如何实现防火墙NAT控制分析

王林

发布时间：2023-05-28 13:04:13

1951人浏览过

来源于亿速云

转载

一。nat分类
nat no-pat：类似于cisco的动态转换，只转化源ip地址，网络地址，不转化端口，属于多对多转换，不能节约公网ip地址，使用较少
napt：（网络地址和端口转换）类似与cisco的pat转换，napt即转换报文的源地址，又转换源端口，
出接口地址：（easy-ip）转换方式简单，和napt一样，即转换源地址又转换源端口，属于多对一转换
smart nat（智能转换）：通过预留一个公网地址进行napt转换
三元组nat：与源ip地址，源du端口和协议类型有关的一种转换
二，黑洞路由
源地址转换场景下的环路和无效arp问题
如何实现防火墙nat控制分析

三，server-map表
通过server-map表解决ftp数据传输问题

会话表记录的是连接信息，包括连接状态

server-map在nat中的应用

正向条目携带端口信息，用来使外部用户访问202.96.1.10时直接通过server-map表进行目标地址转换
反向条目不携带端口信息，且目标地址时任意的，用来使服务器可以访问互联网前提是必须是tcp协议，
四，nat对报文的处理流程
如何实现防火墙nat控制分析
nat配置（三种方法）

(1)nat no-pat

走一条默认路由
配置安全策略

配置nat地址组，地址组中，地址对应的是公网ip

配置nat策略

针对转换后的全局地址（nat地址组中的地址）配置黑洞路由

验证nat配置，用pc1可以ping外网的pc2，可以查看会话表![] 如何实现防火墙nat控制分析
三个红框表示为源地址，转化的地址，访问的地址
也可以查看server-map表

（2）NAPT的配置
还是上面的图，重做NAPT
配置IP
如何实现防火墙NAT控制分析

配置安全策略

配置NAT地址组，地址组中对应的是公网IP

配置NAT策略

配置路由黑洞

验证结果用PC1ping外网PC2

（3）出接口地址（Easy-IP）就是用R1路由器的g0/0/1的接口去访问PC2（重新配置）
配置IP

配置安全策略
如何实现防火墙NAT控制分析
配置NAT策略

验证可以发现，都是转换的R1路由器g0/0/1接口IP去访问的

五，综合案例
要求：

财务主机通过no-pat访问internet（使用100.2.2.10-11）
学术部主机通过napt访问internet（使用100.2.2.12）

PDFlux
PDF内容提取+智能问答神器，结合了科研级精准的非结构化文档解析能力，以及ChatGPT的智能问答能力。

下载
公司其它部门通过g1/0/0访问internet
配置natserver发布dmz中的服务器（使用100.2.2.9）

一、财务主机通过no-pat访问internet
1.配置网络参数及路由
[USG6000V1] int g1/0/2
[USG6000V1-GigabitEthernet1/0/2] ip add 192.168.1.1 24
[USG6000V1-GigabitEthernet1/0/2] undo sh
Info: Interface GigabitEthernet1/0/2 is not shutdown.
[USG6000V1-GigabitEthernet1/0/2] quit
[USG6000V1] int g1/0/0
[USG6000V1-GigabitEthernet1/0/0] ip add 100.1.1.2 30
[USG6000V1-GigabitEthernet1/0/0] undo sh
[USG6000V1-GigabitEthernet1/0/0] quit
[USG6000V1] i proute-static 0.0.0.0 0.0.0.0 100.1.1.1
2.配置安全策略
[USG6000V1] firewall zone trust
[USG6000V1-zone-trust] add int g1/0/2
[USG6000V1-zone-trust] quit
[USG6000V1] firewall zone untrust
[USG6000V1-zone-untrust] add int g1/0/0
[USG6000V1-zone-untrust] quit
[USG6000V1] security-policy
[USG6000V1-policy-security] rule name sec_1
[USG6000V1-policy-security-rule-sec_1] source-address 192.168.1.0 24
[USG6000V1-policy-security-rule-sec_1] destination-zone untrust
[USG6000V1-policy-security-rule-sec_1] action permit
3.配置nat地址组，地址池中的地址对应的是公网地址
[USG6000V1-policy-security] quit
[USG6000V1] nat address-group natgroup
[USG6000V1-address-group-natgroup] section 0 100.2.2.10 100.2.2.11
[USG6000V1-address-group-natgroup] mode no-pat local
[USG6000V1-address-group-natgroup]
4.配置nat策略
[USG6000V1] nat-policy
[USG6000V1-policy-nat] rule name natpolicy
[USG6000V1-policy-nat-rule-natpolicy] source-address 192.168.1.0 24
[USG6000V1-policy-nat-rule-natpolicy] destination-zone untrust
[USG6000V1-policy-nat-rule-natpolicy] action nat address-group natgroup
[USG6000V1-policy-nat-rule-natpolicy] quit
[USG6000V1-policy-nat] quit
5.针对转换后的全局地址配置黑洞路由
[USG6000V1] ip route-static 100.2.2.10 32 null 0
[USG6000V1] ip route-static 100.2.2.11 32 null 0
6.配置r1（isp）
sys
Enter system view, return user view with Ctrl+Z.
[Huawei] sysname r1
[r1] undo info ena
[r1] int g0/0/0
[r1-GigabitEthernet0/0/0] ip add 100.1.1.1 30
[r1-GigabitEthernet0/0/0] int g0/0/1
[r1-GigabitEthernet0/0/1] ip add 200.1.1.1 24
[r1-GigabitEthernet0/0/1] undo sh
[r1-GigabitEthernet0/0/1] quit
[r1] ip route-static 100.2.2.8 29 100.1.1.2
7.测试：从财务客户机上访问internet服务器

