信息安全产品配置与应用-课件 任务3.1-源NAT配置

目录ContentsPart01任务目标Part02任务描述Part04任务实施任务3.1-源NAT配置Part03知识储备项目3-防火墙网络地址转换配置任务目标知识目标技能目标素养目标1．理解NAT的基本概念与分类。2.理解源NAT基本原理。1.提升解决实际问题的逻辑思维能力，倡导科技报国精神，将个人技能提升与国家信息化发展战略紧密结合。2.树立职业道德与法律意识，严格遵守《中华人民共和国网络安全法》等相关法律法规，保护用户隐私和公共网络资源。1.

能完成NAT地址池、NAPT策略的配置。2.

能验证NAT生效状态。任务描述本任务要完成的工作：

XUN公司向ISP申请了6个公网IP地址（/29～/29），ISP分配给公司防火墙出口IP地址是00/24。结合公司网络架构，小锐需在防火墙上配置NAPT，实现公司内网用户都能上网。了解“计算机界的诺贝尔奖”——图灵奖,了解华人科学家姚期智，激发学生的求知欲，唤醒学生的潜能。知识储备3.1.1NAT的概念3.1.3NAT的优缺点3.1.2NAT的分类3.1.4NAT策略3.1.5源NAT基本原理3.1.1NAT的概念随着网络设备的数量不断增长，对IPv4地址的需求也不断增加，导致可用的公网IPv4地址空间已经耗尽。解决IPv4地址枯竭问题的权宜之计是分配可重复使用的各类私有地址段给企业内部或家庭使用。NAT（NetworkAddressTranslation）技术是一种通过修改IP数据包的源地址或目的地址，实现内网IP地址与公网IP地址之间地址映射的技术。其主要目的是解决IPv4地址短缺问题，并增强内网安全性。公有地址与私有地址的区别：公有地址：由专门的机构管理、分配，可以在Internet上直接通信的IP地址；私有地址：组织和个人可以任意使用，无法在Internet上直接通信，只能在内网使用的IP地址。A、B、C类地址中各预留了一些地址专门作为私有IP地址：A类：~55B类：~55C类：~553.1.2NAT的分类根据应用场景的不同，NAT可以分为以下三类：源NAT（SourceNAT）：适用于用户通过私网地址访问Internet的场景；目的NAT（DestinationNAT）： 适用于用户通过公网地址访问私网服务器的场景；双向NAT（BidirectionalNAT）：适用于通信双方访问对方的时候目的地址都不是真实的地址，而是NAT转换后的地址的场景。3.1.3NAT的优缺点NAT的优点：可以使一个局域网中的多台主机使用少数的合法地址访问外部的资源，也可以设定内部的FTP、Telnet等服务提供给外部网络使用，解决了IP地址日益短缺的问题；对于内外网络用户，感觉不到IP地址转换的过程，整个过程对于用户来说是透明的；对内网用户提供隐私保护，外网用户不能直接获得内网用户的IP地址、服务等信息，具有一定的安全性；通过配置多个相同的内部服务器的方式可以减小单个服务器在大流量时承担的压力，实现服务器负载均衡。NAT的缺点：由于需要对数据报文进行IP地址的转换，涉及IP地址的数据报文的报头不能被加密。在应用协议中，如果报文中有地址或端口需要转换，则报文不能被加密。例如，不能使用加密的FTP连接，否则FTP的port命令不能被正确转换；网络监管变得更加困难。例如，如果一个黑客从内网攻击公网上的一台服务器，那么要想追踪这个攻击者很难。因为在报文经过NAT转换设备的时候，地址经过了转换，不能确定哪台才是黑客的主机。3.1.4NAT策略防火墙的NAT功能可以通过配置NAT策略实现。NAT策略由转换后的地址（地址池地址或者出接口地址）、匹配条件和动作三部分组成。地址池类型包括源地址池和目的地址池。根据NAT转换方式的不同，可以选择不同类型的地址池或者出接口方式；匹配条件包括源/目的地址、源/目的安全区域、出接口、服务和时间段等。根据不同的需求配置不同的匹配条件，对匹配上条件的流量进行NAT转换；动作包括源地址转换或者目的地址转换。无论源地址转换或者目的地址转换，都可以对匹配上条件的流量进行选择NAT转换或者不转换两种方式。如果防火墙创建了多条NAT策略，设备会从上到下依次进行匹配。如果流量匹配了某个NAT策略，进行NAT转换后，将不再进行下一个NAT策略的匹配。双向NAT策略和目的NAT策略会在源NAT策略的前面，双向NAT策略和目的NAT策略之间按配置先后顺序排列，源NAT策略也按配置先后顺序排列。