防火墙与入侵检测项目综合实训

防火墙与入侵检测项目综合实训

防火墙与入侵检测项目综合实训.............................1

一、实训目的.....................................................................3

二、实训拓扑.....................................................................3

二、实训项目总体需求.............................................................3

四、小组分工.....................................................................4

五、分步实施.....................................................................4

（一）各设备之间互联的IP地址规划与部分设备路由规划........................4

（1）各个设备之间互联的【P地址如下表所示...............................4

（2）部分设备路由规划...................................................6

（二）区域规划...............................................................7

（三）双机热备...............................................................8

（1）双机热备简介........................................................8

（2）双机热备的系统要求.................................................8

（3）心跳线..............................................................8

（4）双机热备工作模式...................................................9

（5）具体实施............................................................9

（四）设置区域间的安全策略.................................................11

（五）网络地址转换..........................................................13

（1）策略路由简介......................................................13

（2）策略路由原理描述..................................................14

（3）使用限制和注意事项................................................14

（4）具体实施...........................................................15

（六）NATServer.......................................................16

（1）NAT简介...........................................................16

（2）NAT使用限制和注意事项............................................16

（3）具体实施...........................................................18

（七）VPN的配置............................................................19

（1）VPN简介...........................................................19

（2）VPN的应用场景及选择..............................................19

（3）具体实施...........................................................20

（八）反病毒、防简单攻击、入侵防御的配置..................................21

（1）反病毒（AV）..................................................21

（2）简单攻击防范......................................................23

（3）入侵防御（IPS）................................................24

六、各项测试....................................................................27

（-）双机热备测试..........................................................27

（-）网络地址转换测试.....................................................28

（三）NATServer测试.......................................................31

（四）VPN测试..............................................................37

七、附录........................................................................41

（一）Ml配置文件的部分配置（终端密码：admin@123）：......................41

（二）FW2配置文件的部分配置（终端密码：adniin@123）：......................45

（三）FW3配置文件的部分配置（终端密码：admin@123）：......................46

（四）FW4配置文件的部分配置（终端密码：admin@123）：......................49

一、实训目的

1、巩固之前所学的防火墙与入侵检测配置

2、培养对防火墙中各项功能综合运用的能力

二、实训拓扑

0.0.0/142.…24

BhernHdQW一V

Server3

Clientl

ictoiyi

]……10.1.1.0/24

,GE1的

外网电IS

Server蝌通100.0.0.0/8

8.0.0.0/8

DMZE

1.1.1.0/24

172.16.zee

PMVPN殷芳25

unnel2.2.2.0/24

©E1QHE1XV2

证(MX3

192.168

192.168192.168

；EW1

z^QE(MV1

0/24172.16.3.0/.

