网络运维|防火墙的NAT典型应用案例

2020-06-01 19:54 作者：艾锑无限 浏览量：

大家好，我是一枚从事IT外包的网络安全运维工程师，今天和大家分享的是网络安全设备维护相关的内容，今天就和大家聊一聊防火墙的负载均衡。简单网络安全运维，从防火墙学起,一步一步学成网络安全运维大神。

网络维护是一种日常维护，包括网络设备管理(如计算机，服务器)、操作系统维护(系统打补丁，系统升级)、网络安全(病毒防范)等。+

北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务，北京网络维护信息查询，同时您可以免费资讯北京网络维护，北京网络维护服务，北京网络维护信息。专业的北京网络维护信息就在网络维护+

+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息
 

 举例：地址池方式源NAT+虚拟服务器

本举例介绍企业申请了多个公网IP地址用于访问Internet，企业在对外提供FTP服务和Web服务的同时，还有部分员工需要通过NAT访问Internet的场景和配置过程。

组网需求

如图7-75所示，某企业内部网络通过USG与Internet进行连接，将内网用户划分到Trust区域，两台服务器划分到DMZ区域，将Internet划分到Untrust区域。

该企业申请了4个公网IP地址用于内部用户访问Internet。

· 需求1

企业Trust区域的192.168.1.0/24网段的用户可以访问Internet，该安全区域的其它网段用户不能访问。用于访问外部网络的合法IP地址范围为1.1.1.3～1.1.1.6。

· 需求2

提供FTP和Web服务器供外部网络用户访问。其中FTP Server的内部IP地址为10.1.1.2，端口号为缺省值21，Web Server的内部IP地址为10.1.1.3，端口为8080。两者对外公布的地址均为1.1.1.2，对外使用的端口号均为缺省值，即21和80。

配置思路

1. 由于有4个公网地址，因此采用地址池方式，不采用接口IP地址方式。由于需要上网的用户数远大于用于上网的公网IP地址数，因此需要使用NAPT（Network Address Port Translation）功能进行地址复用。

配置源NAT的菜单路径为：“防火墙 > NAT > 源NAT”。

2. 配置虚拟服务器时，FTP服务器的内部端口和外部端口相同，Web服务器的内部端口和外部端口不同。

配置虚拟服务器的菜单路径为：“防火墙 > NAT > 目的NAT > 虚拟服务器”。

操作步骤

1. 配置接口基本参数。

a. 选择“网络 > 接口 > 接口”。

b. 在“接口列表”中单击GE0/0/2对应的。

c. 配置接口GigabitEthernet 0/0/2。

GigabitEthernet 0/0/2的相关参数如下，其他参数使用默认值：

· 安全区域：trust

· 模式：路由

· 连接类型：静态IP

· IP地址：192.168.1.1

· 子网掩码：255.255.255.0

d. 单击“应用”。

e. 重复上述步骤配置接口GigabitEthernet 0/0/3和GigabitEthernet 0/0/4。

GigabitEthernet 0/0/3的相关参数如下，其他参数使用默认值：

· 安全区域：dmz

· 模式：路由

· 连接类型：静态IP

· IP地址：10.1.1.1

· 子网掩码：255.255.255.0

GigabitEthernet 0/0/4的相关参数如下，其他参数使用默认值：

· 安全区域：untrust

· 模式：路由

· 连接类型：静态IP

· IP地址：1.1.1.1

· 子网掩码：255.255.255.0

2. 对于USG系列，配置域间包过滤，以保证网络基本通信正常。对于USG BSR/HSR系列，不需要执行此步骤。使192.168.1.0/24网段用户可以访问Internet，使Internet用户可以访问10.1.1.2的FTP服务和10.1.1.3的Web服务。

a. 配置192.168.1.0/24网段用户可以访问Internet。

. 选择“防火墙 > 安全策略 > 转发策略”。

i. 选择“转发策略”页签。

ii. 在“转发策略列表”中单击。参数配置如图7-76所示。

图7-76  配置192.168.1.0/24网段用户可以访问Internet 


iii. 单击“应用”。

a. 配置Internet用户可以访问10.1.1.2的FTP服务和10.1.1.3的Web服务。

i. 在“转发策略列表”中单击。参数配置如图7-77所示。

图7-77  配置Internet用户可以访问10.1.1.2的FTP服务 


ii. 单击“应用”。

iii. 重复上述步骤配置Internet用户可以访问10.1.1.3的Web服务。参数配置如图7-78所示。

图7-78  配置Internet用户可以访问10.1.1.3的Web服务 



1. 配置允许端口地址转换的源NAT，实现需求1。

a. 配置NAT地址池。

i. 选择“防火墙 > NAT > 源NAT”。

ii. 选择“NAT地址池”页签。

iii. 在“NAT地址池列表”中单击。参数配置如图7-79所示。

图7-79  配置NAT地址池 


iv. 单击“应用”。

说明：

· 本举例中地址池1.1.1.3～1.1.1.6和上网接口GigabitEthernet 0/0/4地址1.1.1.1/24是在同一网段的，如果地址池所在网段与上网接口不在同一个网段，注意需要在USG的下一跳设备上配置到地址池的路由。

· 如果上网接口已经配置过接口IP地址方式的NAT转换，必须先删除已有的接口IP地址NAT配置。

a. 配置源NAT。

. 选择“源NAT”页签。

i. 在“源NAT策略列表”中单击。参数配置如图7-80所示。

图7-80  配置源NAT 


ii. 单击“应用”。

1. 配置虚拟服务器，实现需求2。

a. 配置FTP服务器的虚拟服务器。

i. 选择“防火墙 > NAT > 目的NAT”，单击“虚拟服务器”页签。

ii. 在“虚拟服务器列表”中单击。参数配置如图7-81所示。

图7-81  配置FTP服务器的虚拟服务器 


iii. 单击“应用”。

b. 配置Web服务器的虚拟服务器。

i. 在“虚拟服务器列表”中单击。参数配置如图7-82所示。

图7-82  配置Web服务器的虚拟服务器 

ii. 单击“应用”。

2. 在USG以及与USG相连的网络设备上正确配置路由协议，使外网设备可以正确生成到达虚拟服务器的路由信息，使设备上可以正确生成外网的路由信息。

结果验证

1. 配置完成后选择“防火墙 > 监控 > ServerMap”，查看FTP虚拟服务器和Web虚拟服务器的配置情况。

2. 从内部网络的主机192.168.1.2可以Ping通Internet地址（如2.2.2.2）。

3. Internet上的用户（如2.2.2.2）可以通过公网地址1.1.1.2访问FTP和Web服务。

4. 选择“防火墙 > 监控 > 会话表”，查看详细会话表。如图7-83所示，以从192.168.1.2 ping 2.2.2.2为例：

图7-83  查看192.168.1.2 ping 2.2.2.2的详细会话表 

以上文章由北京艾锑无限科技发展有限公司整理