学习防火墙之前,对路由交换应要有一定的认识
- 源NAT
- 1.私网用户通过NAT No-PAT访问Internet
- 2.私网用户通过NATP访问Internet
- 3.私网用户通过Easy-IP访问Internet
- 4.私网用户通过三元组NAT访问Internet
- 5.双出口环境下私网用户通过NAPT访问Internet
源NAT
——————————————————————————————————————————————————
1.私网用户通过NAT No-PAT访问Internet
FW作为安全网关,使私网中192.168.1.0/24网段的用户可以正常访问Internet,需要在FW上配置源NAT策略。由于需要上网的用户少,采用NAT No-PAT的地址转换方式,将私网地址与公网地址一对一转换,向ISP申请了6个公网IP:210.1.1.10-15。
No-PAT也叫basic NAT,一对一地址转换,这种方式只转换IP不转换端口,而且并没有节约公网IP,所以实际中基本不常用。公网IP要大于私网用户,要不然等待公网地址释放后其他用户才可以访问。
1、配置接口IP和安全区域,完成基本参数。(二层接口)
FW:
vlan 1000
interface Vlanif1000ip address 192.168.1.254 255.255.255.0service-manage ping permitinterface GigabitEthernet1/0/1undo shutdownip address 210.1.1.1 255.255.255.0service-manage ping permitinterface GigabitEthernet1/0/2 portswitchundo shutdownport link-type accessport default vlan 1000
#
interface GigabitEthernet1/0/3portswitchundo shutdownport link-type accessport default vlan 1000firewall zone trustadd interface Vlanif1000
firewall zone untrustadd interface GigabitEthernet1/0/1
2、配置安全策略,允许指定网段与Internet进行报文交互
rule name User_to_internetsource-zone trustdestination-zone untrustsource-address 192.168.1.0 24action permit
3、配置NAT地址池,不做端口转换
nat address-group internet 0mode no-pat globalroute enablesection 0 210.1.1.10 210.1.1.15
4、配置NAT策略,实现指定网段访问互联网
nat-policyrule name nat_internetsource-zone trustdestination-zone untrustsource-address 192.168.1.0 mask 255.255.255.0action source-nat address-group internet
5、配置缺省路由,私网流量可以正常转发ISP路由器
ip route-static 0.0.0.0 0.0.0.0 210.1.1.2
6、PC配置IP和网关。略
7、在互联网方向配置到NAT地址池210.1.1.10-15的静态路由,从Internet方向返回的流量可以正常被FW转发,通常要联系ISP网络管理员来配置此静态路由。(此实验Internet直连FW,配置网关即可。)
可以Ping通Internet服务器
配置完地址池会生成静态的server-map表项,正向和反向。
防火墙的会话表,地址被转换成功。
补充:
mode no-pat global:global参数:表示生成的server-map表项不包含安全区域参数,不受域间关系的限制。配置local参数:表示生成的server-map表项包含安全区域参数,受域间限制。
route enable:开启地址池的UNR路由,同黑洞路由作用相同。
如果需要访问明确的目的internet Server服务器,NAT策略的配置:
nat-policyrule name nat_internet_Sersource-zone trustdestination-zone untrustsource-address 192.168.1.0 24destination-address 210.1.1.2 24action source-nat address-group internetrule name nonat_internetsource-zone trustdestination-zone untrustsource-address 192.168.1.0 24destination-address anyaction no-nat
——————————————————————————————————————————————————
Web
只列出重要步骤
1、配置安全策略
2、配置NAT地址池
3、配置NAT策略
——————————————————————————————————————————————————
2.私网用户通过NATP访问Internet
FW作为安全网关,为了使内部网段用户可以正常访问Internet,需要在FW上配置NAT策略,公司向ISP申请了210.1.1.5-210.1.1.10地址作为私网转换公网后的地址。
NATP属于多对一,多对多转换。转换方式IP+端口。现实中和Easy-IP一样,都应用非常广泛。
1、配置接口IP地址和安全区域
FW:
interface GigabitEthernet1/0/0ip address 192.168.254.1 255.255.255.30service-manage ping permit
#
interface GigabitEthernet1/0/1ip address 210.1.1.1 255.255.255.0service-manage ping permit
#
firewall zone trustadd interface GigabitEthernet1/0/0
firewall zone untrustadd interface GigabitEthernet1/0/1
#
ip route-static 192.168.0.0 16 192.168.254.2
ip route-static 0.0.0.0 0.0.0.0 210.1.1.2R1:
interface GigabitEthernet0/0/0ip address 210.1.1.2 255.255.255.0SW:
vlan rang 10,20,1000
!
