網(wǎng)絡(luò)運(yùn)維|防火墻的NAT典型應(yīng)用案例

2020-06-02 21:08 作者：admin

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容。今天和大家聊一聊防火墻的NAT應(yīng)用場(chǎng)景，簡(jiǎn)單網(wǎng)絡(luò)安全運(yùn)維，從防火墻學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。
網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級(jí))、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無(wú)限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息查詢(xún)，同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息。專(zhuān)業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無(wú)限+
+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽(yáng)豐臺(tái)北京周邊海淀、大興、昌平、門(mén)頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息

域內(nèi)NAT

如果服務(wù)器和普通用戶部署在同一安全區(qū)域，配置域內(nèi)NAT可以實(shí)現(xiàn)該區(qū)域的普通用戶通過(guò)公網(wǎng)IP地址訪問(wèn)服務(wù)器。

組網(wǎng)需求

圖7-94所示為某校園網(wǎng)的組網(wǎng)，Web Server同時(shí)對(duì)校內(nèi)和校外提供Web服務(wù)。Web服務(wù)器和校內(nèi)用戶均部署在USG的Trust區(qū)域，二者通過(guò)交換機(jī)與USG相連。
為了保障服務(wù)器安全，不對(duì)用戶公布服務(wù)器的真實(shí)IP地址和端口，無(wú)論是校內(nèi)用戶還是校外用戶均只能通過(guò)公網(wǎng)IP地址和端口訪問(wèn)Web Server。
圖  配置域內(nèi)NAT組網(wǎng)圖 

項(xiàng)目	數(shù)據(jù)
(1)	接口號(hào)：GigabitEthernet 0/0/3 IP地址：10.1.1.1/24 安全區(qū)域：Trust
NAT地址池	地址池名稱(chēng)：addresspool1 IP地址范圍：200.10.10.3～200.10.10.5
內(nèi)網(wǎng)用戶地址范圍	IP地址：10.1.1.0/24
Web Server	內(nèi)部地址：10.1.1.2/24 內(nèi)部端口：8080 外部地址：200.10.10.2/24 外部端口：80

配置思路

1. 為實(shí)現(xiàn)校內(nèi)用戶和校外用戶均通過(guò)公網(wǎng)IP地址和80端口訪問(wèn)Web Server的需求，首先需要配置虛擬服務(wù)器。
虛擬服務(wù)器配置的菜單路徑為：“防火墻 > NAT > 目的NAT > 虛擬服務(wù)器”。
2. 為實(shí)現(xiàn)校內(nèi)用戶通過(guò)公網(wǎng)IP地址和80端口訪問(wèn)Web Server的需求，除配置虛擬服務(wù)器外還需要保證校內(nèi)用戶訪問(wèn)Web Server和Web Server應(yīng)答的報(bào)文均經(jīng)過(guò)USG，禁止校內(nèi)用戶不經(jīng)過(guò)USG而直接訪問(wèn)Web Server。
· PC訪問(wèn)Web Server的流量必須經(jīng)過(guò)設(shè)備，這需要通過(guò)將PC的缺省網(wǎng)關(guān)設(shè)置為設(shè)備內(nèi)網(wǎng)接口的IP來(lái)實(shí)現(xiàn)。同時(shí)，不能將Web服務(wù)器的實(shí)際IP地址告知內(nèi)網(wǎng)用戶。
· Web Server回應(yīng)給PC的流量的必須經(jīng)過(guò)設(shè)備，這需要通過(guò)將PC訪問(wèn)服務(wù)器的流量的源地址轉(zhuǎn)換為公網(wǎng)地址來(lái)實(shí)現(xiàn)。這樣服務(wù)器會(huì)認(rèn)為訪問(wèn)流量來(lái)自外網(wǎng)，回應(yīng)報(bào)文就發(fā)給設(shè)備，由設(shè)備進(jìn)行轉(zhuǎn)發(fā)，而不會(huì)由交換機(jī)直接轉(zhuǎn)發(fā)。
域內(nèi)NAT配置的菜單路徑為：“防火墻 > NAT > 源NAT”。

操作步驟

1. 配置接口基本參數(shù)。
a. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。
b. 在“接口列表”中單擊GE0/0/3對(duì)應(yīng)的。
c. 配置接口GigabitEthernet 0/0/3。
GigabitEthernet 0/0/3的相關(guān)參數(shù)如下，其他參數(shù)使用默認(rèn)值：
· 安全區(qū)域：trust
· 模式：路由
· 連接類(lèi)型：靜態(tài)IP
· IP地址：10.1.1.1
· 子網(wǎng)掩碼：255.255.255.0
d. 單擊“應(yīng)用”。
2. 配置域間安全策略，以保證網(wǎng)絡(luò)基本通信正常。具體步驟略。
3. 配置虛擬服務(wù)器。
a. 選擇“防火墻 > NAT > 目的NAT”，單擊“虛擬服務(wù)器”頁(yè)簽。
b. 在“虛擬服務(wù)器列表”列表中單擊，參數(shù)配置如圖7-95所示。
圖7-95  配置虛擬服務(wù)器  c. 單擊“應(yīng)用”。
 說(shuō)明：
在校內(nèi)用戶PC上和Web Server上均需要配置到達(dá)外部網(wǎng)絡(luò)（200.10.10.0/24）的路由，下一跳為10.1.1.1。
4. 配置NAT地址池。
a. 選擇“防火墻 > NAT > 源NAT”。
b. 選擇“NAT地址池”頁(yè)簽。
c. 在“NAT地址池列表”中單擊，參數(shù)配置如圖7-96所示。
圖7-96  配置NAT地址池  d. 單擊“應(yīng)用”。
5. 配置域內(nèi)NAT。
a. 選擇“源NAT”頁(yè)簽。
b. 在“源NAT策略列表”中單擊，參數(shù)配置如圖7-97所示。
圖7-97  配置源NAT  c. 單擊“應(yīng)用”。

結(jié)果驗(yàn)證

校內(nèi)用戶（以10.1.1.5為例）可以通過(guò)公網(wǎng)IP地址200.10.10.2訪問(wèn)Web Server。選擇“防火墻 > 監(jiān)控 > 會(huì)話表”，查看會(huì)話表如圖7-98所示。
圖7-98  結(jié)果驗(yàn)證  以上文章由北京艾銻無(wú)限科技發(fā)展有限公司整理