Heim >Betrieb und Instandhaltung >Sicherheit >So implementieren Sie eine Firewall-NAT-Kontrollanalyse

So implementieren Sie eine Firewall-NAT-Kontrollanalyse

王林
王林nach vorne
2023-05-28 13:04:131539Durchsuche

Eins. NAT-Klassifizierung
NAT No-pat: Ähnlich wie bei der dynamischen Konvertierung von Cisco werden nur die Quell-IP-Adresse und die Netzwerkadresse konvertiert, nicht jedoch der Port. Es handelt sich um eine Viele-zu-Viele-Konvertierung und kann nicht Speichern Sie öffentliche IP-Adressen. Es verwendet weniger
NAPT: (Netzwerkadressen- und Portübersetzung) ähnelt der PAT-Konvertierung von Cisco und konvertiert die Quellportadresse : (Easy-IP) Konvertierungsmethode Einfach, genau wie NAPT, es konvertiert die Quelladresse und den Quellport. Es handelt sich um eine Viele-zu-Eins-Konvertierung
Smart NAT (intelligente Konvertierung): Die NAPT-Konvertierung erfolgt durch Reservierung eine öffentliche Netzwerkadresse
Triple NAT: Eine Konvertierung im Zusammenhang mit der Quell-IP-Adresse, der Portquelle und dem Protokolltyp

Zweitens Black-Hole-RoutingSchleife und ungültig ARP-Probleme im Quelladresskonvertierungsszenario#🎜 🎜#

So implementieren Sie eine Firewall-NAT-Kontrollanalyse
So implementieren Sie eine Firewall-NAT-Kontrollanalyse Drittens: Serverzuordnungstabelle
FTP-Datenübertragung lösen Probleme durch Server-Map-Tabelle

Die Sitzungstabelle zeichnet Verbindungsinformationen auf, einschließlich VerbindungsstatusSo implementieren Sie eine Firewall-NAT-Kontrollanalyse

Anwendung der Server-Map in NAT#🎜🎜 #So implementieren Sie eine Firewall-NAT-Kontrollanalyse#🎜🎜 #

Der Weiterleitungseintrag enthält Portinformationen, die es externen Benutzern ermöglichen, beim Zugriff auf 202.96.1.10 direkt eine Zieladressübersetzung über die Serverzuordnungstabelle durchzuführen #🎜 🎜#Der umgekehrte Eintrag enthält keine Portinformationen und die Zieladresse ist willkürlich. Die Voraussetzung für den Zugriff des Servers auf das Internet muss das TCP-Protokoll sein (drei Methoden)So implementieren Sie eine Firewall-NAT-Kontrollanalyse#🎜🎜 #
(1)NAT No-patSo implementieren Sie eine Firewall-NAT-Kontrollanalyse

Standardroute verwenden
Sicherheitsrichtlinie konfigurieren
NAT-Adresse konfigurieren Gruppe. In der Adressgruppe entspricht die Adresse der öffentlichen IPSo implementieren Sie eine Firewall-NAT-Kontrollanalyse

NAT-Richtlinie konfigurierenSo implementieren Sie eine Firewall-NAT-Kontrollanalyse#🎜 🎜#
Black-Hole-Routing für die konvertierte globale Adresse konfigurieren (Adresse in der NAT-Adressgruppe)
So implementieren Sie eine Firewall-NAT-Kontrollanalyse
Überprüfen Sie die NAT-Konfiguration, verwenden Sie PC1, um PC2 im externen Netzwerk anzupingen, Sie können die Sitzungstabelle anzeigen![]
#🎜🎜 #Die drei roten Kästchen stellen die Quelladresse, die konvertierte Adresse und die Zugriffsadresse dar.

(2) NAPT-Konfiguration
Standbild oben, NAPT wiederholen
IP konfigurieren
So implementieren Sie eine Firewall-NAT-Kontrollanalyse
So implementieren Sie eine Firewall-NAT-Kontrollanalyse
Sicherheitsrichtlinie konfigurieren
So implementieren Sie eine Firewall-NAT-Kontrollanalyse
NAT-Adressgruppe konfigurieren, die Adressgruppe entspricht der öffentlichen IP
So implementieren Sie eine Firewall-NAT-Kontrollanalyse
NAT-Richtlinie konfigurieren
So implementieren Sie eine Firewall-NAT-Kontrollanalyse
Konfigurieren Sie das Routing Black Hole
So implementieren Sie eine Firewall-NAT-Kontrollanalyse
Verifizieren Sie die Ergebnisse mit PC1, um das externe Netzwerk PC2 anzupingen
So implementieren Sie eine Firewall-NAT-Kontrollanalyse
So implementieren Sie eine Firewall-NAT-Kontrollanalyse
(3) Die ausgehende Schnittstellenadresse (Easy-IP) soll die g0/0/1-Schnittstelle des R1-Routers verwenden um auf PC2 zuzugreifen (neu konfigurieren)
IP konfigurieren
So implementieren Sie eine Firewall-NAT-Kontrollanalyse
So implementieren Sie eine Firewall-NAT-Kontrollanalyse
Sicherheitsrichtlinie konfigurieren
So implementieren Sie eine Firewall-NAT-Kontrollanalyse
NAT-Richtlinie konfigurieren
So implementieren Sie eine Firewall-NAT-Kontrollanalyse
Überprüfung kann festgestellt werden, dass auf die konvertierte R1-Router-g0/0/1-Schnittstellen-IP zugegriffen wird
So implementieren Sie eine Firewall-NAT-Kontrollanalyse
Fünftens umfassend case
Anforderungen:

  1. Der Finanzhost greift über No-Pat auf das Internet zu (unter Verwendung von 100.2.2.10-11)

  2. Der Host der akademischen Abteilung greift über Napt auf das Internet zu (unter Verwendung von 100.2.2.12)

  3. Sonstiges Abteilungen des Unternehmens bestehen g1/0/0Zugang zum Internet

  4. Konfigurieren Sie den Natserver so, dass er den Server in dmz veröffentlicht (mit 100.2.2.9)
    So implementieren Sie eine Firewall-NAT-Kontrollanalyse
    1. Der Finanzhost greift über No-Pat auf das Internet zu #🎜🎜 #1. Netzwerkparameter und Routing konfigurieren
    [USG6000V1] int g1/0/2
    [USG6000V1-GigabitEthernet1/0/2] ip add 192.168.1.1 24
    [USG6000V1- GigabitEthernet1/0 /2] undo sh
    Info: Schnittstelle GigabitEthernet1/0/2 wird nicht heruntergefahren.
    [USG6000V1-GigabitEthernet1/0/2] quit
    [USG6000V1] int g1/0/ 0#🎜 🎜#[USG6000V1-GigabitEthernet1/0/0] IP hinzufügen 100.1.1.2 30
    [USG6000V1-GigabitEthernet1/0/0] rückgängig machen sh
    [USG6000V1-GigabitEthernet1/0/0] beenden# 🎜🎜# [USG6000V1] i proute-static 0.0.0.0 0.0.0.0 100.1.1.1
    2. Sicherheitsrichtlinie konfigurieren
    [USG6000V1] Firewall-Zonenvertrauen
    [USG6000V1-zone-trust] hinzufügen int g1/ 0/2
    [USG6000V1-zone-trust] quit
    [USG6000V1] Firewall-Zone untrust
    [USG6000V1-zone-untrust] add int g1/0/0
    [USG6000V1-zone-untrust] quit
    [USG6000V1] security-policy
    [USG6000V1-policy-security] Regelname sec_1
    [USG6000V1-policy-security-rule-sec_1] Quelladresse 192.168.1.0 24
    [USG6000V1-policy-security-rule-sec_1] Zielzone nicht vertrauenswürdig
    [USG6000V1-policy-security-rule-sec_1] Aktionserlaubnis
    3. Konfigurieren Sie die NAT-Adressgruppe und Adresspool Die Adresse in entspricht der öffentlichen Netzwerkadresse
    [USG6000V1-policy-security] quit
    [USG6000V1] nat address-group natgroup
    [USG6000V1-address-group-natgroup] Abschnitt 0 100.2. 2.10 100.2.2.11
    [USG6000V1-address-group-natgroup] mode no-pat local
    [USG6000V1-address-group-natgroup]
    4. NAT-Richtlinie konfigurieren#🎜🎜 #[USG6000V1 ] nat-policy
    [USG6000V1-policy-nat] Regelname natpolicy
    [USG6000V1-policy-nat-rule-natpolicy] Quelladresse 192.168.1.0 24
    [USG6000V1- Policy-nat -rule-natpolicy] Destination-Zone Untrust
    [USG6000V1-policy-nat-rule-natpolicy] Action Nat Address-Group Natgroup                                                                   ] quit
    [USG6000V1-policy-nat] quit#🎜🎜 #5. Konfigurieren Sie das Blackhole-Routing für die übersetzte globale Adresse .Konfigurieren Sie r1 (isp)
    sys
    Systemansicht aufrufen, Benutzeransicht mit Strg+Z zurückgeben.
    [Huawei] Systemname r1
    [r1] Informationen rückgängig machen ena
    [r1] int g0/0/0
    [r1-GigabitEthernet0/0/0] ip add 100.1.1.1 30
    [r1 -GigabitEthernet0/0/0] int g0/0/ 1
    [r1-GigabitEthernet0/0/1] IP hinzufügen 200.1.1.1 24
    [r1-GigabitEthernet0/0/1] rückgängig machen sh#🎜🎜 #[r1-GigabitEthernet0/0/1] beenden# 🎜🎜#[r1] ip route-static 100.2.2.8 29 100.1.1.2
    7. Zugriff auf den Internetserver vom Finanzclient aus
    #🎜 🎜#

