讲师中心 微信公众号
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机游戏
最近更新
当前位置:首页 > 运维 > 安全 >

正文

0

0

如何实现防火墙NAT控制分析

王林

王林

发布时间:2023-05-28 13:04:13

|

1951人浏览过

|

来源于亿速云

转载

一。nat分类
nat no-pat:类似于cisco的动态转换,只转化源ip地址,网络地址,不转化端口,属于多对多转换,不能节约公网ip地址,使用较少
napt:(网络地址和端口转换)类似与cisco的pat转换,napt即转换报文的源地址,又转换源端口,
出接口地址:(easy-ip)转换方式简单,和napt一样,即转换源地址又转换源端口,属于多对一转换
smart nat(智能转换):通过预留一个公网地址进行napt转换
三元组nat:与源ip地址,源du端口和协议类型有关的一种转换
二,黑洞路由
源地址转换场景下的环路和无效arp问题
如何实现防火墙nat控制分析
如何实现防火墙nat控制分析
三,server-map表
通过server-map表解决ftp数据传输问题
如何实现防火墙nat控制分析
会话表记录的是连接信息,包括连接状态
如何实现防火墙nat控制分析
server-map在nat中的应用
如何实现防火墙nat控制分析
如何实现防火墙nat控制分析
正向条目携带端口信息,用来使外部用户访问202.96.1.10时直接通过server-map表进行目标地址转换
反向条目不携带端口信息,且目标地址时任意的,用来使服务器可以访问互联网前提是必须是tcp协议,
四,nat对报文的处理流程
如何实现防火墙nat控制分析
nat配置(三种方法)
如何实现防火墙nat控制分析
(1)nat no-pat
如何实现防火墙nat控制分析
走一条默认路由
配置安全策略
如何实现防火墙nat控制分析
配置nat地址组,地址组中,地址对应的是公网ip
如何实现防火墙nat控制分析
配置nat策略
如何实现防火墙nat控制分析
针对转换后的全局地址(nat地址组中的地址)配置黑洞路由
如何实现防火墙nat控制分析
验证nat配置,用pc1可以ping外网的pc2,可以查看会话表![]如何实现防火墙nat控制分析
三个红框表示为源地址,转化的地址,访问的地址
也可以查看server-map表
如何实现防火墙nat控制分析
如何实现防火墙nat控制分析

(2)NAPT的配置
还是上面的图,重做NAPT
配置IP
如何实现防火墙NAT控制分析
如何实现防火墙NAT控制分析
配置安全策略
如何实现防火墙NAT控制分析
配置NAT地址组,地址组中对应的是公网IP
如何实现防火墙NAT控制分析
配置NAT策略
如何实现防火墙NAT控制分析
配置路由黑洞
如何实现防火墙NAT控制分析
验证结果用PC1ping外网PC2
如何实现防火墙NAT控制分析
如何实现防火墙NAT控制分析
(3)出接口地址(Easy-IP)就是用R1路由器的g0/0/1的接口去访问PC2(重新配置)
配置IP
如何实现防火墙NAT控制分析
如何实现防火墙NAT控制分析
配置安全策略
如何实现防火墙NAT控制分析
配置NAT策略
如何实现防火墙NAT控制分析
验证可以发现,都是转换的R1路由器g0/0/1接口IP去访问的
如何实现防火墙NAT控制分析
五,综合案例
要求:

  1. 财务主机通过no-pat访问internet(使用100.2.2.10-11)

  2. 学术部主机通过napt访问internet(使用100.2.2.12)

