中国专业IT外包服务

加入收藏

公司微博

IT外包价格计算器

您当前位置：主页 > 资讯动态 > 艾锑分享 >

网络运维|防火墙的NAT典型应用案例

2020-07-07 21:57 作者：admin

网络运维|防火墙的NAT典型应用案例

大家好，我是一枚从事IT外包的网络安全运维工程师，今天和大家分享的是网络安全设备维护相关的内容，在这里介绍下防火墙NAT的应用场景。简单网络安全运维，从Web管理轻松学起,一步一步学成网络安全运维大神。
网络维护是一种日常维护，包括网络设备管理(如计算机，服务器)、操作系统维护(系统打补丁，系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务，北京网络维修信息查询，同时您可以免费资讯北京网络维护，北京网络维护服务，北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+
+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息

外网访问服务器的源NAT+虚拟服务器

可以通过配置源NAT+虚拟服务器来简化服务器对外提供服务时的回程路由配置。

组网需求

如图7-99所示，某企业内部网络的两个安全区域通过USG连接，其中DMZ区域部署了一台FTP Server供Untrust区域用户访问。FTP Server的实际IP地址为10.1.1.2，对外公布的地址为200.10.10.1，端口号均为缺省值21。由于外网环境复杂，不方便在服务器上设置回程路由，所以通过配置NAT Inbound，使服务器缺省将回应报文发给USG，以完成回应报文的正常转发。
图配置Inbound方向的NAT组网图

项目	数据
(1)	接口号：GigabitEthernet 0/0/3 IP地址：10.1.1.1/24 安全区域：DMZ
(2)	接口号：GigabitEthernet 0/0/4 IP地址：200.10.10.1/24 安全区域：Untrust
NAT地址池	地址池名称：addresspool1 IP地址范围：10.1.1.5～10.1.1.10
FTP Server	内部地址：10.1.1.2 内部端口：21 外部地址：200.10.10.1 外部端口：21

配置思路

配置源NAT时需要根据目的地址来匹配，目的地址为FTP Server的公网IP地址。且地址池中的地址需与FTP Server的实际IP地址在同一网段。
源NAT配置的菜单路径为：“防火墙 > NAT > 源NAT”。
虚拟服务器配置的菜单路径为：“防火墙 > NAT > 目的NAT > 虚拟服务器”。

操作步骤

1. 配置接口基本参数。
a. 选择“网络 > 接口 > 接口”。
b. 在“接口列表”中单击GE0/0/3对应的

。
c. 配置接口GigabitEthernet 0/0/3。
GigabitEthernet 0/0/3的相关参数如下，其他参数使用默认值：
· 安全区域：dmz
· 模式：路由
· 连接类型：静态IP
· IP地址：10.1.1.1
· 子网掩码：255.255.255.0
d. 单击“应用”。
e. 重复上述步骤配置接口GigabitEthernet 0/0/4。
GigabitEthernet 0/0/4的相关参数如下，其他参数使用默认值：
· 安全区域：untrust
· 模式：路由
· 连接类型：静态IP
· IP地址：200.10.10.1
· 子网掩码：255.255.255.0
2. 对于USG系列，配置域间包过滤，以保证网络基本通信正常。对于USG BSR/HSR系列，不需要执行此步骤。
a. 选择“防火墙 > 安全策略 > 转发策略”。
b. 选择“转发策略”页签。
c. 在“转发策略列表”中单击

。参数配置如图7-100所示。
图7-100 配置允许Untrust安全区域用户访问FTP Server的FTP服务

3. 配置虚拟服务器，将FTP服务器私网地址10.1.1.2映射为公网地址200.10.10.1。
a. 选择“防火墙 > NAT > 目的NAT”，单击“虚拟服务器”页签。
b. 在“虚拟服务器列表”中单击

。
虚拟服务器的参数配置如图7-101所示。
图7-101 配置虚拟服务器

c. 单击“应用”。
4. 配置NAT地址池。
说明：
该地址池需要与FTP Server在同一网段，且其中的地址不被其他内网主机所使用。
a. 选择“防火墙 > NAT > 源NAT”。
b. 选择“NAT地址池”页签。
c. 在“NAT地址池列表”中单击