任务3.3-双向NAT配置

目录ContentsPart01任务目标Part02任务描述Part04任务实施任务3.3-双向NAT配置Part03知识储备项目3-防火墙网络地址转换配置任务目标知识目标技能目标素养目标1．理解防火墙域间双向NAT原理。2.理解防火墙域内双向NAT原理。1.培养网络安全防护意识与规范操作习惯。2.树立“网络安全为人民”的社会责任感。1.掌握防火墙域间双向NAT配置的方法2.掌握防火墙域内双向NAT配置的方法。任务描述本任务要完成的工作：

XUN公司在网络边界处部署了防火墙FW1作为安全网关。为了使内网OA服务器、HTTP服务器和FTP服务器能够对外提供服务，需要在防火墙FW1上配置服务器静态映射功能。除了公网接口的IP地址外，公司还向ISP申请了6个IP地址（/29）作为内网服务器对外提供服务的地址。同时，为了简化内网服务器的回程路由配置，可以通过配置源NAT策略，使内网服务器默认将回应报文发给防火墙FW1。小锐接到任务后，根据公司网络架构和需求，通过配置域间双向NAT，实现FTP服务器和HTTP服务器不配置网关也可以对外提供访问，配置域内双向NAT，实现Trust区域的用户可以通过公网IP地址访问OA服务器。“愿以吾辈之青春，捍卫盛世之中华！”那一张张朝气蓬勃的面庞，就是未来中国之希望。青少年有理想、有担当，国家就有前途，民族就有希望。知识储备3.3.2域内双向NAT3.3.1域间双向NAT3.3.1域间双向NAT双向NAT是指在转换过程中同时转换报文的源IP地址和目的IP地址。双向NAT包括域间双向NAT和域内双向NAT。域间双向NAT。报文在两个不同的安全区域之间传递时对报文进行NAT转换，根据传递方向的不同分为NATInbound和NATOutbound两类。NATInbound是指报文由低安全级别的安全区域向高安全级别的安全区域传递时对报文进行的NAT转换。NATOutbound是指报文由高安全级别的安全区域向低安全级别的安全区域传递时对报文进行的NAT转换。3.3.2域内双向NAT域内双向NAT主要应用于内网用户与内网服务器在同一安全区域同一网段时，内网用户希望像外网用户一样，通过公网地址来访问内网服务器的场景。如上图所示，当内网Client2访问同一安全区域的HTTP服务器时，防火墙FW1的处理过程如下：内网用户（00）访问内网HTTP服务器的报文到达防火墙FW1时，目的地址（）经过NATServer转换为内网HTTP服务器地址（00），同时使用新的端口号替换报文的目的端口号,并建立会话表，然后将报文发送至内网HTTP服务器。同时源地址（00）经过NATInbound也转换为和目的地址同一网段的公网地址（），这样报文的源地址和目的地址就同时进行了NAT转换，即完成了双向NAT。当内网HTTP服务器的回应报文经过防火墙FW1时，通过查找会话表匹配到建立的表项，将报文的源地址转换为公网地址（）和目的地址转换为内网地址（00），将报文源和目的端口号替换为原始的端口号，然后将报文发送给内网Client2。任务实施实施场景XUN公司在网络边界处部署了防火墙FW1作为安全网关。为了使内网OA服务器、HTTP服务器和FTP服务器能够对外提供服务，同时为了简化内网服务器的回程路由配置，可以通过配置源NAT策略，使内网服务器默认将回应报文发给防火墙FW1。其中，AR1是ISP提供的接入网关。具体配置任务如下：1）配置防火墙的IP地址、路由协议和安全区域，完成网络基本参数配置。2）配置防火墙的安全策略，允许内网主机访问Internet。3）配置NAPT方式的源NAT，对内网主机访问Internet的报文源IP地址进行转换。4）配置NATServer，使内网FTP、HTTP和OA服务器能够对外网提供服务。5）配置路由器、交换机和主机的网络参数，实现网络的互联互通。6）配置域间双向NAT，使FTP服务器和HTTP服务器不配置网关也可以对外提供访问。7）配置域内双向NAT，使Trust区域的用户可以通过公网IP地址访问OA服务器。任务实施实施设备1）USG6000V防火墙1台；2）Client机2台；3）S5700交换机2台；4）AR2220路由器1台；5）Server服务器3台。任务实施实施过程1）配置Client1、Client2和Client3网络基本参数，以Client1为例。Client1参数配置任务实施实施过程2）配置OA服务器、FTP服务器和HTTP服务器网络参数，其中OA服务器和HTTP服务器开启HTTP服务，FTP服务器开启FTP服务。以FTP服务器为例，不配置网关。FTP服务器网络参数配置FTP服务器配置任务实施实施过程