    KAIZAN.ai
    KAIZAN.ai

    使用AI来改善客户服体验,提高忠诚度

    下载

  3. 公司其它部门通过g1/0/0访问internet

  4. 配置natserver发布dmz中的服务器(使用100.2.2.9)
    如何实现防火墙NAT控制分析
    一、财务主机通过no-pat访问internet
    1.配置网络参数及路由
    [USG6000V1]  int g1/0/2
    [USG6000V1-GigabitEthernet1/0/2] ip add 192.168.1.1 24
    [USG6000V1-GigabitEthernet1/0/2] undo sh
    Info: Interface GigabitEthernet1/0/2 is not shutdown.
    [USG6000V1-GigabitEthernet1/0/2] quit
    [USG6000V1] int g1/0/0
    [USG6000V1-GigabitEthernet1/0/0] ip add 100.1.1.2 30
    [USG6000V1-GigabitEthernet1/0/0] undo sh
    [USG6000V1-GigabitEthernet1/0/0] quit
    [USG6000V1] i proute-static  0.0.0.0 0.0.0.0 100.1.1.1
    2.配置安全策略
    [USG6000V1] firewall zone trust
    [USG6000V1-zone-trust] add int  g1/0/2
    [USG6000V1-zone-trust] quit
    [USG6000V1] firewall zone untrust
    [USG6000V1-zone-untrust] add int g1/0/0
    [USG6000V1-zone-untrust] quit
    [USG6000V1] security-policy
    [USG6000V1-policy-security] rule name sec_1
    [USG6000V1-policy-security-rule-sec_1] source-address 192.168.1.0 24
    [USG6000V1-policy-security-rule-sec_1] destination-zone untrust
    [USG6000V1-policy-security-rule-sec_1] action permit
    3.配置nat地址组,地址池中的地址对应的是公网地址
    [USG6000V1-policy-security] quit
    [USG6000V1] nat address-group  natgroup
    [USG6000V1-address-group-natgroup] section 0 100.2.2.10 100.2.2.11
    [USG6000V1-address-group-natgroup] mode no-pat local
    [USG6000V1-address-group-natgroup]
    4.配置nat策略
    [USG6000V1] nat-policy
    [USG6000V1-policy-nat] rule name natpolicy
    [USG6000V1-policy-nat-rule-natpolicy] source-address 192.168.1.0 24
    [USG6000V1-policy-nat-rule-natpolicy] destination-zone untrust
    [USG6000V1-policy-nat-rule-natpolicy] action nat address-group natgroup                                    
    [USG6000V1-policy-nat-rule-natpolicy] quit
    [USG6000V1-policy-nat] quit
    5.针对转换后的全局地址配置黑洞路由
    [USG6000V1] ip route-static 100.2.2.10 32 null 0
    [USG6000V1] ip route-static 100.2.2.11 32 null 0
    6.配置r1(isp)
    sys
    Enter system view, return user view with Ctrl+Z.
    [Huawei] sysname r1
    [r1] undo info ena
    [r1] int g0/0/0
    [r1-GigabitEthernet0/0/0] ip add 100.1.1.1 30
    [r1-GigabitEthernet0/0/0] int g0/0/1
    [r1-GigabitEthernet0/0/1] ip add 200.1.1.1 24
    [r1-GigabitEthernet0/0/1] undo sh
    [r1-GigabitEthernet0/0/1] quit
    [r1]  ip route-static 100.2.2.8 29 100.1.1.2
    7.测试:从财务客户机上访问internet服务器
    如何实现防火墙NAT控制分析
    二、学术部主机通过napt访问internet(使用100.2.2.12)
    1.配置网络参数
    [USG6000V1] int g1/0/3
    [USG6000V1-GigabitEthernet1/0/3] ip add 192.168.2.1 24
    [USG6000V1-GigabitEthernet1/0/3] quit
    [USG6000V1] firewall zone trust
    [USG6000V1-zone-trust] add int g1/0/3
    [USG6000V1-zone-trust]q uit
    2.配置安全策略
    [USG6000V1] security-policy
    [USG6000V1-policy-security-rule-sec_2] source-address 192.168.2.0 24
    [USG6000V1-policy-security-rule-sec_2] destination-zone untrust
    [USG6000V1-policy-security-rule-sec_2] action permit
    [USG6000V1-policy-security-rule-sec_2] quit
    3.配置nat地址组
    [USG6000V1] nat address-group natgroup_2.0
    [USG6000V1-address-group-natgroup_2.0] section 0 100.2.2.12 100.2.2.12
    [USG6000V1-address-group-natgroup_2.0] mode pat
    [USG6000V1-address-group-natgroup_2.0] quit
    4.配置nat策略
    [USG6000V1] nat-policy
    [USG6000V1-policy-nat] rule name natpolicy_2.0
    [USG6000V1-policy-nat-rule-natpolicy_2.0] source-address 192.168.2.0 24
    [USG6000V1-policy-nat-rule-natpolicy_2.0] destination-zone untrust
    [USG6000V1-policy-nat-rule-natpolicy_2.0] action nat address-group natgroup_2.0
    [USG6000V1-policy-nat-rule-natpolicy_2.0] quit
    [USG6000V1-policy-nat] quit
    5.针对转换后的全局地址,配置黑洞路由
    [USG6000V1] ip route-static  100.2.2.12 32 null 0
    6.验证nat配置
    .如何实现防火墙NAT控制分析
    三、出接口地址(easy-ip)使公司其它部门通过g1/0/0访问internet

