网络运维|防火墙的源NAT
2020-05-31 19:43 作者:admin 浏览量:
大家好,我是一枚从事
IT外包的
网络安全运维工程师,今天和大家分享的是
网络安全设备维护相关的内容,今天就和大家聊一聊
防火墙的源NAT。简单
网络安全运维,从防火墙学起,一步一步学成
网络安全运维大神。
网络维护是一种
日常维护,包括
网络设备管理(如计算机,服务器)、操作
系统维护(系统打补丁,系统升级)、
网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京
网络维护服务,北京
网络维修信息查询,同时您可以免费资讯北京
网络维护,北京
网络维护服务,北京
网络维修信息。专业的北京
网络维护信息就在
北京艾锑无限+
+
北京
网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京
网络维护信息
源NAT
源NAT介绍如何配置源NAT功能和NAT地址池。
源NAT
通过配置源NAT功能,可以实现将IP报文中的源IP地址由私网IP地址转换为合法的公网IP地址。
新建源NAT
基本NAT功能是指将IP报文中的源IP地址由私网IP地址转换为合法的公网IP地址,但不转换TCP/UDP协议的源端口号。基本NAT也可称为“一对一的地址转换”,即一个私网地址对应一个公网地址,一个公网地址不能同时被多个私网用户使用。
NAPT(Network Address and Port Translation)功能是指转换报文中的源IP地址的同时也转换TCP/UDP协议的源端口号,通过源端口号来区分不同的私网IP地址。NAPT属于“多对一的地址转换”,一个公网地址可以同时被多个私网用户使用,实现了公网地址的复用,解决了公网地址短缺的问题,是一种广泛使用的地址转换方式。
Easy IP功能也属于“多对一的地址转换”,与NAPT不同的是,Easy IP无需配置NAT地址池,直接使用设备接口的公网IP地址替换报文的源IP地址。Easy IP主要适用于私网内主机较少、连接Internet的出接口通过拨号方式或DHCP方式动态获得公网IP地址的小型网络环境。私网用户都通过出接口的公网IP地址来访问Internet,简化了配置过程,节约了购买公网地址的花费,降低了构建网络的成本。
与基本NAT和NAPT类似,域内NAT转换报文的源信息,可以只转换报文中的源IP地址,也可以同时转换报文中的源IP地址和源端口。但域内NAT只对在安全区域内流动的报文起作用。
通过新建源NAT,可以实现以上各种NAT功能。如果一个域间配置了多条源NAT,则按照源NAT的优先级按顺序进行匹配。只要匹配到一条源NAT就不再继续匹配剩下的源NAT。缺省情况下,越先配置的源NAT优先级越高,但是也可以通过命令手工调整源NAT之间的优先级。
1. 选择“防火墙 > NAT > 源NAT > 源NAT”。
2. 在“源NAT策略列表”中,单击“新建”。
3. 依次输入或选择各项参数,如表7-15所示。
4. 单击“应用”。
界面中显示新建的源NAT,则表明操作成功。
表 新建源NAT参数说明
参数 |
说明 |
取值建议 |
源安全区域 |
源安全区域通常为转换前的私网IP地址所在的安全区域。 |
如果配置域内NAT,请将源、目的安全区域配成一致。 |
目的安全区域 |
目的安全区域通常为转换后的公网IP地址所在的安全区域。 |
- |
源地址 |
源NAT的源IP地址。 |
源地址通常为转换前的私网IP地址。不填写时使用默认值any,表示匹配源安全区域内的任意IP地址。 |
目的地址 |
源NAT的目的IP地址。 |
不填写时使用默认值any,表示对目的IP地址不做限制。 |
服务 |
源NAT引用的服务或服务组。 |
- |
动作 |
配置是否对匹配源NAT的报文进行源地址转换。 |
· NAT转换:表示对匹配源NAT的数据报文进行源地址转换。
· 不做NAT转换:表示对匹配源NAT的数据报文不进行源地址转换。 |
描述 |
对源NAT的描述信息。 |
- |
将源地址转换为 |
选择将源地址转换为地址池中的地址或接口IP地址。 |
· 地址池中的地址:私网IP地址转换为NAT地址池中的公网IP地址。
· 接口IP地址:私网IP地址转换为“接口”的IP地址。 |
地址池 |
新建或选择NAT地址池。当“将源地址转换为”选择“地址池中的地址”时,界面显示此配置项。 |
- |
允许端口地址转换 |
允许端口地址转换可以使多个私网IP地址转换为公网IP地址。
当“将源地址转换为”选择“地址池中的地址”时,界面显示此配置项。 |
- |
接口 |
接口必须为加入目的安全区域的接口,且配置了公网IP地址。
当“将源地址转换为”选择“接口IP地址”时,界面显示此配置项。 |
- |
启用源NAT
新建源NAT后,处于启用状态。关闭源NAT后,该源NAT将不起作用。
1. 选择“防火墙 > NAT > 源NAT > 源NAT”。
2. 在“源NAT策略列表”中,选中需要启用的源NAT所在行的“启用”复选框。
取消选中“启用”复选框,禁用该源NAT。
复制源NAT
复制源NAT时,用户可以对原有的源NAT进行微调,从而形成新的源NAT。新的源NAT编号在现有源NAT最大编号的基础上递增。
当需要配置多条相似的源NAT时,可以反复执行以下操作。
1. 选择“防火墙 > NAT > 源NAT > 源NAT”。
2. 在“源NAT策略列表”中,单击需要复制的源NAT所在行的
。
3. 重新输入或选择各项参数,如表7-15所示。其中“源安全区域”和“目的安全区域”不可修改。
4. 单击“应用”。
移动源NAT
移动源NAT可以在安全区域间调整源NAT的位置,从而改变源NAT的匹配顺序。位置越高的源NAT优先级越高,越优先进行匹配。
1. 选择“防火墙 > NAT > 源NAT > 源NAT”。
2. 在“源NAT策略列表”中,单击需要移动的源NAT所在行的
。
3. 依次输入或选择各项参数,如表7-16所示。
4. 单击“确定”。
源NAT移动到相应位置,则表明操作成功。
表7-16 移动源NAT参数说明
参数 |
说明 |
取值建议 |
目标ID |
当前源NAT会移动到“目标ID”的源NAT的上方或下方。 |
- |
位置 |
· 之前:将当前源NAT移动到“目标ID”的源NAT的上方。
· 之后:将当前源NAT移动到“目标ID”的源NAT的下方。 |
- |
插入源NAT
1. 选择“防火墙 > NAT > 源NAT > 源NAT”。
2. 在“源NAT策略列表”中,单击已创建源NAT所在行的
,为当前源NAT对应的安全域间增加一条源NAT,新增源NAT插入到当前源NAT之前。
3. 重新输入或选择各项参数,如表7-15所示。其中“源安全区域”和“目的安全区域”不可修改。
4. 单击“应用”。
查询源NAT
1. 选择“防火墙 > NAT > 源NAT > 源NAT”。
2. 使用以下两种方式的一种来查询源NAT:
· 普通查询
在“源NAT策略列表”表头的下拉框中选择安全区域,单击“查询”。
· 高级查询
a. 在“源NAT策略列表”表头的下拉框中选择安全区域,单击“高级查询”。
b. 输入查询条件,如表7-15所示。
c. 单击“确定”。
以上文章由北京艾锑无限科技发展有限公司整理