防火墙NAT技术

最新推荐文章于 2025-07-15 11:11:00 发布
最新推荐文章于 2025-07-15 11:11:00 发布
阅读量4.3k 收藏 17
点赞数 4
CC 4.0 BY-SA版权
文章标签: 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pink___floyd/article/details/126221771

一、源NAT:

转换方式:

no-pat只转ip地址,不转端口
NAPT即转ip也转端口
easy-ip即转ip也转端口,但转换后的ip地址只能为出接口ip地址
smart NAT预留一个公网ip进行NAPT转换方式,其余公网IP用no-pat
三元组nat转换为固定的公网ip和端口,解决NAPT随机转换地址的问题

配置步骤:

我们以NAPT为例,NAPT即同时转ip地址和端口,也可称为PAT,是一种应用最广泛的地址转换方式。
提示:这里描述项目中遇到的问题:
1.构建如下拓扑:
在这里插入图片描述
当pc访问server服务器时实现地址转换

2.如图完成接口配置及区域划分
trust——g1/0/0
dmz——g1/0/1
3.创建NAT地址池:

[FW1]nat address-group 1
提示:地址池名为1
[FW1-address-group-1] mode pat
提示:默认为pat方式,即同时转ip和端口NAPT方式。 若要配置no-pat 即为no-pat转换方式
[FW1-address-group-1] section 1 1.2.3.4 1.2.3.5
提示:进程id为1,添加了两个公网地址1.2.3.4和1.2.3.5
4.配置NAT策略:
nat-policy
rule name 1
source-zone trust
destination-zone dmz
source-address 192.168.1.0 mask 255.255.255.0
action source-nat address-group 1
提示:动作为源nat,采用地址池1方式
5.配置安全策略:
rule name pc_server
source-zone trust
destination-zone dmz
action permit

6.完成上述配置后,私网pc访问Server,在防火墙上查看会话表:

在这里插入图片描述
在这里插入图片描述
icmp VPN: public --> public 192.168.1.1:29300[1.2.3.4:2057] --> 1.1.1.5:2048
发现当192.168.1.1 ping1.1.1.5时,会转换为1.2.3.4:2057再去访问1.1.1.5:2048,完成NAPT地址转换。
提示:NAPT不会生成server-map表

二、目的NAT

1.NAT server(服务器映射)

含义: 将服务器私网地址转换成公网地址对外提供服务。

2.配置过程

(1)拓扑图
在这里插入图片描述

(2)如图,完成接口配置及区域划分
g1/0/0——dmz
g1/0/1——untrust
(3)配置nat server

[FW1]nat server global 1.1.1.1 inside 10.1.1.2
(将私网地址10.1.1.2 映射成公网地址1.1.1.1,此配置默认nat server name为0,删除此命令时undo nat server name 0,可用dis nat server查看 )
提示:建议不要将防火墙公网接口IP地址(即1.1.1.254)作为nat server 的公网ip地址如果这么做请配置带有端口和协议的nat server,避免与nat server访问防火墙的 telnet,web等管理需求冲突。

按上述配置会将服务器的所有服务项目都发布到公网,一般nat server只将服务器上特定的服务项对公网发布,一般按如下配置:
[FW1]nat server protocol tcp global 1.1.1.1 123 inside 10.1.1.2 80
(将服务器80端口服务映射为123端口供公网用户访问)
(3)查看server-map表
nat server配置完成后会生成静态server-map表,并且这里的server-map表是静态的,不需要报文来触发,只有当nat server配置被删除时,对应的server-map才会被删除。

在这里插入图片描述
正向Server-map表项
“Nat Server, any -> 1.1.1.1:123[10.1.1.2:80]” 为正向Server-map 表项,记录着服务器私网地址端口和公网地址端口的映射关系。[]内为服务器私网地址和端口、外为服务器公网地址和端口。我们将表项翻译成文字就是:任意客户端(an向(->) 1.1.1.19980 发起访问时,报文的目的地址和端口都会被转换10.1.1.2:80.其作用是在公网用户访问服务器时对报文的目的地址做转换。
反向Server-map表项
“Nat Server Reverse, 10.1.1.2[1.1.1.1] -> any”为反向Server-map表项,其作用为当私网服务器主动访问公网时,可以直接使用这个表项将报文的源地址由私网地址转换为公网地址,而不用再单独为服务器配置源NAT策略。这就是防火墙NATServer做得非常贴心的地方了,一条命令同时打通了私网服务器和公网之间出入两个方向的地址转换通道。