    . Der Host der akademischen Abteilung greift über napt (mit 100.2.2.12) auf das Internet zu /0/3] ip add 192.168.2.1 24
    [USG6000V1-GigabitEthernet1/0/3] quit
    [USG6000V1] Firewall Zone Trust
    [USG6 000V1 -zone-trust] add int g1 /0/3
    [USG6000V1-zone-trust]q uit
    2. Sicherheitsrichtlinie konfigurieren
    [USG6000V1] security-policy
    [USG6000V1 -policy-security-rule-sec_2 ] Quelladresse 192.168.2.0 24
    [USG6000V1-policy-security-rule-sec_2] Zielzone untrust
    [USG6000V1-policy-security-rule-sec_2] AktionserlaubnisSo implementieren Sie eine Firewall-NAT-Kontrollanalyse[USG6000V1 -policy-security-rule-sec_2] quit
    3. Konfigurieren Sie die NAT-Adressgruppe[USG6000V1] NAT-Adressgruppe natgroup_2.0[USG6000V1-address -group-natgroup_2.0] Abschnitt 0 100.2.2.12 100.2.2.12
    [USG6000V1-address-group-natgroup_2.0] mode pat
    [USG6000V1-address-group-natgroup_2.0] quit#🎜 🎜#4. NAT-Richtlinie konfigurieren# 🎜🎜#[USG6000V1] nat-policy
    [USG6000V1-policy-nat] Regelname natpolicy_2.0
    [USG6000V1-policy-nat-rule-natpolicy_2.0] Quelladresse 192.168.2.0 24# 🎜? USG6000V1-policy-nat-rule-natpolicy_2.0] quit
    [USG6000V1-policy-nat] quit
    5. Konfigurieren Sie das Black-Hole-Routing für die konvertierte globale Adresse# 🎜🎜#[USG6000V1] IP-Route- static 100.2.2.12 32 null 0
    6. NAT-Konfiguration überprüfen
    .


    3. Ausgehende Schnittstellenadresse (Easy-IP) Ermöglichen Sie dies anderen Abteilungen des Unternehmens Greifen Sie über g1/0/0 -GigabitEthernet1/0/4 auf das Internet zu. [USG6000V1-zone-trust] add int g1/0/4
    [USG6000V1-zone-trust]
    2. Sicherheitsrichtlinie konfigurieren
    [USG6000V1] security-policy
    [USG6000V1 -policy-security] Regelname sec_3# 🎜🎜#[USG6000V1-policy-security-rule-sec_3] Quelladresse 192.168.3.0 24
    [USG6000V1-policy-security-rule-sec_3] Zielzone nicht vertrauenswürdig
    [USG6000V1-policy-security-rule-sec_3] Aktionserlaubnis
    [ USG6000V1-policy-security-rule-sec_3] quit
    [USG6000V1-policy-security] quit
    3 - Policy-nat-rule-natpolicy_3.0] Quelladresse 192.168.3.0 24
    [USG6000V1-policy-nat-rule-natpolicy_3.0] Zielzone untrust
    [USG6000V1-policy-nat-rule-natpolicy_3.0] Aktion Nat Easy-iP
    [USG6000V1-Policy-Nat-Rule-Natpolicy_3.0] Quit
    [USG6000V1-Policy-Nat] Quit
    4.中的服务器(使用100.2.2.9)

    1.配置网络参数
    [USG6000V1-GigabitEthernet1/0/0] int. g1/0/1
    [USG6000V1-GigabitEthernet1/0 /1] IP hinzufügen 192.168.0.1 24
    [ USG6000V1-GigabitEthernet1/0/1] quitSo implementieren Sie eine Firewall-NAT-Kontrollanalyse[USG6000V1] firewall zone dmz
    [USG6000V1-zone-dmz] add int g1/0/1[USG6000V1-zone-dmz] quit2.配置安全策略
    [USG 6000V1] security-policy
    [USG6000V1-policy-security] Regelname sec_4
    [USG6000V1-policy-security-rule-sec_4] Quellzone  untrust
    [USG6000V1-policy-security-rule-sec_4] Zieladresse 192.168.0.0 24
    [USG6000V1-policy-security-rule-sec_4] action  permit
    [USG6000V1-policy-security] quit
    3.
    [USG6000V1] Firewall inter-trust untrust
    [ USG6000V1-interzone-trust-untrust] erkennt FTP
    [USG6000V1-interzone-trust-untrust] quit
    4.配置nat server
    [USG6000V1] nat server natserver global 100.2.2.9 inside路由
    [ USG6000V1] IP Route-Static  100.2.2.9 32 Null 0
    6

Das obige ist der detaillierte Inhalt vonSo implementieren Sie eine Firewall-NAT-Kontrollanalyse. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Dieser Artikel ist reproduziert unter:yisu.com. Bei Verstößen wenden Sie sich bitte an admin@php.cn löschen