中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

華為防火墻NAT技術

發布時間:2020-02-27 04:07:57 來源:網絡 閱讀:1600 作者:周小玉 欄目:安全技術

一、NAT類別

華為防火墻NAT技術

二、NAT工作流程

華為防火墻NAT技術

三、源NAT知識點

華為防火墻NAT技術

四、目的NAT知識點

華為防火墻NAT技術

nat address-group pool 0 #定義地址組名稱pool

route enable #為地址池生成UNR路由,該UNR路由的作用與黑洞路由作用相同,可以防止路由環路

mode no-pat local #表示本地的三元組模式或no-pat模式,會生成Server-Map表
section 0 123.126.1.1 123.126.1.100 #公網地址段

nat-policy
 rule name no-pat
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 24
  action nat address-group pool


nat-policy interzone trust untrust outbound 源地址轉換
policy 1
action source-nat
easy-ip G0/0/2

華為防火墻NAT技術

 nat server IPS1 zone 10M protocol tcp global 123.226.100.202 211 inside 192.168.2.22 211
 nat server IPS2 zone 100M protocol tcp global 222.226.100.202 211 inside 192.168.2.22 211

nat server mail protocol tcp global 123.124.1.1 1414 inside 192.168.100.100 81 #服務器端口映射

nat server OA protocol tcp global 123.124.1.1 8000 inside 192.168.1.3 80 no-reverse #可以訪問外網

華為防火墻NAT技術

華為防火墻NAT技術

firewall interzone untrust dmz
detect ftp

六、黑洞路由

華為防火墻NAT技術

display nat server 查看服務器映射關系

display firewall session aging-time #查看session老化時間
display firewall server-map 查看server-map

NAT地址池中的地址不一定為連續的地址(使用排除地址功能可以排除這個地址范圍某些特殊的IP地址)

配置源NAT策略:設備對報文進行轉換時,先查找域間的安全策略,只有通過安全策略檢查,命中域間NAT策略匹配條件才會進行地址轉換
配置NAT Server:設備收到匹配Server-map表的報文后,先轉換報文的目的地址,然后再檢查安全策略,因此安全策略中指定的源地址為轉換后的地址,私網地址
NAT轉換是否對ESP報文生效:不允許端口轉換的源NAT策略和NAT Server對ESP報文生效


防火墻僅對首包過匹配,形成會話表,后續報文按照規則轉發
UDP也可以形成會話表,ICMP也可以
同一鏈接的前后報文具有相關性


某企業在部署網絡邊界防火墻時,配置了NAT Server,源NAT,OSPF路由和相關安全策略,數據到達防火墻時,防火墻墻處理順序為
NAT server>OSPF路由>安全策略>源NAT(在配置NAT Server時防火墻會產生靜態Server MAP表項)
NAT支持FTP協議,不能兼容所有的IPsec協議,比如AH

NO-PAT只支持網絡層的協議地址轉換,也就是僅僅進行3層的轉換,不做4層的端口轉換


NAT server或SLB(server load balancing)時
在配置NAT server后,設備會生成正反兩個方向的靜態server-map表項,用于存放global地址與inside地址映射關系。設備根據這種映射關系對報文的地址進行轉換并轉發

在SLB功能中,由于需要將內網多個服務器以同一個IP地址對外發布,所以也會建立與NAT server類似的server-map表項,只不過根據內網服務器的個數需要建立1個正向表項和N個反向表項

NO-PAT:設備會為有實際的流量的數據流建立server-map表,用于存放私網IP地址與公網IP地址的映射關系

NO-PAT方式生成的server-map表項,有正反兩個方向的表項
正向server-map用于保證trust區域訪問internet時,可以快速轉換地址,提高效率
反向server-map可以讓internet上的用戶主動訪問trust區域的主機(需要通過安全策略檢查)
dis firewall server-map no-pat

NAT ALG(應用級網關)是特定的應用協議的轉換代理,可以完成應用層數據中攜帶的地址及端口號信息的轉換

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

册亨县| 积石山| 九龙坡区| 哈巴河县| 潮安县| 富蕴县| 社旗县| 广昌县| 沂南县| 吴桥县| 康马县| 郓城县| 广宗县| 昆明市| 承德市| 长顺县| 张家口市| 乌什县| 菏泽市| 南华县| 新乐市| 元阳县| 聂拉木县| 五大连池市| 察隅县| 饶阳县| 娄烦县| 辛集市| 桐城市| 分宜县| 敦化市| 华容县| 无棣县| 友谊县| 彭水| 冷水江市| 平舆县| 都安| 韶关市| 鸡西市| 陇西县|