二、学术部主机通过napt访问internet（使用100.2.2.12）
1.配置网络参数
[USG6000V1] int g1/0/3
[USG6000V1-GigabitEthernet1/0/3] ip add 192.168.2.1 24
[USG6000V1-GigabitEthernet1/0/3] quit
[USG6000V1] firewall zone trust
[USG6000V1-zone-trust] add int g1/0/3
[USG6000V1-zone-trust]q uit
2.配置安全策略
[USG6000V1] security-policy
[USG6000V1-policy-security-rule-sec_2] source-address 192.168.2.0 24
[USG6000V1-policy-security-rule-sec_2] destination-zone untrust
[USG6000V1-policy-security-rule-sec_2] action permit
[USG6000V1-policy-security-rule-sec_2] quit
3.配置nat地址组
[USG6000V1] nat address-group natgroup_2.0
[USG6000V1-address-group-natgroup_2.0] section 0 100.2.2.12 100.2.2.12
[USG6000V1-address-group-natgroup_2.0] mode pat
[USG6000V1-address-group-natgroup_2.0] quit
4.配置nat策略
[USG6000V1] nat-policy
[USG6000V1-policy-nat] rule name natpolicy_2.0
[USG6000V1-policy-nat-rule-natpolicy_2.0] source-address 192.168.2.0 24
[USG6000V1-policy-nat-rule-natpolicy_2.0] destination-zone untrust
[USG6000V1-policy-nat-rule-natpolicy_2.0] action nat address-group natgroup_2.0
[USG6000V1-policy-nat-rule-natpolicy_2.0] quit
[USG6000V1-policy-nat] quit
5.针对转换后的全局地址，配置黑洞路由
[USG6000V1] ip route-static 100.2.2.12 32 null 0
6.验证nat配置
.
三、出接口地址（easy-ip）使公司其它部门通过g1/0/0访问internet

1.配置网络参数
[USG6000V1] int g1/0/4
[USG6000V1-GigabitEthernet1/0/4] ip add 192.168.3.1 24
[USG6000V1-GigabitEthernet1/0/4] quit
[USG6000V1] firewall zone trust
[USG6000V1-zone-trust] add int g1/0/4
[USG6000V1-zone-trust]
2.配置安全策略
[USG6000V1] security-policy
[USG6000V1-policy-security] rule name sec_3
[USG6000V1-policy-security-rule-sec_3] source-address 192.168.3.0 24
[USG6000V1-policy-security-rule-sec_3] destination-zone untrust
[USG6000V1-policy-security-rule-sec_3] action permit
[USG6000V1-policy-security-rule-sec_3] quit
[USG6000V1-policy-security] quit
3.配置nat策略
[USG6000V1] nat-policy
[USG6000V1-policy-nat] rule name natpolicy_3.0
[USG6000V1-policy-nat-rule-natpolicy_3.0] source-address 192.168.3.0 24
[USG6000V1-policy-nat-rule-natpolicy_3.0] destination-zone untrust
[USG6000V1-policy-nat-rule-natpolicy_3.0] action nat easy-ip
[USG6000V1-policy-nat-rule-natpolicy_3.0] quit
[USG6000V1-policy-nat] quit
4.验证easy-ip
1）ping测试