interface vlan 1000ip add 192.168.254.2 30
interface VLAN 10ip address 192.168.10.254 255.255.255.0
interface VLAN 20ip address 192.168.20.254 255.255.255.0
!
interface GigabitEthernet 0/0switchport access vlan 1000
interface GigabitEthernet 0/1switchport access vlan 10
interface GigabitEthernet 0/2switchport access vlan 20
!
ip route 0.0.0.0 0.0.0.0 192.168.254.1
2、配置安全策略,允许指定网段与Internet进行报文交互
security-policyrule name NATP_INTERNETsource-zone trustdestination-zone untrustsource-address 192.168.10.0 mask 255.255.255.0source-address 192.168.20.0 mask 255.255.255.0action permit
3、配置NAT地址池,开启允许端口地址转换,实现公网地址复用。
nat address-group GW mode patroute enablesection 210.1.1.5 210.1.1.10
4、配置NAT策略,实现源地址转换
rule name napt_internetsource-zone trustdestination-zone untrustsource-address 192.168.10.0 mask 255.255.255.0source-address 192.168.20.0 mask 255.255.255.0action source-nat address-group GW
NATP源地址转换后,不生成Server-map表。根据session表来识别,NATP也称为端口复用NAT,如果192.168.10.1和20.1共同使用210.1.1.9公网转换的话,以携带的端口号来区分。
如果需要限制私网转公网,公网每个IP的转换比例,如下:
nat address-group GW mode patroute enablesection 210.1.1.5 210.1.1.10srcip-car-num 256
srcip-car-num命令用来配置单个公网地址对应的私网地址最大数。
——————————————————————————————————————————————————
Web
1、配置NAT地址池
2、配置安全策略
3、配置NAT策略
——————————————————————————————————————————————————
3.私网用户通过Easy-IP访问Internet
公司向ISP申请了一个公网IP地址用户和ISP互联,为了让私网用户正常访问互联网,配置出接口地址方式的源NAT策略。私网用户直接借用FW公网接口IP来访问internet。
Easy-IP:以出接口IP来转换,多对一,应用非常广泛。节约IP。不生成server-map表,Easy-IP方式不需要配置路由黑洞。
1、配置接口IP地址和安全区域(等同上例,略)
2、配置安全策略,允许指定网段与Internet进行报文交互(等同上例,略)
3、配置NAT策略
rule name easy_natsource-zone trustdestination-zone untrustsource-address 192.168.10.0 mask 255.255.255.0source-address 192.168.20.0 mask 255.255.255.0action source-nat easy-ip
以出接口的公网地址端口来区分。
——————————————————————————————————————————————————
Web
其余都一样,就NAT策略不同
——————————————————————————————————————————————————
4.私网用户通过三元组NAT访问Internet
公司向ISP申请了6个地址,210.1.1.5-210.1.1.10,通过源NAT策略访问Internet,要求私网用户与Internet上主机之间能进行P2P业务交流,如文件共享、语音视频等,Intetnet上主机也能主动访问私网用户。
回顾下,三元组NAT,同时转换IP和端口,多对一,多对多,能和P2P、语音视频等多通道协议能很好的互存。
当PC访问互联网时,如果采用五元组方式进行地址转换,外部设备无法通过转换后的地址和端口主动访问内部PC。
三元组的特点:1、端口不能复用,保证内部PC对外呈现的一致性,端口不会动态变化。2、支持外部设备通过转换后的地址和端口主动访问内部PC,防火墙没配置相关策略,也允许报文通过。
产生的server-map表:
正向:保证内部PC转换后的地址和端口不变。
反向:允许外部设备主动访问内部PC。
1、配置接口IP地址和安全区域(等同上例,略)
2、配置安全策略,允许指定网段与Internet进行报文交互(等同上例,略)
3、配置NAT地址池,开启允许端口地址转换,实现公网地址复用。
nat address-group GW 0mode full-cone globalroute enablesection 0 210.1.1.5 210.1.1.10
4、配置NAT策略。
nat-policyrule name policy_natsource-zone trustdestination-zone trustsource-address 192.168.10.0 mask 255.255.255.0source-address 192.168.20.0 mask 255.255.255.0action source-nat address-group GW
配置完成后,生成了2对Server-map表,内网主机进行NAT地址转换生成MAP表,IP和端口在老化时间内保持不变。