•emetOXVI

172.16.3

172.16

三、实训项目总体需求

本拓扑是某校园网拓扑图，此校园网有分校区，分校区与校本部用VPN互联

（防火墙FW3与FW4）。

校园网的出口有两台防火墙（FW1与FW2）,此两台防火墙互为冗余备份且进

行负载分担:宿舍区和DMZ区的主网关为FW1,教学区和办公区的主网关为FW2。

防火墙FW1和FW2提供校园网内用户上外网，并且提供外网用户访问DMZ区

服务器。内网服务器分别对应电信公网ip：8.0.0.240、联通公网TP：100.0.0.240。

（两台防火墙都做NATSERVER转换，防火墙连接外网的线路也要做双机热备）

内网用户访问电信网段时（/24、98.0.0.0/24）,内网地址转换为

电信地址池（8.0.0.10-8.0.0.11）且走电信出口；访问联通网段时（200.0.0.0/24、

220.0.0.0/24网段），内网地址转换为联通地址池（100.0.0.10-100.0.0.1D且

走联通出口，其他网段走电信出口，内网地址转换地址池为8.0.0.20-8.0.0.2k

防火墙要保护内网安全，部署基本的防病毒和入侵检测功能，还要能抵御一

些常见的攻击行为。

内网之间访问需要控制，不允许宿舍区区域访问办公区区域。

四、小组分工

姓名分配

区域规划；

区域间安全策略；

网络地址转换；

组长

NATServer>VPN配置；

各项测试，

文档黄写

IP地址规划：

路由规划；

组员

双机热备；

反病毒、防简单攻击、入侵防御的配置

五、分步实施

（-）各设备之间互联的IP地址规划与部分设备路由规划

（1）各个设备之间互联的IP地址如下表所示

FW1：

GigabitEthernet1/0/01.1.1.1/24

GigabitEthernet1/0/1192.168.6.252/24

GigabitEthernet1/0/2192.168.5.252/24

GigabitEthernet1/0/3192.168.4.252/24

GigabitEthernet1/0/4172.16.200.252/24

GigabitEthernet1/0/5100.0.0.252/8

GigabitEthernet1/0/68.0.0.252/8

FW2：

GigabitEthernet1/0/01.1.1.2/24

GigabitEthernet1/0/1192.168.6.253/24

GigabitEthernet1/0/2192.168.5.253/24

GigabitEthernetl/0/3192.168.4.253/24

GigabitEthcrnctl/O/4172.16.200.253/24

GigabitEthernet1/0/5100.0.0.253/8

GigabitEthernet1/0/68.0.0.253/8

FW3：

GigabitEthernet0/0/0192.168.0.1/24

GigabitEthernet1/0/0192.168.1.2/24

GigabitEthernet1/0/1192.168.2.2/24

GigabitEthernet1/0/2192.168.3.2/24

GigabitEthernet1/0/61.1.1.2/24

Tunnell2.2.2.2/24

FW4：

GigabitEthernetO/O/O192.168.0.1/24

GigabitEthernet1/0/010.1.1.254/24

GigabitEthernet1/0/61.1.1.1/24

Tunnell2.2.2.1/24

RI：

GigabitEthernet0/0/0192.168.6.1/24

GigabitEthernetO/O/1192.168.1.1/24

GigabitEthernet0/0/2172.16.1.254/24

R2：

GigabitEthernet0/0/0192.168.5.1/24

GigabitEthernetO/O/1192.168.2.1/24

GigabitEthernet0/0/2172.16.2.254/24

R3：

GigabitEthernet0/0/0192.168.4.1/24

GigabitEthernetO/O/1192.168.3.1/24

GigabitEthernet0/0/2172.16.3.254/24

R4：

GigabitEthernet0/0/0100.0.0.1/8

GigabitEthernetO/O/1200.0.0.254/24

GigabitEthernet0/0/2220.0.0.254/24

R5：

GigabitEthernet0/0/08.0.0.1/8

GigabitEthernetO/O/188.0.0.254/24

GigabitEthornot0/0/298.0.0.254/24

其余的设备:

CLIENT1E0/0/0200.0.0.1/24

（网关为200.0.0.254）

SERVER2E0/0/0220.0.0.1/24

（网关为220.0.0.254）

CLIENT2E0/0/088.0.0.1/24

（网关为88.0.0.254）

SERVER3E0/0/098.0.0.2/24

（网关为98.0.0.254）

CLIENT3E0/0/0172.16.1.2/24

（网关为172.16.L254）

SERVER1E0/0/0172.16.200.1/24

（网关为172.16.200.254）

PC1E0/0/110.1.1.1/24

PC2E0/0/1172.16.1.1/24

PC3E0/0/1172.16.2.1/24

PC4E0/0/1172.16.3.1/24

（2）部分设备路由规划

FW1与FW2：

iproute-static0.0.0.00.0.0.08.0.0.1

iproute-static172.16.1.0255.255.255.0192.168.6.1

iproute-static172.16.2.0255.255.255.0192.168.5.1

iproute-static172.16.3.0255.255.255.0192.168.4.1

FW3：

iproute-static10.1.1.0255.255.255.0Tunnell

iproute-static172.16.1.0255.255.255.0192.168.1.1

iproute-static172.16.2.0255.255.255.0192.168.2.1

iproute-static172.16.3.0255.255.255.0192.168.3.1

FW4：

iproute-static172.16.0.0255.255.0.0Tunnell

RI

iproute-static0.0.0.00.0.0.0192.168.6.254

iproute-static10.0.0.0255.0.0.0192.168.1.2

R2

iproute-static0.0.0.00.0.0.0192.168.5.254

iproute-static10.0.0.0255.0.0.0192.168.2.2

R3

iproute-static0.0.0.00.0.0.0192.168.4.254

iproute-static10.0.0.0255.0.0.0192.168.3.2

（二）区域规划

FW1与FW2：

ZONE安全级别接口

local100

hrp（心跳线）90GigabitEthcrnct1/0/0

GigabitEthernet0/0/0

trust（办公区）85

GigabitEthernet1/0/3

teach（教学区）60GigabitEthernet1/0/2

dorm（宿舍区）55GigabitEthcrnct1/0/1

dmz（服务器）50GigabitEthernet1/0/4

unicorn（外网联通）10GigabitEthernet1/0/5

telecom（外网电信）15GigabitEthernetl/0/6

FW3：

ZONE安全级别接口

local100

GigabitEthernet0/0/0

trust（办公区）85

GigabitEthernet1/0/2

teach（教学区）60GigabitEthernet1/0/1

dorm（宿舍区）55GigabitEthernet1/0/0

dmz50Tunnell

untrust（外网）5GigabitEthernet1/0/6

FW4：

ZONE安全级别接口

local100

trust85GigabitEthernet1/0/0

dmz50Tunnell

untrust（外网）5GigabitEthcrnct1/0/6

（三）双机热备

（1）双机热备简介

FW部署在网络出口位置时，如果发生故障会影响到整网业务。为提升网络

的可靠性，需要部署两台FW并组成双机热备。

双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立

的链路连接，这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端

的健康状况，向对端备份配置和表项（如会话表、IPSecSA等）。当一台FW出

现故障时，业务流量能平滑地切换到另一台设备上处理，使业务不中断。

（2）双机热备的系统要求

A、硬件要求

组成双机热备的两台FW的型号必须相同，安装的单板类型、数量以及单板

安装的位置必须相同。

两台FW的硬盘配置可以不同。例如，一台FW安装硬盘，另一台FW不安装

硬盘，不会影响双机热备的运行。但未安装硬盘的FW日志存储量将远低于安装

了硬盘的FW,而且部分日志和报表功能不可用。

B、软件要求

组成双机热备的两台I'W的系统软件版本、系统补丁版本、动态加载的组件

包、特征库版本都必须相同。

实际上，在系统软件版本升级或回退的过程中，两台FW可以暂时运行不同

版本的系统软件。例如，一台设备的软件版本为V500R001C50,另一台设备1勺软

件版本为V500R001C30SPC300o

对于USG9500,组成双机热备的两台设备的EASH选板模式以及HASH因子必

须一致。

C、License要求