(4)配置安全策略
配置安全策略时要注意,策略的目的地址应为服务器的私网地址,而不是服务器对外提供的映射地址。

[FW1-policy-security-rule-1]dis th
rule name 1
destination-address 10.1.1.2 mask 255.255.255.255
service http
action permit
(5)在服务器上开启http服务,外网用户访问1.1.1.1:123,查看结果:
在这里插入图片描述
在这里插入图片描述
(6)此时查看会话表:
在这里插入图片描述
完成配置。

萨菲娜ing
关注
防火墙--NAT技术,基于源NATNAT服务器,双向NAT
weixin_74749868的博客
09-16 1828
Nat server 中192.168.100.200为公网地址,192.168.1.1为私网地址。当在后面添加no-reverse时,server-map表项只会生成生成正向server-map。在上面中发现两个私网IP地址转换了同一个出接口IP地址(192.168.2.254),但是端口号不同,同样不会生成server-map表。双向NAT是源NATNAT server的组合,并不是说同时配置了源NATNAT server。一个私网地址转换了一个公网地址,而另外两个转换了一个公网地址(预留地址)
静态NAT之(Nat server
qq_60807433的博客
10-30 530
静态NAT之:NAT server
基于nat协议下通过端口映射实现外网访问内网网站
m0_65463546的博客
07-15 2855
4在ABR路由器(R1)上配置nat和acl(来获取兴趣流量)实现内网可以访问外网,外网可以访问内网的网站。2因为涉及终端数量较少,不适用DHCP自动获取,手动配置终端、路由器、client、服务器地址。3因为本次实验模拟外网访问内网网站,所以在内网ABR服务器写一条指向外网的缺省路由。1R2为ISP设备,只能再该设备上配置ip,不得在进行其它任何配置。1ip地址规划(因为涉及网段较少,ip地址在拓扑图可直接查看)3R1仅拥有一个共有ip地址,在G0\0\1接口上。通过ip地址端口映射访问。...
NAT的核心原理以及配置
最新发布
2301_81623418的博客
07-15 1210
节省公网 IP 资源:通过端口复用(NAPT),多个内部主机可共享一个公网 IP。隐藏内部网络结构:外部网络仅能看到 NAT 设备的公网 IP,无法直接获取内部主机的私有 IP,提升安全性。灵活部署内部服务:通过端口映射(NAT Server),可将内部服务(如 Web、FTP)暴露给外部网络访问。
NAT(网络地址转换)
qq_48345422的博客
03-08 1833
IP地址复习: 在ipv4的地址中,存在ABC三类的单播地址;另ABC三类地址中还存在私有ip和公有ip的区别: 私有ip: 具有本地唯一性,不能在互联网中通讯,无需付费使用 公有ip:具有全球唯一性,可以在互联网中通讯,需要付费使用 私有ip地址: 10.0.0.0/8 172.16.0.0/16-172.31.0.0/16 192.168.0.0/24-192.168.255.0/24 NAT网络地址转换 NAT转换的过程: 边界路由器将流量向互联网转发时,进行ip...
NAT网络地址转换协议
fangandpu的博客
08-30 1631
目录 一、NAT概述 1.1概述 1.2 作用及范围 1.3 应用方向 1.4 优点 二、模拟配置实验 2.1 静态NAT 2.2 动态NAT 2.3 Easpip 2.4 静态PAT 三、总结 一、NAT概述 1.1概述 NAT网络地址转换)是1994年提出的。...
网络地址转换协议——NAT(恐怕是最全的版本)
肥猫警长的博客
08-30 6432
前天我说第二天要跟大家讲一下NAT的,结果放假有些懒,所以就放在今天更新,希望大家不要凶我,哈哈哈。 目录 一、什么是NAT 1.NAT简介 2.NAT作用 3.NAT内网地址的范围 4.主要应用方向: 5.NAT的优点: 二、NAT的几种类型 三、NAT类型的对应实验 1.静态NAT 代码 PC机设置​ ping测试 ​2.动态NAT--PAT 代码 PC机设置 ping测试 三.Easyip 代码 PC机设置 ping通测试 四.静态PAT ...
华为防火墙nat端口映射
