网络基础信息及安全 4

任务3防火墙NAT技术应用——项目一

公网用户通过NATServer访问内部服务器课程设计和制作：

徐龙泉，王祯琳电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02NAT概述和类型NAT策略NAT处理流程子任务1配置接口IP地址和安全区域03子任务2配置公网用户访问NATServer功能0401任务规划任务规划根据华为交换机安全加固和维护指南，需要完成如下加固任务。

某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务，需要在FW上配置NATServer功能。除了公网接口的IP地址外，公司还向ISP申请了一个IP地址（0）作为内网服务器对外提供服务的地址。其中Router是ISP提供的接入网关。任务规划网络拓扑图如下：任务规划设备接口与IP地址规划表如下：设备接口IP地址备注FWGE0/0/1IP地址：/24安全区域：Untrust实际配置时需要按照ISP的要求进行配置GE0/0/2IP地址：/24安全区域：DMZ内网服务器需要将配置为默认网关NATServerNATServer名称：policy_web公网地址：0私网地址：公网端口：8080私网端口：80通过该映射，使用外网用户能够访问0与物理机环回地址在同一网络NATServer名称：policy_ftp公网地址：0私网地址：公网端口：21私网端口：21通过该映射，使用外网用户能够访问0，且端口号为8080的流量能够送给内网的Web服务器。Web服务器的私网地址为，私网端口号为80。路由缺省路由目的地址：下一跳：54为了内网服务器对外提供的服务流量可以正常转发至ISP的路由器，可以在FW上配置去往Internet的缺省路由。本任务的环境Windows10操作系统，已经安装eNSP和VMwareWorkstation。“02相关知识相关知识——3.1NAT概述和类型什么是NAT？NAT（NetworkAddressTranslation）是一种网络协议，用于将一个IP地址转换为另一个IP地址，或将一个端口号转换为另一个端口号，以实现两个不同的网络之间的通信。NAT通常被用于将一个公网IP地址映射到一个或多个私有IP地址，以便在私有网络中使用Internet服务。NAT的优点是可以将私有网络隐藏在公网后面，提高了网络的安全性；同时，NAT可以节省公网IP地址的使用，因为一个公网IP地址可以被多个私有IP地址共享。相关知识——3.1NAT概述和类型NAT的三种类型根据转换方式的不同，NAT有3种基本类型：源NAT、目的NAT和双向NAT分类转换内容是否转换端口适合场景源NAT当转换源地址时不转换端口源地址否适用于公网地址数量充足的、仅有少量私网用户访问Internet场景。私网地址与公网地址一对一转换当转换源地址时转换端口源地址是适用于大量的私网用户访问Internet场景。大量私网地址转换为少量公网地址相关知识——3.1NAT概述和类型NAT的三种类型根据转换方式的不同，NAT有3种基本类型：源NAT、目的NAT和双向NAT分类转换内容是否转换端口适合场景目的NAT静态目的NAT（包括目的NAT策略和NATServer）：公网地址与私网地址一对一进行映射目的地址可选适用于通过一个公网地址访问一个私网地址，或者多个公网地址访问多个私网地址的场景静态目的NAT（包括目的NAT策略和NATServer）：一个公网端口与私网端口一对一进行映射目的地址可选适用于通过一个公网地址的多个端口访问一个私网地址的多个端口的场景静态目的NAT（包括目的NAT策略和NATServer）：公网地址的多个端口与多个私网地址一对一进行映射目的地址是适用于通过一个公网地址的多个端口访问多个私网地址的场景静态目的NAT（包括目的NAT策略和NATServer）：多个公网地址与一个私网地址的多个端口一对一进行映射目的地址是适用于通过多个公网地址访问一个私网地址的多个端口的场景动态目的NAT（包括目的NAT策略和基于ACL的目的NAT）：公网地址随机转换为目的地址池中的IP地址目的地址可选适用于公网地址与私网地址不存在固定的映射关系，公网地址随机转换为目的地址池中的IP地址的场景相关知识——3.1NAT概述和类型NAT的三种类型根据转换方式的不同，NAT有3种基本类型：源NAT、目的NAT和双向NAT分类转换内容是否转换端口适合场景双向NAT源NAT+静态目的NAT源地址+目的地址可选适用于源地址和目的地址同时需要转换，且目的地址转换前后存在固定映射关系的场景源NAT+动态目的NAT源地址+目的地址可选适用于源地址和目的地址同时需要转换，且目的地址转换前后不存在固定映射关系的场景好学深思互联网基建加速国产化

筑牢数字经济自主根基通过使用国产化的路由器和交换机，可以减少对外国技术的依赖，增强国家信息安全，避免潜在的安全风险。此外，国产化还能促进国内信息技术产业的发展，提升整体网络安全水平。中国品牌的华为、中兴通讯、新华三、锐捷网络等企业的路由器和交换机等设备一直在市场上占据重要地位。相关知识——3.2NAT策略什么是NAT策略？

防火墙（FW）的NAT功能可以通过配置NAT策略实现。NAT策略由转换后的地址（地址池地址或者出接口地址）、匹配条件、动作三部分组成。地址池类型包括源地址池（NATNo-PAT、NAPT、三元组NAT、SmartNAT）和目的地址池。根据NAT转换方式的不同，可以选择不同类型的地址池或者出接口方式。相关知识——3.2NAT策略什么是NAT策略？

防火墙（FW）的NAT功能可以通过配置NAT策略实现。NAT策略由转换后的地址（地址池地址或者出接口地址）、匹配条件、动作三部分组成。匹配条件包括源地址、目的地址、源安全区域、目的安全区域、出接口、服务、时间段。根据不同的需求配置不同的匹配条件，对匹配上条件的流量进行NAT转换。目的NAT策略不支持配置目的安全区域和出接口。相关知识——3.2NAT策略什么是NAT策略？

防火墙（FW）的NAT功能可以通过配置NAT策略实现。NAT策略由转换后的地址（地址池地址或者出接口地址）、匹配条件、动作三部分组成。动作包括源地址转换或者目的地址转换。无论源地址转换或者目的地址转换，都可以对匹配上条件的流量进行选择NAT转换或者不转换两种方式。相关知识——3.3NAT处理流程NAT处理流程不同的NAT类型对应不同的NAT策略，在FW上处理顺序不同（1）FW收到报文后，查找NATServer生成的Server-Map表。（2）查找基于ACL的目的NAT。（3）查找NAT策略中目的NAT。（4）根据报文当前的信息查找路由（包括策略路由）。（5）查找安全策略。（6）查找NAT策略中源NAT。（7）FW发送报文。03子任务1子任务3-1配置接口IP地址和安全区域1）任务内容：完成网络基本参数配置.本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-1配置Cloud云设备04子任务2子任务3-2配置公网用户访问NATServer功能2）任务内容：完成配置安全策略，允许外部网络用