双机热备功能自身不需要License。但对于其他需要License的功能，如IPS、

反病毒等功能，组成双机热备的两台FW需要分别申请和加载License,两台FW

之间不能共享Licensee两台FW的License控制项种类、资源数量、升级服务

到期时间都要相同。

校园网的出口有两台防火墙（FW1与FW2）,此两台防火墙互为冗余备份且进

行负载分担：宿舍区和DMZ区的主网关为FW1,教学区和办公区的主网关为FW2。

（3）心跳线

双机热备组网中，心跳线是两台FW交互消息了解对端状态以及备份配置命

令和各种表项的通道。心跳线两端的接口通常被徐之为“心跳接口”。

心跳线主要传递如下消息：

•心跳报文（Hello报文）：两台FTV通过定期（默认周期为1秒）互相发送

心跳报文检测空端设备是否存活。

•VGMP报文：了解对端设备的VGMP组的状态，确定本端和对端设备当前状

态是否稳定，是否要进行故障切换。

•配置和表项备份报文：用于两台FW同步配置命令和状态信息。

•心跳链路探测报文：用于检测对端设备的心跳口能否正常接收本端设备的

报文，确定是否有心跳接口可以使用。

•配置一致性检查报文：用于检测两台FW的关键配置是否一致，如安全策

略、NAT等。

上述报文均不受FW的安全策略控制。因此，不需要针对这些报文配置安全

策略。

（4）双机热备工作模式

•主备备份模式：

两台设备一主一备。正常情况下业务流量由主用设备处理。当主用设备故障

时，备用设备接替主用设备处理业务流量，保证业务不中断。

a）流量由单台设备处理，相较于负载分担模式，路由规划和故障定位相

对简单。

­负载分担模式：两台设备互为主备。正常情况下两台设备共同分担整网的业

务流量。当其中一台设备故障时，另外一台设备会承担其业务，保证原本通

过该设备转发的业务不中断。

a）相较于主备备份模式，组网方案和配置相对复杂。

b）负载分担组网中使用入侵防御、反病毒等内容安全检测功能时，可

能会因为流量来回路径不一致导致内容安全功能失效。

c）负载分担组网中配置NAT时，需要额外的配置来防止两台设备NAT

资源分配冲突。

d）负载分担模式组网中流量由两台设备共同处理，可以比主备备份模

式或镜像模式组网承担更大的峰值流量。

e）负载分担模式组网中设备发生故障时，只有一半的业务需要切换，

故障切换的速度更快。

（5）具体实施

此处使用基于VRRP的双机热备，工作模式为负载分担模式，使两台设备共

同分担整网的业务流量，并FW1和FW2使用GigabitEthernetl/0/O作为心跳口

以两台FW交互消息了解对端状态以及备份配置命令和各种表项。

A、FW1

#配置VRRP备份组

//宿舍区的主网关是El

interfaceGigabitEthernct1/0/1

vrrpvrid4virtual-ip192.168.6.254active

//教学区的主网关是FW2

interfaceGigabitEthernet1/0/2

vrrpvrid5virtual-ip54standby

〃办公区的主网关是FW2

interfaceGigabitEthernet1/0/3

vrrpvrid6virtual-ip192.168.4.254standby

//DMZ区的主网关是FW1

interfaceGigabitEthernet1/0/4

vrrpvrid3virtual-ip54active

//负载分担，选FW1出入联通网

interfaceGigabitEthernet1/0/5

vrrpvrid1virtual-ip100.0.0.254active

〃负载分担，选FW2出入电信网

interfaceGigabitEthernet1/0/6

vrrpvrid2virtual-ip8.0.0.254standby

#配置心跳口与开启双机热备

//配置心跳口IP

interfaceGigabitEthernet1/0/0

ipaddress1.1.1.1255.255.255.0

〃启用双机热备功能

hrpenable

//配置心跳口

hrpinterfaceGigabitEthernet1/0/0remote1.1.1.2

//启用会话快速备份功能

hrpmirrorsessionenable

B、FW2

#配置VRRP备份组

//宿舍区的主网关是FW1

interfaceGigabitEthernet1/0/1

vrrpvrid4virtual-ip192.168.6.254standby

//教学区的主网关是FW2

interfaceGigabitEthernet1/0/2

vrrpvrid5virtual-ip192.168.5.254active

〃办公区的主网关是FW2

interfaceGigabitEthernet1/0/3

vrrpvrid6virtual-ip192.168.4.254active

//DMZ区的主网关是FW1

interfaceGigabitEthernet1/0/4

vrrpvrid3virtual-ip172.16.200.254standby

//负载分担，选FW1出入联通网

interfaceGigabitEthernet1/0/5

vrrpvrid1virtual-ip100.0.0.254standby

〃负载分担，选FW2出入电信网

interfaceGigabitEthei'ne11/0/6

