admin管理员组

文章数量:1635835

 

 

目录

外网用户访问内网服务器

私网用户访问内部服务器

同时转换报文的源信息和目的信息,不是单独的功能,而是源NAT和目的NAT的组合,双向NAT是针对同一条流,在其经过防火墙时同时转换报文的源地址和目的地址。

主要用在两个场景

外网用户访问内网服务器

避免在内部服务器上设置网关,简化配置。

服务器可以有多个网卡,分别接入不同的网络,但是只能有一个网关。如果网关配置给了同一私网内的用户,那么就无法给联入公网的网卡配置网关。所以从公网到达私网服务器的报文,如果源地址依然是公网地址,那么在回包时服务器不知道回给谁,有网关的情况下一定会回给网关,但是没有网关就不知道回给谁,所以需要将公网来的数据包的源地址转换成私网同网段地址,服务器在回包时就会回给这个地址,这个地址本身是虚拟的,没有实际对应的设备,只是存在于fw的私网地址池中,那么服务器回包时,对于同网段地址,就可以通过arp请求去得到mac地址,这个arp请求的回应一定是fw,mac地址也是fw的私网侧接口mac地址,所以fw一定要和该内网服务器公网接口同网段。

具体过程

  1. fw对匹配双向nat策略的报文进行地址转换
  2. fw从目的nat地址池中选择一个私网ip替换报文目的地址,使用新的端口号替换报文的目的端口号。
  3. 判断是否满足安全策略
  4. 从源nat地址池中选择一个私网ip地址替换报文源地址,使用新的端口号替换报文源端口号,建立会话表,转发报文到私网
  5. Fw收到私网回包后,查找会话表,还原源目ip地址和端口号,转发报文到公网。

实验一:公网用户通过双向NAT访问内部服务器(源NAT+静态目的NAT)

需求和拓扑

某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务,需要在FW上配置目的NAT。除了公网接口的IP地址外,公司还向ISP申请了IP地址(1.1.10.101.1.10.11作为内网服务器对外提供服务的地址。同时,为了简化内部服务器的回程路由配置,通过配置源NAT策略,使内部服务器缺省将回应报文发给FW。网络环境如图所示,其中Router是ISP提供的接入网关。

注意server都不配置网关

操作步骤

1、配置接口ip地址,划分安全区域

2、配置路由

ip route-static 1.1.2.0 255.255.255.0 1.1.1.254

3、配置安全策略

security-policy

 rule name 1

  source-zone untrust

  destination-zone trust

  destination-address 10.2.0.0 mask 255.255.255.0

  service ftp

  service http

本文标签: 双向SecurityHCIEnat

版权声明:本文标题:HCIE-Security Day8:3个实验理解双向NAT 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dongtai/1729217527a1190595.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。