網(wǎng)絡運維|防火墻的NAT典型應用案例

2020-06-02 21:08 作者：admin

大家好，我是一枚從事IT外包的網(wǎng)絡安全運維工程師，今天和大家分享的是網(wǎng)絡安全設備維護相關的內(nèi)容。今天和大家聊一聊防火墻的NAT應用場景，簡單網(wǎng)絡安全運維，從防火墻學起,一步一步學成網(wǎng)絡安全運維大神。
網(wǎng)絡維護是一種日常維護，包括網(wǎng)絡設備管理(如計算機，服務器)、操作系統(tǒng)維護(系統(tǒng)打補丁，系統(tǒng)升級)、網(wǎng)絡安全(病毒防范)等。+
北京艾銻無限科技發(fā)展有限公司為您免費提供給您大量真實有效的北京網(wǎng)絡維護服務，北京網(wǎng)絡維修信息查詢，同時您可以免費資訊北京網(wǎng)絡維護，北京網(wǎng)絡維護服務，北京網(wǎng)絡維修信息。專業(yè)的北京網(wǎng)絡維護信息就在北京艾銻無限+
+
北京網(wǎng)絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡維護信息

域內(nèi)NAT

如果服務器和普通用戶部署在同一安全區(qū)域，配置域內(nèi)NAT可以實現(xiàn)該區(qū)域的普通用戶通過公網(wǎng)IP地址訪問服務器。

組網(wǎng)需求

圖7-94所示為某校園網(wǎng)的組網(wǎng)，Web Server同時對校內(nèi)和校外提供Web服務。Web服務器和校內(nèi)用戶均部署在USG的Trust區(qū)域，二者通過交換機與USG相連。
為了保障服務器安全，不對用戶公布服務器的真實IP地址和端口，無論是校內(nèi)用戶還是校外用戶均只能通過公網(wǎng)IP地址和端口訪問Web Server。
圖  配置域內(nèi)NAT組網(wǎng)圖 

項目	數(shù)據(jù)
(1)	接口號：GigabitEthernet 0/0/3 IP地址：10.1.1.1/24 安全區(qū)域：Trust
NAT地址池	地址池名稱：addresspool1 IP地址范圍：200.10.10.3～200.10.10.5
內(nèi)網(wǎng)用戶地址范圍	IP地址：10.1.1.0/24
Web Server	內(nèi)部地址：10.1.1.2/24 內(nèi)部端口：8080 外部地址：200.10.10.2/24 外部端口：80

配置思路

1. 為實現(xiàn)校內(nèi)用戶和校外用戶均通過公網(wǎng)IP地址和80端口訪問Web Server的需求，首先需要配置虛擬服務器。
虛擬服務器配置的菜單路徑為：“防火墻 > NAT > 目的NAT > 虛擬服務器”。
2. 為實現(xiàn)校內(nèi)用戶通過公網(wǎng)IP地址和80端口訪問Web Server的需求，除配置虛擬服務器外還需要保證校內(nèi)用戶訪問Web Server和Web Server應答的報文均經(jīng)過USG，禁止校內(nèi)用戶不經(jīng)過USG而直接訪問Web Server。
· PC訪問Web Server的流量必須經(jīng)過設備，這需要通過將PC的缺省網(wǎng)關設置為設備內(nèi)網(wǎng)接口的IP來實現(xiàn)。同時，不能將Web服務器的實際IP地址告知內(nèi)網(wǎng)用戶。
· Web Server回應給PC的流量的必須經(jīng)過設備，這需要通過將PC訪問服務器的流量的源地址轉(zhuǎn)換為公網(wǎng)地址來實現(xiàn)。這樣服務器會認為訪問流量來自外網(wǎng)，回應報文就發(fā)給設備，由設備進行轉(zhuǎn)發(fā)，而不會由交換機直接轉(zhuǎn)發(fā)。
域內(nèi)NAT配置的菜單路徑為：“防火墻 > NAT > 源NAT”。

操作步驟

1. 配置接口基本參數(shù)。
a. 選擇“網(wǎng)絡 > 接口 > 接口”。
b. 在“接口列表”中單擊GE0/0/3對應的。
c. 配置接口GigabitEthernet 0/0/3。
GigabitEthernet 0/0/3的相關參數(shù)如下，其他參數(shù)使用默認值：
· 安全區(qū)域：trust
· 模式：路由
· 連接類型：靜態(tài)IP
· IP地址：10.1.1.1
· 子網(wǎng)掩碼：255.255.255.0
d. 單擊“應用”。
2. 配置域間安全策略，以保證網(wǎng)絡基本通信正常。具體步驟略。
3. 配置虛擬服務器。
a. 選擇“防火墻 > NAT > 目的NAT”，單擊“虛擬服務器”頁簽。
b. 在“虛擬服務器列表”列表中單擊，參數(shù)配置如圖7-95所示。
圖7-95  配置虛擬服務器  c. 單擊“應用”。
 說明：
在校內(nèi)用戶PC上和Web Server上均需要配置到達外部網(wǎng)絡（200.10.10.0/24）的路由，下一跳為10.1.1.1。
4. 配置NAT地址池。
a. 選擇“防火墻 > NAT > 源NAT”。
b. 選擇“NAT地址池”頁簽。
c. 在“NAT地址池列表”中單擊，參數(shù)配置如圖7-96所示。
圖7-96  配置NAT地址池  d. 單擊“應用”。
5. 配置域內(nèi)NAT。
a. 選擇“源NAT”頁簽。
b. 在“源NAT策略列表”中單擊，參數(shù)配置如圖7-97所示。
圖7-97  配置源NAT  c. 單擊“應用”。

結(jié)果驗證

校內(nèi)用戶（以10.1.1.5為例）可以通過公網(wǎng)IP地址200.10.10.2訪問Web Server。選擇“防火墻 > 監(jiān)控 > 會話表”，查看會話表如圖7-98所示。
圖7-98  結(jié)果驗證  以上文章由北京艾銻無限科技發(fā)展有限公司整理