06-07
对应主页文章名称
华为防火墙NAT源地址转换基础配置详解
2301_77508242的博客
08-09 5504
本实验主要针对防火墙NAT基本的配置进行详解,内容主要有防火墙Easy IP NAT的基础配置和NAPT以及NO-PAT基本配置实验最后再通过防火墙NAT服务器映射转换。
【实战教程】防火墙常见NAT技术,让你一次看个够!
didiplus
01-18 2711
网络安全的巨浪中,NAT(Network Address Translation,网络地址转换)技术如一道巧妙的幕后英雄,通过修改数据包的地址信息,为网络提供了额外的安全隐匿层。这种技术允许多个内部设备共享同一个公共IP地址,有效遏制了潜在威胁,同时为网络布局提供了更灵活的可能性。在防火墙的舞台上,NAT技术犹如一把神奇的变形剑,为网络安全策略增色添彩,实现了内外网络间的巧妙互动。今天继续接着上一节的内容完成今天的内容,今天主要讲解防火墙上常见的NAT技术
NATNAT Server 三十二字真言(上篇)
weixin_34315665的博客
11-20 409
NAT Server基础篇放出来后,论坛的小伙伴大呼不过瘾。为了感谢大家的支持,强叔挑灯夜战,总算是把三十二字真言的前半段内容给赶制出来了。还记得真言前十六个字的内容吗?—— 一正一反,出入自如;去反存正,自断出路。一正一反,出入自如所谓入,是指公网用户访问私网服务器;所谓出,是指私网服务器主动访问公网。下面强叔就要向大家展示下防火墙配置NAT Server后,如何做到公网用...
NAT网络地址转换&PAT端口! ! ! ! ! !
panrenjun的博客
11-18 2306
文章目录一、NAT网络地址转换1、NAT工作原理2、私有网络地址和公有网络地址3、NAT功能4、静态NAT二、PAT端口多路复用1、PAT有以下作用:2、PAT的类型有以下:(1).NATP(2).Easy Ip(3). NAT Server 一、NAT网络地址转换 NAT(Network Address Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访。 1、NAT工作原理 NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信。 NA
NAT技术笔记
天上掉馅饼
12-03 2455
NAT
NAT Server
m0_55944701的博客
02-26 353
内部Source:192.168.12.1 ping 公网任意地址,全部转换为202.100.34.100的公网地址。# 公网 telnet 202.100.34.10 ------------------>192.168.12.1。# 公网地址向私网地址192.168.12.1发起telnet会话时转换成公网地址202.100.34.10。# 外部公网地址 ping 202.100.34.100,全部转换为私网地址 192.168.12.1。
目的NAT server;公网用户通过NAT Server访问内部服务器
2301_77023501的博客
11-16 710
当通过global IP地址配置nat server后,再通过基于接口地址的方式配置nat server,当被借用的接口的地址与global IP地址相同时,二者冲突,基于接口方式的nat server不生效。当内网部署了一台服务器,其真实IP是私网地址,但是希望公网用户可以通过一个公网地址来访问该服务器,这时可以配置nat server,使设备将公网用户访问该公网地址的报文自动转发给内网服务器。外部网络的用户访问内部服务器时,nat将请求报文的目的地址转换成内部服务器的私有地址。转换结果,已成功转换。
NAT工作原理与配置
q1y2y3的博客
03-22 2045
NAT(Network Address Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访。公网地址是指在互联网上全球唯一的ip地址,私有地址是指内部网络的IP地址和主机的IP地址,一般在一个单位或公司内部使用。这样做是为了减少IP不足的问题,而这个私网地址转到公网的过程就需要使用NATNAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机相连。NAT外部的主机无法跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路