四、配置natserver发布dmz中的服务器（使用100.2.2.9）
1.配置网络参数
[USG6000V1-GigabitEthernet1/0/0] int g1/0/1
[USG6000V1-GigabitEthernet1/0/1] ip add 192.168.0.1 24
[USG6000V1-GigabitEthernet1/0/1] quit
[USG6000V1] firewall zone dmz
[USG6000V1-zone-dmz] add int g1/0/1
[USG6000V1-zone-dmz] quit
2.配置安全策略
[USG6000V1] security-policy
[USG6000V1-policy-security] rule name sec_4
[USG6000V1-policy-security-rule-sec_4] source-zone untrust
[USG6000V1-policy-security-rule-sec_4] destination-address 192.168.0.0 24
[USG6000V1-policy-security-rule-sec_4] action permit
[USG6000V1-policy-security] quit
3.配置ftp应用层检测（此步骤可以省略，默认已经开启）
[USG6000V1] firewall inter trust untrust
[USG6000V1-interzone-trust-untrust] detect ftp
[USG6000V1-interzone-trust-untrust] quit
4.配置nat server
[USG6000V1] nat server natserver global 100.2.2.9 inside 192.168.0.2
5.配置黑洞路由
[USG6000V1] ip route-static 100.2.2.9 32 null 0
6.验证
1）在互联网主机上访问dmz中的服务器

全方位保障网络安全：网络防护墙的应用

网络安全策略的模式及应用

可信计算技术在云安全领域的应用

PC安全防范技巧及方法

如何避免DDos攻击？

相关专题

Swift iOS架构设计与MVVM模式实战

本专题聚焦 Swift 在 iOS 应用架构设计中的实践，系统讲解 MVVM 模式的核心思想、数据绑定机制、模块拆分策略以及组件化开发方法。内容涵盖网络层封装、状态管理、依赖注入与性能优化技巧。通过完整项目案例，帮助开发者构建结构清晰、可维护性强的 iOS 应用架构体系。

2026.03.03

C++高性能网络编程与Reactor模型实践

本专题围绕 C++ 在高性能网络服务开发中的应用展开，深入讲解 Socket 编程、多路复用机制、Reactor 模型设计原理以及线程池协作策略。内容涵盖 epoll 实现机制、内存管理优化、连接管理策略与高并发场景下的性能调优方法。通过构建高并发网络服务器实战案例，帮助开发者掌握 C++ 在底层系统与网络通信领域的核心技术。

2026.03.03

Golang 测试体系与代码质量保障：工程级可靠性建设

Go语言测试体系与代码质量保障聚焦于构建工程级可靠性系统。本专题深入解析Go的测试工具链（如go test）、单元测试、集成测试及端到端测试实践，结合代码覆盖率分析、静态代码扫描（如go vet）和动态分析工具，建立全链路质量监控机制。通过自动化测试框架、持续集成（CI）流水线配置及代码审查规范，实现测试用例管理、缺陷追踪与质量门禁控制，确保代码健壮性与可维护性，为高可靠性工程系统提供质量保障。

2026.02.28

Golang 工程化架构设计：可维护与可演进系统构建

Go语言工程化架构设计专注于构建高可维护性、可演进的企业级系统。本专题深入探讨Go项目的目录结构设计、模块划分、依赖管理等核心架构原则，涵盖微服务架构、领域驱动设计(DDD)在Go中的实践应用。通过实战案例解析接口抽象、错误处理、配置管理、日志监控等关键工程化技术，帮助开发者掌握构建稳定、可扩展Go应用的最佳实践方法。

2026.02.28

Golang 性能分析与运行时机制：构建高性能程序

Go语言以其高效的并发模型和优异的性能表现广泛应用于高并发、高性能场景。其运行时机制包括 Goroutine 调度、内存管理、垃圾回收等方面，深入理解这些机制有助于编写更高效稳定的程序。本专题将系统讲解 Golang 的性能分析工具使用、常见性能瓶颈定位及优化策略，并结合实际案例剖析 Go 程序的运行时行为，帮助开发者掌握构建高性能应用的关键技能。

2026.02.28