Rumah >Operasi dan penyelenggaraan >Keselamatan >Bagaimana untuk melaksanakan analisis kawalan NAT firewall

Bagaimana untuk melaksanakan analisis kawalan NAT firewall

王林
王林ke hadapan
2023-05-28 13:04:131540semak imbas

Satu. Klasifikasi NAT
NAT No-pat: Sama seperti penukaran dinamik Cisco, ia hanya menukar alamat IP sumber dan alamat rangkaian, tetapi tidak menukar port Ia adalah penukaran banyak-ke-banyak dan tidak boleh menyimpan awam Alamat IP. Ia jarang digunakan
NAPT: (Alamat Rangkaian dan Terjemahan Port) serupa dengan penukaran PAT Cisco menukar alamat sumber paket dan juga menukarkan port sumber: (Easy -IP) Kaedah penukaran adalah mudah dan serupa dengan NAPT Sama, iaitu, menukar alamat sumber dan port sumber, yang merupakan penukaran banyak kepada satu
Smart NAT (penukaran pintar): penukaran NAPT dengan menempah alamat rangkaian awam
Triple NAT: dengan alamat IP sumber, sumber Penukaran yang berkaitan dengan du port dan jenis protokol

2. Penghalaan lubang hitamIsu ARP gelung dan tidak sah dalam penukaran alamat sumber. senario

Bagaimana untuk melaksanakan analisis kawalan NAT firewall
Bagaimana untuk melaksanakan analisis kawalan NAT firewall
3. Jadual peta pelayanMenyelesaikan masalah penghantaran data FTP melalui jadual Peta pelayan

Bagaimana untuk melaksanakan analisis kawalan NAT firewall Jadual sesi merekodkan maklumat sambungan, termasuk status sambungan

Bagaimana untuk melaksanakan analisis kawalan NAT firewallAplikasi Peta Pelayan dalam NAT

Bagaimana untuk melaksanakan analisis kawalan NAT firewall
Bagaimana untuk melaksanakan analisis kawalan NAT firewallEntri ke hadapan membawa maklumat port, yang digunakan untuk membenarkan pengguna luar mengakses 202.96.1.10 terus melalui jadual Pelayan -peta untuk terjemahan alamat sasaran
Entri terbalik tidak membawa maklumat port, dan alamat sasaran adalah sewenang-wenangnya untuk membolehkan pelayan mengakses Internet . Premis mestilah protokol TCP

Empat, pelaporan NAT Aliran pemprosesan artikel
Bagaimana untuk melaksanakan analisis kawalan NAT firewallKonfigurasi NAT (tiga kaedah)

Bagaimana untuk melaksanakan analisis kawalan NAT firewall(1)NAT No-pat

Bagaimana untuk melaksanakan analisis kawalan NAT firewallAmbil satu langkah Laluan lalai
Konfigurasikan dasar keselamatan

Bagaimana untuk melaksanakan analisis kawalan NAT firewallKonfigurasikan kumpulan alamat NAT, alamat sepadan ke IP awam

Bagaimana untuk melaksanakan analisis kawalan NAT firewallKonfigurasikan dasar NAT

Bagaimana untuk melaksanakan analisis kawalan NAT firewallKonfigurasikan penghalaan lubang hitam untuk alamat global yang diterjemahkan (alamat dalam kumpulan alamat NAT)

Bagaimana untuk melaksanakan analisis kawalan NAT firewallSahkan konfigurasi NAT. Gunakan PC1 untuk ping PC2 pada rangkaian luaran dan lihat jadual sesi![]
Bagaimana untuk melaksanakan analisis kawalan NAT firewallTiga kotak merah mewakili alamat sumber, alamat ditukar dan alamat yang diakses
Anda juga boleh lihat jadual peta pelayan

Bagaimana untuk melaksanakan analisis kawalan NAT firewall
Bagaimana untuk melaksanakan analisis kawalan NAT firewall

(2) Konfigurasi NAPT
masih dalam gambar di atas, buat semula NAPT
Konfigurasikan IP
Bagaimana untuk melaksanakan analisis kawalan NAT firewall
Bagaimana untuk melaksanakan analisis kawalan NAT firewall
Konfigurasikan dasar keselamatan
Bagaimana untuk melaksanakan analisis kawalan NAT firewall
Konfigurasikan kumpulan alamat NAT, kumpulan alamat sepadan dengan IP awam
Bagaimana untuk melaksanakan analisis kawalan NAT firewall
Konfigurasikan dasar NAT
Bagaimana untuk melaksanakan analisis kawalan NAT firewall
Konfigurasikan lubang hitam penghalaan
Bagaimana untuk melaksanakan analisis kawalan NAT firewall
Sahkan Sebagai hasilnya, PC1 digunakan untuk ping rangkaian luaran PC2
Bagaimana untuk melaksanakan analisis kawalan NAT firewall
Bagaimana untuk melaksanakan analisis kawalan NAT firewall
(3) Alamat antara muka keluar (Easy-IP) adalah untuk menggunakan antara muka g0/0/1 penghala R1 untuk mengakses PC2 (konfigurasi semula )
Konfigurasikan IP
Bagaimana untuk melaksanakan analisis kawalan NAT firewall
Bagaimana untuk melaksanakan analisis kawalan NAT firewall
Konfigurasikan dasar keselamatan
Bagaimana untuk melaksanakan analisis kawalan NAT firewall
Konfigurasikan dasar NAT
Bagaimana untuk melaksanakan analisis kawalan NAT firewall
Pengesahan boleh didapati, kedua-duanya Ia adalah IP antara muka g0/0/1 R1 yang ditukar untuk mengakses
Bagaimana untuk melaksanakan analisis kawalan NAT firewall
Lima, kes komprehensif
keperluan:

  1. Hos kewangan lulus tanpa pat mengakses internet (menggunakan 100.2.2.10-11)

  2. Hos jabatan akademik mengakses internet melalui napt (menggunakan 100.2.2.12)

  3. Lain-lain dalam syarikat Jabatan ini mengakses internet melalui g1/0/0

  4. Konfigurasikan natserver untuk menerbitkan pelayan dalam dmz (menggunakan 100.2.2.9)
    Bagaimana untuk melaksanakan analisis kawalan NAT firewall
    1. Hos kewangan mengakses internet melalui no-pat
    1 parameter rangkaian dan Laluan
    [USG6000V1] int g1/0/2
    [USG6000V1-GigabitEthernet1/0/2] ip add 192.168.1.1 24
    [USG6000V1-GigabitEthernet1/0/2] ip add 192.168.1.1 24
    [USG6000V1-GigabitEthernet]
    Maklumat: Antara Muka GigabitEthernet1/0/2 tidak ditutup.
    [USG6000V1-GigabitEthernet1/0/2] berhenti
    [USG6000V1] int g1/0/0
    [USG6000V1-GigabitEthernet1/0/0] ip add 100.1 .1.2 30
    [USG6000V1-GigabitEthernet1/0/0] buat asal sh
    [USG6000V1-GigabitEthernet1/0/0] quit
    [USG6000-0static ] i pro.0.0.0 static .1.1
    2. Konfigurasikan dasar keselamatan
    [USG6000V1] zon firewall trust
    [USG6000V1-zone-trust] add int g1/0/2
    [USG6000V1-zone-trust]>berhenti[USG6000V1-zone-untrust] tambah int g1/0/0
    [USG6000V1-zone-untrust] berhenti
    [USG6000V1] dasar keselamatan
    [USG6000 -security] nama peraturan sec_1
    [USG6000V1-policy-security-rule-sec_1] source-address 192.168.1.0 24
    [USG6000V1-policy-security-rule-sec_1] 3 Konfigurasikan kumpulan alamat nat Alamat dalam kumpulan alamat sepadan dengan alamat rangkaian awam
    [USG6000V1-policy-security] berhenti
    [USG6000V1. ] nat address-group natgroup
    [USG6000V1-address-group-natgroup] bahagian 0 100.2.2.10 100.2.2.11
    [USG6000V1-address-group-natgroup] mod no-pat local
    0[USG-address -group-natgroup]
    4. Konfigurasikan dasar nat
    [USG6000V1] nat-policy
    [USG6000V1-policy-nat] nama peraturan natpolicy
    [USG6000V1-policy-nat-rule] source-nat -alamat 192.168.1.0 24
    [USG6000V1-policy-nat-rule-natpolicy] ketakpercayaan zon destinasi
    [USG6000V1-policy-nat-rule-natpolicy] tindakan nat address-group natgroup   1 6 -policy-nat-rule -natpolicy] quit
    [USG6000V1-policy-nat] quit
    5 Konfigurasikan penghalaan lubang hitam untuk alamat global yang ditukar
    [USG6000V1] ip route-static 100.3.2.1.
    [USG6000V1 ] laluan ip-statik 100.2.2.11 32 null 0
    6. Konfigurasikan r1 (isp)
    sys
    Masukkan paparan sistem, kembalikan paparan pengguna dengan Ctrl+Z. 🎜>[Huawei] sysname r1
    [r1] buat asal maklumat ena
    [r1] int g0/0/0
    [r1-GigabitEthernet0/0/0] ip add 100.1.1.1 30
    [ r1-GigabitEthernet0/0 /0] int g0/0/1
    [r1-GigabitEthernet0/0/1] ip add 200.1.1.1 24
    [r1-GigabitEthernet0/0/1] buat asal sh
    [ r1-GigabitEthernet0/0 /1] quit
    [r1] ip route-static 100.2.2.8 29 100.1.1.2
    7: akses pelayan internet daripada pelanggan kewangan