    1.配置网络参数
    [USG6000V1] int g1/0/4
    [USG6000V1-GigabitEthernet1/0/4] ip add 192.168.3.1 24
    [USG6000V1-GigabitEthernet1/0/4] quit
    [USG6000V1] firewall zone trust
    [USG6000V1-zone-trust] add int g1/0/4
    [USG6000V1-zone-trust]
    2.配置安全策略
    [USG6000V1] security-policy
    [USG6000V1-policy-security] rule name sec_3
    [USG6000V1-policy-security-rule-sec_3] source-address 192.168.3.0 24
    [USG6000V1-policy-security-rule-sec_3] destination-zone untrust
    [USG6000V1-policy-security-rule-sec_3] action permit
    [USG6000V1-policy-security-rule-sec_3] quit
    [USG6000V1-policy-security] quit
    3.配置nat策略
    [USG6000V1] nat-policy
    [USG6000V1-policy-nat] rule name natpolicy_3.0
    [USG6000V1-policy-nat-rule-natpolicy_3.0] source-address 192.168.3.0 24
    [USG6000V1-policy-nat-rule-natpolicy_3.0] destination-zone untrust
    [USG6000V1-policy-nat-rule-natpolicy_3.0] action nat easy-ip
    [USG6000V1-policy-nat-rule-natpolicy_3.0] quit
    [USG6000V1-policy-nat] quit
    4.验证easy-ip
    1)ping测试
    如何实现防火墙NAT控制分析
    四、配置natserver发布dmz中的服务器(使用100.2.2.9)
    1.配置网络参数
    [USG6000V1-GigabitEthernet1/0/0] int g1/0/1
    [USG6000V1-GigabitEthernet1/0/1] ip add 192.168.0.1 24
    [USG6000V1-GigabitEthernet1/0/1] quit
    [USG6000V1] firewall zone dmz
    [USG6000V1-zone-dmz] add int g1/0/1
    [USG6000V1-zone-dmz] quit
    2.配置安全策略
    [USG6000V1] security-policy
    [USG6000V1-policy-security] rule name sec_4
    [USG6000V1-policy-security-rule-sec_4] source-zone  untrust
    [USG6000V1-policy-security-rule-sec_4] destination-address 192.168.0.0 24
    [USG6000V1-policy-security-rule-sec_4] action  permit
    [USG6000V1-policy-security] quit
    3.配置ftp应用层检测(此步骤可以省略,默认已经开启)
    [USG6000V1] firewall inter trust untrust
    [USG6000V1-interzone-trust-untrust] detect ftp
    [USG6000V1-interzone-trust-untrust] quit
    4.配置nat server
    [USG6000V1] nat server natserver global 100.2.2.9 inside 192.168.0.2
    5.配置黑洞路由
    [USG6000V1] ip route-static  100.2.2.9 32 null 0
    6.验证
    1)在互联网主机上访问dmz中的服务器
    如何实现防火墙NAT控制分析

相关文章

全方位保障网络安全:网络防护墙的应用

网络安全策略的模式及应用

可信计算技术在云安全领域的应用

PC安全防范技巧及方法

如何避免DDos攻击?

相关标签:

防火墙

本站声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

上一篇:做好APP测试的8条法则是什么 下一篇:如何进行H3C_ ComwareV7_L2TP配置

作者最新文章

如何高效集成在线支付功能?Composer与iyzico/iyzipay-php助你轻松搞定!

2025-09-16 10:12

还在为Magento2慢吞吞的搜索发愁?AlgoliaSearch&Discovery助你打造闪电般的用户体验!

2025-09-16 10:34

如何解决电商库存管理混乱难题?Spryker/Stock模块助你轻松搞定!