新增的策略和被修改NAT动作的策略都会被调整到同类NAT策略的最后面。3.1.4NAT策略防火墙上针对不同的NAT类型会采用不同的NAT策略，具体处理流程如下：3.1.5源NAT基本原理背景：企业或家庭所使用的网络为私有网络，使用的是私有地址；运营商维护的网络为公共网络，使用的是公有地址。私有地址不能在公网中通信。解决方案：多个用户共享少量公网地址访问Internet的时候，可以使用源NAT技术来实现。源NAT技术只对报文的源地址进行转换；源NAT技术可以分为NATNo-PAT、NAPT、EasyIP和三元组NAT等。3.1.5源NAT基本原理NATNo-PAT原理NATNo-PAT（No-PortAddressTranslation，非端口地址转换）是一种只转换地址，不转换端口，实现私网地址与公网地址一对一的地址转换方式。NATNo-PAT无法提高公有地址利用率。NATNo-PAT适用于上网用户较少且公网地址数与同时上网的用户数量相同的场景。在使用NAT功能时，如果配置了No-PAT参数，那么设备会对内网IP和外网IP进行一对一的映射，而不进行端口转换。此时，内网IP的所有端口号都可以被映射为外网地址的对应端口，外网用户也就可以向内网用户的任意端口主动发起连接。所以配置NATNo-PAT后，设备会为有实际流量的数据流建立Server-map表，用于存放内网IP地址与外网IP地址的映射关系。设备根据这种映射关系对报文的地址进行转换，然后进行转发。3.1.5源NAT基本原理NAPT原理NAPT（NetworkAddressandPortTranslation，网络地址端口转换）是一种同时转换地址和端口，实现多个私网地址共用一个或多个公网地址的地址转换方式。NAPT可以有效地提高公有地址利用率。NAPT适用于公网地址数量少，需要上网的私网用户数量大的场景。NAPT借助端口可以实现一个公有地址同时对应多个私有地址。该模式同时对IP地址和端口号进行转换，实现不同私有地址（不同的私有地址，不同的源端口）映射到同一个公有地址（相同的公有地址，不同的源端口）。3.1.5源NAT基本原理EasyIPEasyIP：实现原理和NAPT相同，同时转换IP地址和传输层端口，区别在于EasyIP没有地址池的概念，使用出接口的公网IP地址作为NAT转后的地址。EasyIP适用于不具备固定公网IP地址的场景。例如：拨号上网（PPPoE）。NAPT借助端口可以实现一个公有地址同时对应多个私有地址。该模式同时对IP地址和端口号进行转换，实现不同私有地址（不同的私有地址，不同的源端口）映射到同一个公有地址（相同的公有地址，不同的源端口）。3.1.5源NAT基本原理三元组NAT三元组NAT是一种转换时同时转换地址和端口，实现多个私网地址共用一个或多个公网地址的地址转换方式。三元组NAT允许Internet上的用户能主动访问私网用户，如文件共享、语音通信和视频传输等。防火墙上生成的Server-map表中存放Host的私网IP地址与公网IP地址的映射关系。正向Server-map表项保证内部PC转换后的地址和端口不变；反向Server-map表项允许外部设备可以主动访问内部PC。任务实施实施场景XUN公司在网络边界处部署了防火墙作为安全网关，网络拓扑图如图3-2所示，其中路由器AR1是ISP提供的接入网关。公司向ISP申请了6个公网IP地址，（/29），防火墙GE1/0/1口（00/24）与ISP的路由器互联。小锐接到任务后，根据公司网络架构采用NAPT方式配置，实现公司内网主机可以正常访问Internet。具体配置任务如下：1）配置防火墙的IP地址、路由协议和安全区域，完成网络基本参数配置。2）配置防火墙的安全策略，允许内网主机访问Internet。3）配置NAPT方式的源NAT，对内网主机访问Internet的报文源地址进行转换。4）配置路由器、交换机和主机的网络参数，实现网络的互联互通。任务实施实施设备1）USG6000V防火墙1台；2）Client机2台；3）S5700交换机1台；4）AR2220路由器1台；5）Server服务器1台。任务实施实施过程1）配置Client1、Client2网络基本参数，以Client1为例。Client1参数配置任务实施实施过程2）配置HTTP服务器网络参数，开启HTTP服务。HTTP服务器网络参数配置HTTP服务器配置任务实施实施过程