    2. Akademik Hos mengakses internet melalui napt (menggunakan 100.2.2.12) Bagaimana untuk melaksanakan analisis kawalan NAT firewall
    1. Konfigurasikan parameter rangkaian [USG6000V1] int g1/0/3[USG6000V1-1. 0/3] ip add 192.168 .2.1 24
    [USG6000V1-GigabitEthernet1/0/3] quit
    [USG6000V1] firewall zone trust
    [USG6000V1-zone-trust]/0 add in . . >3. Konfigurasikan kumpulan alamat nat
    [USG6000V1] kumpulan alamat nat natgroup_2.0
    [USG6000V1-address-group-natgroup_2.0] bahagian 0 100.2.2.12 100.2.2.0>V[USG-60.12[USG6000V1-address-group-natgroup_2.0] quit
    4. Konfigurasikan nat policy
    [USG6000V1] nat-policy
    [USG6000V1]-policy. nama peraturan natpolicy_2.0
    [USG6000V1-policy-nat-rule-natpolicy_2.0] sumber-alamat 192.168.2.0 24
    [USG6000V1-policy-nat-rule-natpolicy_2.0][USG6000V1-policy-nat -rule-natpolicy_2.0] action nat address-group natgroup_2.0
    [USG6000V1-policy-nat-rule-natpolicy_2.0] quit
    [USG6000V1-policy-nat
    5. Untuk penukaran Selepas alamat global, konfigurasikan laluan lubang hitam
    [USG6000V1] laluan ip-statik 100.2.2.12 32 null 0
    6 Sahkan konfigurasi nat
    .


    3. Alamat antara muka keluar (easy-ip) Benarkan jabatan lain syarikat mengakses internet melalui g1/0/0


    1 ] int g1/0/4
    [USG6000V1-GigabitEthernet1 /0/4] tambah ip 192.168.3.1 24
    [USG6000V1-GigabitEthernet1/0/4] berhenti
    [USG6000V1-GigabitEthernet1/0/4]
    [USG6000> firewall [USG6000V1-zone-trust] tambah int g1/0/4
    [USG6000V1-zone-trust]
    2. Konfigurasikan dasar keselamatan
    [USG6000V1] keselamatan-dasarBagaimana untuk melaksanakan analisis kawalan NAT firewall[USG6000V1-dasar. ] nama peraturan sec_3
    [USG6000V1-policy-security-rule-sec_3] sumber-alamat 192.168.3.0 24
    [USG6000V1-policy-security-rule-sec_3] destinasi-zon tidak amanah
    [USG6000V1-policy-policy-sec_3] permit tindakan
    [USG6000V1-policy-security-rule-sec_3] berhenti
    [USG6000V1-policy-security] berhenti
    3.配置nat策略
    [USG6000V1-policy-security] berhenti
    3.配置nat策略
    [USG6000policy-01] -policy-nat] nama peraturan natpolicy_3.0
    [USG6000V1-policy-nat-rule-natpolicy_3.0] alamat sumber 192.168.3.0 24
    [USG6000V1-policy-nat-rule-nat destination] -zone untrust
    [USG6000V1-policy-nat-rule-natpolicy_3.0] action nat easy-ip
    [USG6000V1-policy-nat-rule-natpolicy_3.0] berhenti
    [USG6000V1-policy ] berhenti
    4.验证easy-ip
    1)ping测试Bagaimana untuk melaksanakan analisis kawalan NAT firewall
    四、配置natserver发布dmz中的服4中的服4中的服4中的服4彡0. 🎜>
    1.配置网络参数
    [USG6000V1-GigabitEthernet1/0/0] int g1/0/1
    [USG6000V1-GigabitEthernet1/0/1] ip add 192.1🎜>USG 192.168 internet1/ 0/1] quit
    [USG6000V1] firewall zone dmz
    [USG6000V1-zone-dmz] add int g1/0/1
    [USG6000V1-zone-dmz] quit
    2.箍畨
    dasar keselamatan [USG6000V1]
    Nama peraturan [USG6000V1-policy-security] sec_4
    [USG6000V1-policy-security-rule-sec_4] source-zone  untrusity-untrust
    0[USG6000] rule-sec_4] destinasi-address 192.168.0.0 24
    [USG6000V1-policy-security-rule-sec_4] action  permit
    [USG6000V1-policy-security] berhenti
    简ft成政成放此步骤可以省略,默认已经开启)
    [USG6000V1] firewall tidak amanah antara kepercayaan
    [USG6000V1-interzone-trust-untrust] mengesan ftp4.配置nat server
    [USG6000V1] nat server natserver global 100.2.2.9 di dalam 192.168.0.2
    5.配置黑洞路由
    [USG6000V1.2] ip 0.2 🎜>6.验证
    1)在互联网主机上访问dmz中的服务器




Atas ialah kandungan terperinci Bagaimana untuk melaksanakan analisis kawalan NAT firewall. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan:
Artikel ini dikembalikan pada:yisu.com. Jika ada pelanggaran, sila hubungi admin@php.cn Padam