vrrpvrid2virtual-ip54active

#配置心跳口与开启双机热备

〃配置心跳口IP

interfaceGigabitEthernet1/0/0

ipaddress1.1.1.2255.255.255.0

〃启用双机热备功能

hrpenable

〃配置心跳口

hrpinterfaceGigabitEthernet1/0/0remote1.1.1.1

〃启用会话快速备份功能

hrpmirrorsessionenable

（四）设置区域间的安全策略

A、FW1与FW2

〃内网访问外网

rulenameinnertooutl

source-zonetrust

source-zonedorm

source-zoneteach

destination-zoneunicorn

actionpermit

rulenameinner_to_out2

source-zonetrust

source-zonedorm

source-zoneteach

destination-zonetelecom

actionpermit

//内网访问DMZ区的服务器的FTP、HTTP服务

rulenameiner_to_dnz_http_ftp_icmp

source-zonetrust

source-zonedorm

source-zoneteach

destination-zonednz

destination-address32

servicehttp

serviceftp

actionpermit

〃拒绝宿舍区访问办公区

rulenamedorm_trust_deny

source-zonedorm

destination-zonetrust

actiondeny

〃允许外网访问DMZ区的服务器

rulenameoutside_todmz

source-zoneunicon

source-zonetelecom

destination-zonedmz

destination-address32

servicehttp

serviceftp

actionpermit

B、FW3

〃VPN的安全策略配置

rulenameiner_to_dmz

source-zonetrust

source-zonedorm

source-zoneteach

destination-zonedmz

destination-address24

actionpermit

rulenamedmz_to_iner

source-zonedmz

destination-zonetrust

destination-zonedorm

destination-zoneteach

source-address10.1.1.024

actionpermit

rulenamelocal_to_branch

source-zonelocal

source-zoneuntrust

destination-zonelocal

destination-zoneuntrust

actionpermit

rulenamelocaltodorm

source-zonelocal

source-zonedorm

destination-zonelocal

destination-zonedorm

actionpermit

rulenamelocaltoteach

source-zonelocal

source-zoneteach

destination-zonelocal

destination-zoneteach

actionpermit

rulenamelocal_to_trust

source-zonelocal

source-zonetrust

destination-zonelocal

destination-zonetrust

actionpermit

rulenamelocaltodmz

source-zonelocal

source-zonedmz

destination-zonelocal

destination-zonedmz

actionpermit

C、FW4

〃VPN的安全策略配置

rulenametrust_dmz

source-zonetrust

source-zonedmz

destination-zonetrust

destination-zonedmz

actionpermit

rulenamelocal_untrust

source-zonelocal

source-zoneuntrust

destination-zonelocal

destination-zoneuntrust

actionpermit

（五）网络地址转换

（1）策略路由简介

FW转发数据报文时，会查找路由表，并根据目的地址来进行报文的转发。在

这种机制下，只能根据报文的目的地址为用户提供转发服务，无法提供有差别的

服务。

策略路由是在路由表已经产生的情况下，不按照现有的路由表进行转发，而•

是根据用户制定的策略进行路由选择的机制，从更多的维度(入接口、源安全区

域、源/目的IP地址、用户、服务、应用)来决定报文如何转发，增加了在报文

转发控制上的灵活度。策略路由并没有替代路由表机制，而是优先于路由表生效,

为某些特殊业务指定转发方向。

(2)策略路由原理描述

一条策略路由规则包拈匹配条件和动作两部分内容。