学习日志--防火墙ServerNat[FW01]nat server web01 global 12.1.1.201 inside 192.168.1.201 no-reverse
m0_62560069的博客
09-07 1594
实际上server-nat的整个过程就是,通过配置nat-server规则,就会生成server-mat表,在流量进来的时候会匹配server-map表,然后匹配成功生成防火墙的五元素会话表,根据会话表来确定流量的放行还是截至。Server-NAT黑洞路由的配置,可以直接配置黑洞接口NULL0,也可以直接配置unr-router,自动生成黑洞路由。
NAT实验
dyslhl的博客
07-15 387
NAT实验
华为防火墙nat66
03-20
### 关于华为防火墙 NAT66 的配置及实现方式 目前,在已知的信息中并未提及具体的 **NAT66** 技术或功能。通常情况下,提到的是 **NAT64** 或者传统的 IPv4 和 IPv6 地址之间的转换机制[^1]。 然而,基于现有对 NAT 功能的理解以及华为防火墙的相关特性[^2],可以推测所谓的 “NAT66” 可能是指一种针对纯 IPv6 网络环境下的地址转换或者流量管理方案。以下是可能的实现思路和技术细节: #### 1. 基础概念 NAT66 是指在两个不同的 IPv6 网络之间进行地址翻译的技术。这种技术主要用于解决以下场景: - 当企业内部存在多个独立分配的 IPv6 地址段时,为了统一出口地址而使用 NAT66。 - 在某些特殊环境中,IPv6 地址资源有限的情况下,通过共享公共 IPv6 地址来减少对外部公网地址的需求。 尽管 NAT66 并不像 NAT44 或 NAT64 那样广泛讨论,但在实际应用中确实存在类似的场景需求。 --- #### 2. 华为防火墙中的 NAT66 实现原理 根据现有的 NAT 技术理论和华为防火墙的功能特点,NAT66 的实现可以通过以下几个方面完成: ##### (1) 外部 IP 地址池配置 类似于传统动态 NAT 中使用的外网 IP 地址池,NAT66 同样需要定义一个全局可用的 IPv6 地址范围作为外部地址池。这些地址用于映射内部私有的 IPv6 地址。 ```bash # 定义 IPv6 地址池 ipv6 address-pool global start-address ::1 end-address ::ffff ``` 上述命令表示创建了一个从 `::1` 到 `::ffff` 的全球唯一 IPv6 地址池。 --- ##### (2) 流量匹配规则设置 为了让特定流量触发 NAT66 转换过程,需制定相应的 ACL(访问控制列表)规则以识别目标数据包并决定其是否需要经过地址转换。 ```bash acl number 3000 rule permit ipv6 source fc00::/7 destination external-network-prefix ``` 此示例展示了如何允许来自本地链路 (`fc00::/7`) 的请求进入外部网络,并对其进行进一步处理。 --- ##### (3) 应用 NAT 策略 最后一步就是关联之前建立好的地址池与过滤条件,从而形成完整的 NAT66 工作流程。 ```bash nat-policy interzone trust untrust inbound source-nat pool global acl 3000 ``` 以上脚本片段表明对于由受信任区域发起且符合 ACL 编号 3000 描述特征的数据流实施源地址替换操作,具体替换成预先设定好的全局 IPv6 地址集合成员之一。 --- #### 3. 注意事项 虽然理论上支持此类高级别的地址变换服务,但由于 IPv6 设计初衷即旨在消除因缺乏足够数量公有IP所引发的各种局限性问题,因此除非特别必要否则一般不会推荐频繁运用像 NAT 这样的中间层干预手段干扰正常通讯模式。 --- ### 结论 综上所述,即便当前官方文档未明确标注有关 NAT66 的详尽指导方针,但从逻辑推导角度出发依然能够构建起一套切实可行的操作框架供参考实践之用[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值