新闻资讯  快讯  焦点  财经  政策  社会
互 联 网   电商  金融  数据  计算  技巧
生活百科  科技  职场  健康  法律  汽车
手机百科  知识  软件  修理  测评  微信
软件技术  应用  系统  图像  视频  经验
硬件技术  知识  技术  测评  选购  维修
网络技术  硬件  软件  设置  安全  技术
程序开发  语言  移动  数据  开源  百科
安全防护  资讯  黑客  木马  病毒  移动
站长技术  搜索  SEO  推广  媒体  移动
财经百科  股票  知识  理财  财务  金融
教育考试  育儿  小学  高考  考研  留学
您当前的位置:首页 > IT百科 > 安全防护 > 软件

USG6000防火墙如何配置NAT Server?三步就搞掂

时间:2020-01-13 17:19:41  来源:  作者:

公司的私网通常会有一些服务需要提供给公网的用户访问,但是由于网络部署时,服务器地址一般都会配置成私网地址,这样就不能实现公网的用户访问了。那么华为防火墙作为企业的出口网关时,是如何解决这个问题呢?

很多小伙伴会第一时间想到用NAT,没错,大致的方向正确了。只不过之前我们所使用的是源NAT,是对私网用户访问公网的报文源地址进行转换,而服务器对公网提供服务器时,是公网用户想私网发起访问,方向正好相反了。针对服务器的地址转换,我们赋予了它一个形象的名字――NAT Server(服务器映射)

下面来看下防火墙上的NAT Server是如何配置和实现的

USG6000防火墙如何配置NAT Server?三步就搞掂

 

配置思路

1、华为防火墙接口配置IP地址,并把对应的接口加入到安全区域。

2、把服务器的私网地址映射成公网地址。

3、配置untrust区域允许访问dmz区域的安全策略

关键配置

1、华为防火墙接口与安全域的配置

[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 10.1.1.1 24
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 1/0/0
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 1.1.1.2 24

2、把服务器的私网地址映射成公网地址。

[FW1]nat server  protocol tcp global 1.1.1.2 9980 inside 10.1.1.2 80

这里将80端口映射为9980端口而不是直接映射为80端口是因为,一些地区的运营商会阻断新增的80、8000、8080端口的业务,从而导致服务器无法访问。

3、配置untrust区域允许访问dmz区域的安全策略

security-policy
 rule name untrust_to_dmz
  source-zone untrust
  destination-zone dmz
  action permit

以上命令配置允许untrust区域的流量访问dmz区域。完成了以上配置之后,可以通过访问1.1.1.2的9980端口,从而访问到内网10.1.1.2的80端口。

USG6000防火墙如何配置NAT Server?三步就搞掂

 

上面的配置是比较简单的,下面来看看具体的流程吧。

当执行了nat server protocol tcp global 1.1.1.2 9980 inside 10.1.1.2 80这条命令后,Server-map会生成以下的映射关系。

USG6000防火墙如何配置NAT Server?三步就搞掂

 

上图就是NATServer的Server-map表项, 图中红框标注的字段就记录着服务器私网地址端口和公网地址端口的映射关系。[]内为服务器私网地址和端口、[]外为服务器公网地址和端口。我们将表项翻译成文字就是:任意客户端(any)向(->)1.1.1.2:9980发起访问时,报文的目的地址和端口都会被转换成10.1.1.2:80。具体的流程如下:

当客户端通过1.1.1.2:9980访问服务器时,防火墙收到报文的首包后,首先是查找并匹配到Server-map表项,将报文的目的地址和端口转换为10.1.1.2:80。然后根据目的地址判断出报文在哪两个安全区域间流动,报文通过域间安全策略检查后,防火墙会建立如下的会话表,并将报文转发到私网。

USG6000防火墙如何配置NAT Server?三步就搞掂

 

之后,服务器对客户端的请求做出响应。响应报文到达防火墙后匹配到上面的会话表,防火墙将报文的源地址和端口转换为1.1.1.2:9980,而后发送至公网。后续客户端继续发送给服务器的报文,防火墙都会直接根据会话表对其进行地址和端口转换,而不会再去查找Server-map表项了

在防火墙的前后抓包,能很清楚地看到NAT Server的效果:

A、转换客户端发往服务器的报文的目的地址和端口。

防火墙处理前:

 

USG6000防火墙如何配置NAT Server?三步就搞掂

防火墙处理前

防火墙处理后:

USG6000防火墙如何配置NAT Server?三步就搞掂

防火墙处理后

B、转换服务器响应客户端的报文的源地址和端口。

防火墙处理前

USG6000防火墙如何配置NAT Server?三步就搞掂

防火墙处理前

防火墙处理后

USG6000防火墙如何配置NAT Server?三步就搞掂

防火墙处理后

以上就是防火墙NAT Server的基本配置和工作原理。更多精彩的内容请关注我的头条号,欢迎大家留言讨论。



Tags:USG6000   点击:()  评论:()
声明:本站部分内容来自互联网,内容观点仅代表作者本人,如有任何版权侵犯请与我们联系,我们将立即删除。
▌相关评论
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
▌相关推荐
公司的私网通常会有一些服务需要提供给公网的用户访问,但是由于网络部署时,服务器地址一般都会配置成私网地址,这样就不能实现公网的用户访问了。那么华为防火墙作为企业的出口...【详细内容】
2020-01-13   USG6000  点击:(0)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条