A、匹配条件

匹配条件可以将要做策略路由的流量区分开来，FW支持下述几种类型的匹配条

件：

•源安全区域：基于报文的源安全区域进行流量识别。

•入接口：基于报文的接收接口来进行流量识别。

•IP地址/MAC地址：基于报文的源IP/源MAC或目的IP/目的MAC进行流量

识别。仅USG6000和NGFWModule支持MAC地址。

•用户：在对应的用户通过设备的身份认证后，基于报文所属的用户进行流

量识别。

•服务类型：基于报文所属的服务类型进行流量识别。

•应用类型：基于报文所属的应用类型进行流量识别。

•DSCP优先级：基于报文的DSCP优先级进行流量识别。

在一个策略路由规则中，可以包含多个匹配条件，各匹配条件之间是“与”的关

系，报文必须同时满足所有匹配条件，才可以执行后续定义的转发动作。服务类

型、应用类型、用户作为匹配条件时，可以同时指定多个服务/服务组、应用/应

用组、用户/用户组，只要与其中一个相同，就算满足该匹配条件。

B、动作

FW可以对符合匹配条件的流量采取下述动作：

•实施策略路由

・把报文发送到指定的下一跳设备。

■从指定出接口发送报文。

-利用智能选路功能，从多个出接口中选择一个出接口发送报文。

■把报文发送到指定的虚拟系统。

•不做策略路由，按照现有的路由表进行转发。

(3)使用限制和注意事项

A、使用限制

•DNS透明代理功能和策略路由智能选路一起配合使用时，不建议将选路模式

设置为根据链路质量负载分担，请选择其他选路模式。如果设置为根据链路

质量负载分担，则实际按照链路带宽进行负载分担。

•策略路由特性支持IPv6,但多出口策略路由不支持转发IPv6报文。

•策略路由支持配置跨虚拟系统转发，但只有根系统管理员可以配置报文按照

策略路由从一个虚斗系统转发到另一个虚拟系统。虚拟系统管理员无此权限,

即无法执行actionpbrvpn-instancevpn-instance-name命令，但可以

执行undoactionpbrvpn-instancevpn-instance-name0

B、注意事项

策略路由智能选路不能和IP欺骗攻击防范功能或URPF(UnicastReverse

PathForwarding,单播逆向路径转发)功能一起使用。如果开启IP欺骗攻击防

范功能或URPF功能，可能导致FW丢弃报文。

(4)具体实施

此处通过策略路由和NAPT实现多个ISP出接口的智能选路，实现内网用户

访问电信网段时(/24、98.0.0.0/24),内网地址转换为电信地址池

(8.0.0.10-8.0.0.11)且走电信出口；访问联通网段时(200.0.0.0/24>

220.0.0.0/24网段)，内网地址转换为联通地址池(100.0.0.10-100.0,0.11)

且走联通出口，其他网段走电信出口，内网地址转换地址池为8.0.0.20-

8.0.0.21o(在FW1上配置即可，配置内容都会同步到FW2)

FW1：

//配置外网联通地址池

nataddress-groupunicorn0

modepat

routeenable

section0100.0.0.10100.0.0.11

〃配置外网电信地址池

nataddress-grouptelecom1

modepat

routeenable

section08.0.0.208.0.0.21

〃配置对应于外网联通的策略路由智能选路

policy-bascd-route

rulenameroute_policy_unicom

source-zonetrust

source-zonedmz

source-zonedorm

source-zoneteach

destination-address24

destination-address24

actionpbrnext-hop

〃配置NAT策略

nat-policy

〃配置去往外网联通的NAT策略

ri11enamepolicynatunicorn

source-zonetrust

source-zonedorm

source-zoneteach

destination-zoneunicorn

source-address172.16.1.024

source-address172.16.2.024

source-address172.16.3.024

destination-address200.0.0.024

destination-address24

actionnataddress-groupunicorn

〃配置去往外网电信的NAT策略

rulenamepolicy_nat_telecom

source-zonetrust

source-zonedorm

source-zoneteach

destination-zonetelecom

source-address172.16.1.024

source-address172.16.2.024

source-address172.16.3.024

actionnataddress-grouptelecom

注：区域安全策略配置参考“（四）设置区域间的安全策略配置”

（六）NATServer

（1）NAT简介

KAT5nMi地址已不加■口制PMU：5・合公同Pm址■一充Mar或真少"»用户内彘MCXUHL曲0址与公用机一对一

8怜.

/Pm%量・四大im用与Q伪同memet通■.大•力少flh:网博城.

