网络运维|防火墙的NAT典型应用案例
2020-06-02 21:08 作者:admin
大家好,我是一枚从事
IT外包的
网络安全运维工程师,今天和大家分享的是
网络安全设备维护相关的内容。今天和大家聊一聊
防火墙的NAT应用场景,简单
网络安全运维,从防火墙学起,一步一步学成
网络安全运维大神。
网络维护是一种
日常维护,包括
网络设备管理(如计算机,服务器)、操作
系统维护(系统打补丁,系统升级)、
网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京
网络维护服务,北京
网络维修信息查询,同时您可以免费资讯北京
网络维护,北京
网络维护服务,北京
网络维修信息。专业的北京
网络维护信息就在
北京艾锑无限+
+
北京
网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京
网络维护信息
域内NAT
如果服务器和普通用户部署在同一安全区域,配置域内NAT可以实现该区域的普通用户通过公网IP地址访问服务器。
组网需求
图7-94所示为某校园网的组网,Web Server同时对校内和校外提供Web服务。Web服务器和校内用户均部署在USG的Trust区域,二者通过交换机与USG相连。
为了保障服务器安全,不对用户公布服务器的真实IP地址和端口,无论是校内用户还是校外用户均只能通过公网IP地址和端口访问Web Server。
图 配置域内NAT组网图
项目 |
数据 |
(1) |
接口号:GigabitEthernet 0/0/3
IP地址:10.1.1.1/24
安全区域:Trust |
NAT地址池 |
地址池名称:addresspool1
IP地址范围:200.10.10.3~200.10.10.5 |
内网用户地址范围 |
IP地址:10.1.1.0/24 |
Web Server |
内部地址:10.1.1.2/24
内部端口:8080
外部地址:200.10.10.2/24
外部端口:80 |
配置思路
1. 为实现校内用户和校外用户均通过公网IP地址和80端口访问Web Server的需求,首先需要配置虚拟服务器。
虚拟服务器配置的菜单路径为:“防火墙 > NAT > 目的NAT > 虚拟服务器”。
2. 为实现校内用户通过公网IP地址和80端口访问Web Server的需求,除配置虚拟服务器外还需要保证校内用户访问Web Server和Web Server应答的报文均经过USG,禁止校内用户不经过USG而直接访问Web Server。
· PC访问Web Server的流量必须经过设备,这需要通过将PC的缺省网关设置为设备内网接口的IP来实现。同时,不能将Web服务器的实际IP地址告知内网用户。
· Web Server回应给PC的流量的必须经过设备,这需要通过将PC访问服务器的流量的源地址转换为公网地址来实现。这样服务器会认为访问流量来自外网,回应报文就发给设备,由设备进行转发,而不会由交换机直接转发。
域内NAT配置的菜单路径为:“防火墙 > NAT > 源NAT”。
操作步骤
1. 配置接口基本参数。
a. 选择“网络 > 接口 > 接口”。
b. 在“接口列表”中单击GE0/0/3对应的
。
c. 配置接口GigabitEthernet 0/0/3。
GigabitEthernet 0/0/3的相关参数如下,其他参数使用默认值:
· 安全区域:trust
· 模式:路由
· 连接类型:静态IP
· IP地址:10.1.1.1
· 子网掩码:255.255.255.0
d. 单击“应用”。
2. 配置域间安全策略,以保证网络基本通信正常。具体步骤略。
3. 配置虚拟服务器。
a. 选择“防火墙 > NAT > 目的NAT”,单击“虚拟服务器”页签。
b. 在“虚拟服务器列表”列表中单击
,参数配置如图7-95所示。
图7-95 配置虚拟服务器
c. 单击“应用”。
说明:
在校内用户PC上和Web Server上均需要配置到达外部网络(200.10.10.0/24)的路由,下一跳为10.1.1.1。
4. 配置NAT地址池。
a. 选择“防火墙 > NAT > 源NAT”。
b. 选择“NAT地址池”页签。
c. 在“NAT地址池列表”中单击
,参数配置如图7-96所示。
图7-96 配置NAT地址池
d. 单击“应用”。
5. 配置域内NAT。
a. 选择“源NAT”页签。
b. 在“源NAT策略列表”中单击
,参数配置如图7-97所示。
图7-97 配置源NAT
c. 单击“应用”。
结果验证
校内用户(以10.1.1.5为例)可以通过公网IP地址200.10.10.2访问Web Server。选择“防火墙 > 监控 > 会话表”,查看会话表如图7-98所示。
图7-98 结果验证
以上文章由北京艾锑无限科技发展有限公司整理