3）配置防火墙网络基本参数，配置命令如下：[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress5424[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress0024[FW1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress5424

4）划分防火墙安全区域，将GE1/0/0口加入Trust区域，将GE1/0/1口加入Untrust区域，将GE1/0/2口加入DMZ区域，配置命令如下：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/1[FW1]firewallzonedmz[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/2任务实施实施过程

5）配置防火墙安全策略，允许Trust区域访问Untrust区域，允许Trust区域和Untrust区域访问DMZ区域中HTTP服务器的HTTP服务和FTP服务器的FTP服务，允许Untrust区域访问Trust区域中OA服务器的HTTP服务，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenametrust_untrust[FW1-policy-security-rule-trust_untrust]source-zonetrust[FW1-policy-security-rule-trust_untrust]destination-zoneuntrust[FW1-policy-security-rule-trust_untrust]actionpermit[FW1-policy-security-rule-trust_untrust]quit[FW1-policy-security]rulenameany_dmz[FW1-policy-security-rule-trust_dmz]source-zonetrust[FW1-policy-security-rule-trust_dmz]source-zoneuntrust[FW1-policy-security-rule-trust_dmz]destination-zonedmz[FW1-policy-security-rule-trust_dmz]destination-address24[FW1-policy-security-rule-trust_dmz]servicehttpftp[FW1-policy-security-rule-trust_dmz]actionpermit[FW1-policy-security-rule-trust_dmz]quitFW1-policy-security]rulenameuntrust_trust[FW1-policy-security-rule-untrust_trust]source-zoneuntrust[FW1-policy-security-rule-untrust_trust]destination-zonetrust[FW1-policy-security-rule-untrust_trust]destination-address0032[FW1-policy-security-rule-untrust_trust]servicehttp[FW1-policy-security-rule-untrust_trust]actionpermit[FW1-policy-security-rule-untrust_trust]quit任务实施实施过程

6）配置NAPT方式的源NAT，对内网主机访问Internet的报文源地址进行转换，配置命令如下：[FW1]nataddress-groupwan_ip//创建名称为wan_ip的地址池[FW1-address-group-wan_ip]modepat//配置源NAT方式为PAT[FW1-address-group-wan_ip]section//配置地址池公网IP地址[FW1-address-group-wan_ip]routeenable//启用黑洞路由[FW1-address-group-wan_ip]quit[FW1]nat-policy[FW1-policy-nat]rulenamenat_wan[FW1-policy-nat-rule-nat_wan]source-zonetrust[FW1-policy-nat-rule-nat_wan]destination-zoneuntrust[FW1-policy-nat-rule-nat_wan]actionsource-nataddress-groupwan_ip[FW1-policy-nat-rule-nat_wan]quit[FW1-policy-nat]quit[FW1]iproute-static054//添加默认路由当NAT地址池地址与防火墙连接外网接口的地址在不同的网段时，需要配置黑洞路由。任务实施实施过程

7）配置NATServer功能，实现DMZ安全区域中的HTTP服务器和FTP服务器对外网提供服务，实现Trust安全区域中的OA服务对外提供HTTP服务，并开启黑洞路由。natserverwebprotocoltcpglobal80inside0080unr-routenatserverftpprotocoltcpglobal21inside0021unr-routenatserveroaprotocoltcpglobal80inside0080unr-route任务实施实施过程