2025-09-16 11:12

快速上手夸克浏览器AI搜索_夸克AI搜索保姆级图文教程

2025-10-14 20:48

夸克浏览器AI搜索无法使用_解决夸克AI搜索问题的有效方法

2025-10-15 14:04

夸克浏览器AI搜索设置教程_夸克AI搜索功能详细开启步骤

2025-10-18 13:32

夸克浏览器AI搜索结果不准_优化夸克AI搜索设置的技巧

2025-10-26 10:58

微信朋友圈定时发送神器 微信自动发朋友圈软件推荐与使用

2026-01-04 12:22

抖音火山版免费下载电脑版 抖音火山版电脑版免费下载入口

2026-01-04 14:33

必应搜索怎样结合演员名找其主演电视剧_必应搜索用演员搜剧技巧【精要】

2026-01-07 17:31

热门AI工具

更多
DeepSeek

DeepSeek

幻方量化公司旗下的开源大模型平台

AI大模型

开放平台
豆包大模型

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI大模型
通义千问

通义千问

阿里巴巴推出的全能AI助手

AI大模型
腾讯元宝

腾讯元宝

腾讯混元平台推出的AI助手

文档处理

Excel 表格
文心一言

文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

AI大模型

中文写作
讯飞写作

讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

中文写作

写作工具
即梦AI

即梦AI

一站式AI创作平台,免费AI图片和视频生成。

图片拼接

图画生成
ChatGPT

ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI大模型

中文写作
智谱清言 - 免费全能的AI助手

智谱清言 - 免费全能的AI助手

智谱清言 - 免费全能的AI助手

AI大模型

PDF 文档

相关专题

更多
C++ 单元测试与代码质量保障
C++ 单元测试与代码质量保障

本专题系统讲解 C++ 在单元测试与代码质量保障方面的实战方法,包括测试驱动开发理念、Google Test/Google Mock 的使用、测试用例设计、边界条件验证、持续集成中的自动化测试流程,以及常见代码质量问题的发现与修复。通过工程化示例,帮助开发者建立 可测试、可维护、高质量的 C++ 项目体系。

3

2026.01.16

java数据库连接教程大全
java数据库连接教程大全

本专题整合了java数据库连接相关教程,阅读专题下面的文章了解更多详细内容。

23

2026.01.15

Java音频处理教程汇总
Java音频处理教程汇总

本专题整合了java音频处理教程大全,阅读专题下面的文章了解更多详细内容。

7

2026.01.15

windows查看wifi密码教程大全
windows查看wifi密码教程大全

本专题整合了windows查看wifi密码教程大全,阅读专题下面的文章了解更多详细内容。

30

2026.01.15

浏览器缓存清理方法汇总
浏览器缓存清理方法汇总

本专题整合了浏览器缓存清理教程汇总,阅读专题下面的文章了解更多详细内容。

2

2026.01.15

ps图片相关教程汇总
ps图片相关教程汇总

本专题整合了ps图片设置相关教程合集,阅读专题下面的文章了解更多详细内容。

8

2026.01.15

ppt一键生成相关合集
ppt一键生成相关合集

本专题整合了ppt一键生成相关教程汇总,阅读专题下面的的文章了解更多详细内容。

3

2026.01.15

php图片上传教程汇总
php图片上传教程汇总

本专题整合了php图片上传相关教程,阅读专题下面的文章了解更多详细教程。

2

2026.01.15

phpstorm相关教程大全
phpstorm相关教程大全

本专题整合了phpstorm相关教程汇总,阅读专题下面的文章了解更多详细内容。

4

2026.01.15

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

相关下载

更多
php商城系统
淘源码商城PHP淘宝查信誉
PHP房产程序[BBWPS]
PHP简约自动发卡平台个人版
ERMEB域名PHP离线网络授权系统
Difeye-敏捷的轻量级PHP框架
大泉州汽车网PHP整站程序

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
Linux网络安全之防火墙技术汇总
Linux网络安全之防火墙技术汇总

共31课时 | 3万人学习

最新文章

更多
Mac OS 系统升级与更新注意事项
Oracle数据库故障诊断与修复技巧,快速解决问题
Oracle数据库监控与维护要点,保持系统稳定运行
Docker数据卷管理与持久化存储方案
Mac OS 性能优化技巧,让电脑运行更流畅
Docker性能监控与调优工具推荐
Docker快速入门:从安装到容器创建
CentOS安全防护体系搭建,抵御网络攻击
Apache与SSL证书结合,实现网站HTTPS加密
Apache性能监控与调优工具推荐
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部