我们在地址池配置了full-cone global参数,Full Cone也叫全圆锥:内网主机进行NAT转换后的地址和端口在一段时间内保持不变,不会因为目的地址不同而不同。global参数在域间不受安全策略控制。
三组元NAT的两个特点,通过在NAT地址池配置full-cone global参数实现满足第一条。
第二点是关于外部到内部安全策略检查,默认情况下,防火墙开启端点无关过滤功能。
firewall endpoint-independent filter enable
endpoint-independent filter enable:开启后,报文只要命中Server-map就可以通过防火墙,不受安全策略控制。
还有防火墙对多通道协议的支持,通过ASPF保证系统对多通道协议中临时协商的端口正常进行报文过滤和NAT。
——————————————————————————————————————————————————
Web
安全策略、NAT策略和上面都一致。
——————————————————————————————————————————————————
5.双出口环境下私网用户通过NAPT访问Internet
某企业在网络边界处部署了FW作为安全网关,并分别从运营商ISP1和ISP2处购买了宽带上网服务,实现内部网络接入Internet的需求。研发部门和市场部门中的PC可以通过运营商ISP1和ISP2访问Internet,要求去往特定目的地址的流量必须经由相应的运营商来转发。当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免业务中断。
1、配置接口IP地址和安全区域
#
interface GigabitEthernet1/0/0ip address 210.1.1.1 255.255.255.0
interface GigabitEthernet1/0/1ip address 110.1.1.1 255.255.255.0
interface GigabitEthernet1/0/2ip address 192.168.10.254 255.255.255.0
interface GigabitEthernet1/0/3ip address 192.168.20.254 255.255.255.0
#
firewall zone trustadd interface GigabitEthernet1/0/2add interface GigabitEthernet1/0/3
#
firewall zone name IPS1set priority 10add interface GigabitEthernet1/0/1
firewall zone name IPS2set priority 20add interface GigabitEthernet1/0/0
#
ip route-static 0.0.0.0 0.0.0.0 110.1.1.2
ip route-static 0.0.0.0 0.0.0.0 210.1.1.2ISP1-AR
interface GigabitEthernet0/0/0ip address 110.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1ip address 61.134.1.1 255.255.255.0ISP2-AR
interface GigabitEthernet0/0/0ip address 210.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1ip address 61.134.1.2 255.255.255.0USER
C:\Users\user>route ADD 0.0.0.0 MASK 255.255.255.0 61.134.1.1
C:\Users\user>route ADD 0.0.0.0 MASK 255.255.255.0 61.134.1.2
2、配置NAT地址池
ip address-set shengchan type object address 0 192.168.10.0 mask 24
ip address-set shichang type objectaddress 0 192.168.20.0 mask 24
#
nat address-group ISP1_POOLmode patroute enablesection 0 110.1.1.5 110.1.1.10
nat address-group ISP2_POOLmode patroute enablesection 0 210.1.1.5 210.1.1.10
3、配置安全策略
security-policyrule name ISP1_INTERsource-zone trustdestination-zone IPS1source-address address-set shengchanaction permitrule name ISP2_INTERsource-zone trustdestination-zone IPS2source-address address-set shichangaction permit
4、配置NAT策略
nat-policyrule name ISP1_NETsource-zone trustdestination-zone IPS1source-address address-set shengchanaction source-nat address-group ISP1_POOLrule name ISP2_NETsource-zone trustdestination-zone IPS2source-address address-set shichangaction source-nat address-group ISP2_POOL
5、去往目的地的明细路由,还需要运营商获取ISP所属网段信息。此外,还可以使用ISP选路快速导入ISP路由,提高配置效率。ISP路由在后续ISP选路中会详细介绍。