8）配置交换机SW1，在SW1上创建VLAN10、VLAN20、VLAN50，并将GE0/0/1口加入VLAN10，GE0/0/2口加入VLAN20，GE0/0/24口加入VLAN50。配置VLAN10的VLANIF接口IP地址为/24，配置VLAN20的VLANIF接口IP地址为/24，配置VLAN50的VLANIF接口。[SW1]vlanbatch102050[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typeaccess[SW1-GigabitEthernet0/0/1]portdefaultvlan10[SW1-GigabitEthernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/2[SW1-GigabitEthernet0/0/2]portlink-typeaccess[SW1-GigabitEthernet0/0/2]portdefaultvlan20[SW1-GigabitEthernet0/0/2]quit[SW1]interfaceGigabitEthernet0/0/24[SW1-GigabitEthernet0/0/24]portlink-typeaccess[SW1-GigabitEthernet0/0/24]portdefaultvlan50

[SW1-GigabitEthernet0/0/24]quit[SW1]interfaceVlan10[SW1-Vlanif10]ipaddress24

[SW1-Vlanif10]quit[SW1]interfaceVlan20[SW1-Vlanif20]ipaddress24

[SW1-Vlanif20]quit[SW1]interfaceVlan50[SW1-Vlanif50]ipaddress24

[SW1-Vlanif50]quit任务实施实施过程

9）在交换机SW1与防火墙FW1上使用OSPF协议互联，配置命令如下：[SW1]ospf1//在SW1上启用OSPF路由协议，区域号为0，进程号为1，宣告所有部门的子网[SW1-ospf-1]area0[SW1-ospf-1-area-]network[SW1-ospf-1-area-]network[SW1-ospf-1-area-]network

[SW1-ospf-1-area-]quit[SW1-ospf-1]quit[FW1]ospf1//在FW1上启用OSPF路由协议，区域号为0，进程号为1，宣告/24[FW1-ospf-1]area0[FW1-ospf-1-area-]network54[FW1-ospf-1-area-]quit[FW1-ospf-1]default-route-advertisealways//防火墙FW1配置了默认路由，强制通告默认路由[FW1-ospf-1]quit任务实施实施过程

9）配置路由器AR1，配置命令如下：[AR1]interfaceGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]ipaddress5424[AR1-GigabitEthernet0/0/0]quit[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]ipaddress24[AR1-GigabitEthernet0/0/1]quit[AR1]iproute-static2900内网中Client1主机可以正常访问公网HTTP服务器00外网中Client3主机可以正常访问内网Web服务器任务实施实施过程

10）在防火墙FW1上配置域间双向NAT策略，使FTP和HTTP服务器不配置网关也可以对外提供访问。[FW1]nataddress-groupdmz_ip//创建名称为wan_ip的地址池[FW1-address-group-dmz_ip]modepat//配置源NAT方式为PAT[FW1-address-group-dmz_ip]section01//配置地址池内网IP地址[FW1-address-group-dmz_ip]quit[FW1]nat-policy[FW1-policy-nat]rulenamenat_dmz[FW1-policy-nat-rule-nat_dmz]source-zoneuntrust[FW1-policy-nat-rule-nat_dmz]source-zonetrust[FW1-policy-nat-rule-nat_dmz]destination-zonedmz[FW1-policy-nat-rule-nat_dmz]destination-zonedmz[FW1-policy-nat-rule-nat_dmz]actionsource-nataddress-groupdmz_ip[FW1-policy-nat-rule-nat_dmz]quit[FW1-policy-nat]quit任务实施实施过程

11）开启FTP协议的ASPF功能。[FW1]firewallinterzonedmztrust[FW1-interzone-trust-dmz]detectftp[FW1-interzone-trust-dmz]quit[FW1]firewallinterzonedmzuntrust[FW1-interzone-dmz-untrust]detectftp[FW1-interzone-dmz-untrust]quit公网中Client1主机既可以正常访问内网HTTP服务器地址http://,也可以正常访问内网FTP服务器地址ftp://。任务实施实施过程

12）在防火墙F