp no-reverse unr-route
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 1.1.1.1 255.255.255.0
redirect-reverse next-hop 1.1.1.254
gateway 1.1.1.254
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 10.2.0.1 255.255.255.0
#
interface GigabitEthernet1/0/7
undo shutdown
ip address 2.2.2.2 255.255.255.0
redirect-reverse next-hop 2.2.2.254
gateway 2.2.2.254
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/2
#
firewall zone name untrust1 id 4
set priority 10
add interface GigabitEthernet1/0/1
#
firewall zone name untrust2 id 5
set priority 20
add interface GigabitEthernet1/0/7
#
firewall interzone dmz untrust1
detect ftp
#
firewall interzone dmz untrust2
detect ftp
#
security-policy
rule name policy1
source-zone untrust1
source-zone untrust2
destination-zone dmz
destination-address 10.2.0.0 24
action permit
#
return
 

 

 

 马上抢免费试听资格
意向课程: *必选
姓名: *必填
联系方式: *必填
QQ:
思博SPOTO在线咨询

相关资讯

7天无条件退款
24小时实验室开放
全程跟踪服务
无条件免费重读

即刻预约

免费试听-咨询课程-获取免费资料

思博网络SPOTO新活动