日毋•►5BWAT(NATSefvcr):公网皿与5桃一对一咫行・«・目的比可通U/泊刖仿阿f邪国碇W个公舞但正问歹M!网但切中•.

NAT

*0«WAT(NATSefwr)：公HmQ叼y匚一对一ifi行H的IP«就Djft色听遁暧一牝冲SW个*36的一。531^个■□鹤«.

*SBWAT(NATXfV”)：公以埴址的多个u(：与多个防皿一对一名行■5a听派1一个公阳皿J算个E6中算个52B让E-.

叼.

・JEmAT(NATSerwr)：.个公国5口*个防■口一篇BWIPtfittBU闲于皿多个公际3机第多个

i^e?WAT(MTACLKBKNATJ:公网为电世好。0力日的WJCMttlBniPtttt可3O台公,0址与3硝3r不存在皿0ag北断.公电MdttOWt力日艺《小曲的康姓的

址电U.

g制EUEB1IP0可39白楙8mx殖RgmmWURE市右美

NATtt

就NAY♦就卷目的NAY♦目力1足可3通台怖目的3：身时■•”怜,且g皿U*RCi不存在侬

(2)NAT使用限制和注意事项

A、源NAT的使用限制

•地址池中的IP地址可以与NATServer的公网IP地址、接口IP地址重

叠。但是配置NATNo-PAT、三元组NAT这两种源NAT时，请不要将设备

接口的地址配置为NAT地址池的地址。因为这两种源NAT会生成动态

Server-map表，报文到达设备时优先查询Server-map表，会影响对设备

本身的访问。

•FW不支持对GRE和All报文的NAPT方式的转换。当FW收到GRE或AH报

文时，根据NAPT配置将报文的端口置为0,然而FW反向接收到的报文没

有端口信息，正反向报文端口信息不匹配，导致业务中断。

•透明模式下(业务接口工作在交换模式)的源NAT的配置，FW支持采用

地址池中的地址做为转换后的源地址，不支持easy-ip方式。

•NAT地址池探测功能只支持在地址池是PCP模式下应用。

•当NAT地址池地址与公网接口地址不在同一网段时，必须配置黑洞路由。

当公网用户主动访问NAT地址池中的地址时，FW收到此报文后，无法匹

配到会话表，根据缺省路由转发给路由器，路由器收到报文后，查找路由

表再转发给FW。此报文就会在FW和路由器之间循环转发，造成路由环路。

因此需要配置黑洞路由。

B、目的NAT的使用限制

・直接将设备接口的地址配置为NATServer的公网地址后，无法通过该接

口的地址使用Web方式或Telnet方式对设备进行管理，也无法对设备进

行Ping探测。如果在实际应用中确实需要将设备接口的地址配置为NAT

Server的公网地址，又需要通过该接口的地址对设备进行远程管理，您

可以在配置NATServer时选择允许端口转换，并配置协议和端口号，以

缩小地址和端口转换的范围，从而避免与访问设备本身的需求相冲突。

•NAT策略配置目的NAT或者双向NAT时，不支持下发UNR路由，为了防止

路由环路，需要手工配置到转换前的目的IP地址的黑洞路由。

•对于配置指定协议和端口的NATServer并且NATServer的Global地址

和公网接口地址不在同一网段时，必须配置黑洞路由。当公网用户主动访

问NATServer的global地址时，FW收到此报文后，无法匹配到会话表，

根据缺省路由转发给路由港，路由器收到报文后，查找路由表再转发给FWO

此报文就会在FW和路由器之间循环转发，造成路由环路。因此需要配置

黑洞路由。

C、NATALG的使用限制

•网络中有VoIP业务时，需要配置NATALG,FW仅支持如下场景：

-服务器在公网，客户端在私网。私网的客户端通过源NAT访问公网

服务器。这种场景下不支持NO-PAT方式的源NAT。

-服务器在私网，客户端在公网。公网的客户端通过NATServer访

问私网服务器。

•当前，FW'支持标准SIP协议的NATALG,但不支持扩展SIP协议(