3）配置防火墙网络基本参数，配置命令如下：[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress5424[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress0024

4）划分防火墙安全区域，将GE1/0/0口加入Trust区域，将GE1/0/1口加入Untrust区域，配置命令如下：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/1任务实施实施过程

5）配置防火墙安全策略，允许Trust访问Untrust，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenametrust_untrust[FW1-policy-security-rule-trust_untrust]source-zonetrust[FW1-policy-security-rule-trust_untrust]destination-zoneuntrust[FW1-policy-security-rule-trust_untrust]actionpermit任务实施实施过程

6）配置NAPT方式的源NAT，对内网主机访问Internet的报文源地址进行转换，配置命令如下：[FW1]nataddress-groupwan_ip//创建名称为wan_ip地址池[FW1-address-group-wan_ip]modepat//配置源NAT方式为PAT[FW1-address-group-wan_ip]section

//配置地址池公网IP地址[FW1-address-group-wan_ip]routeenable//启用黑洞路由[FW1-address-group-wan_ip]quit[FW1]nat-policy[FW1-policy-nat]rulenamenat_wan[FW1-policy-nat-rule-nat_wan]source-zonetrust[FW1-policy-nat-rule-nat_wan]destination-zoneuntrust[FW1-policy-nat-rule-nat_wan]actionsource-nataddress-groupwan_ip[FW1-policy-nat-rule-nat_wan]quit[FW1-policy-nat]quit[FW1]iproute-static054//添加默认路由当NAT地址池地址与防火墙连接外网接口的地址在不同的网段时，需要配置黑洞路由。任务实施实施过程

7）配置交换机SW1，在SW1上创建VLAN10、VLAN20、VLAN50，并将GE0/0/1口加入VLAN10，GE0/0/2口加入VLAN20，GE0/0/24口加入VLAN50。配置VLAN10的VLANIF接口IP地址为/24，配置VLAN20的VLANIF接口IP地址为/24，配置VLAN50的VLANIF接口。[SW1]vlanbatch102050[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typeaccess[SW1-GigabitEthernet0/0/1]portdefaultvlan10[SW1-GigabitEthernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/2[SW1-GigabitEthernet0/0/2]portlink-typeaccess[SW1-GigabitEthernet0/0/2]portdefaultvlan20[SW1-GigabitEthernet0/0/2]quit[SW1]interfaceGigabitEthernet0/0/24[SW1-GigabitEthernet0/0/24]portlink-typeaccess[SW1-GigabitEthernet0/0/24]portdefaultvlan50[SW1-GigabitEthernet0/0/24]quit[SW1]interfaceVlan10[SW1-Vlanif10]ipaddress24[SW1-Vlanif10]quit[SW1]interfaceVlan20[SW1-Vlanif20]ipaddress24[SW1-Vlanif20]quit[SW1]interfaceVlan50[SW1-Vlanif50]ipaddress24[SW1-Vlanif50]quit任务实施实施过程

8）在交换机SW1与防火墙FW1上使用OSPF协议互联，配置命令如下：[SW1]ospf1//在SW1上启用OSPF路由协议，区域号为0，进程号为1，宣告所有部门的子网[SW1-ospf-1]area0[SW1-ospf-1-area-]network[SW1-ospf-1-area-]network[SW1-ospf-1-area-]network[SW1-ospf-1-area-]quit[SW1-ospf-1]quit[FW1]ospf1//在FW1上启用OSPF路由