网络基础信息及安全 21

任务3防火墙NAT技术应用——项目二

私网用户使用公网地址访问内部服务器课程设计和制作：

徐龙泉，王祯琳电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02源NAT技术NATNo-PAT技术NAPT技术SmartNAT技术EasyIP技术三元组NAT技术子任务1配置接口IP地址和安全区域03子任务2配置私网用户访问NATServer功能0401任务规划任务规划根据华为交换机安全加固和维护指南，需要完成如下加固任务。某公司在网络边界处部署了FW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务，需要在FW上配置NATServer功能。另外，这两台服务器同在一个安全区域，并且IP地址同在一个网段的PCD也需要访问这两台服务器。由于公司希望PCD可以使用公网地址访问内部服务器，因此还需要在FW上配置源NAT功能。除了公网接口的IP地址外，公司还向ISP申请了两个公网IP地址，其中0作为内网服务器对外提供服务的地址，1作为PCD地址转换后的公网地址。任务规划网络拓扑图如下：任务规划设备接口与IP地址规划表如下：设备接口IP地址备注FWGE0/0/1IP地址：/24安全区域：Untrust实际配置时需要按照ISP的要求进行配置GE0/0/2IP地址：/24安全区域：DMZ内网服务器需要将配置为默认网关NATServerNATServer名称：policy_web公网地址：0私网地址：公网端口：8080私网端口：80通过该映射，使用外网用户能够访问0，且端口号为8080的流量能够送给内网的Web服务器。Web服务器的私网地址为，私网端口号为80。NATServer名称：policy_ftp公网地址：0私网地址：公网端口：21私网端口：21通过该映射，使用外网用户能够访问0，且端口号为21的流量能够送给内网的FTP服务器。FTP服务器的私网地址为，私网端口号为21。源NAT源NAT策略网地址：NAT地址池地址:1路由缺省路由目的地址：下一跳：54为了内网服务器对外提供的服务流量可以正常转发至ISP的路由器，可以在FW上配置去往Internet的缺省路由。本任务的环境Windows10操作系统，已经安装eNSP和VMwareWorkstation。“02相关知识相关知识——3.1源NAT技术什么是源NAT？源NAT是指对报文中的源地址进行转换。通过源NAT技术将私网IP地址转换成公网IP地址，使私网用户可以利用公网地址访问Internet。当Host访问WebServer时，FW的处理过程如下：（1）当私网地址用户访问Internet的报文到达FW时，FW将报文的源IP地址由私网地址转换为公网地址。（2）当回程报文返回至FW时，FW再将报文的目的地址由公网地址转换为私网地址。根据转换源地址时是否同时转换端口，源NAT分为仅源地址转换的NAT（NATNo-PAT），源地址和源端口同时转换的NAT（NAPT、SmartNAT、EasyIP、三元组NAT）。好学深思互联网基建加速国产化

筑牢数字经济自主根基通过使用国产化的路由器和交换机，可以减少对外国技术的依赖，增强国家信息安全，避免潜在的安全风险。此外，国产化还能促进国内信息技术产业的发展，提升整体网络安全水平。中国品牌的华为、中兴通讯、新华三、锐捷网络等企业的路由器和交换机等设备一直在市场上占据重要地位。相关知识——3.2NATNo-PAT技术NATNo-PAT技术NATNo-PAT是一种NAT转换时只转换地址，不转换端口，实现私网地址到公网地址一对一的地址转换方式。它适用于上网用户较少且公网地址数与同时上网的用户数量相同的场景。相关知识——3.2NATNo-PAT技术NATNo-PAT技术当Host访问WebServer时，FW的处理过程如下：（1）FW收到Host发送的报文后，根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动，通过安全策略检查后继而查找NAT策略，发现需要对报文进行地址转换。（2）FW根据轮询算法从NAT地址池中选择一个空闲的公网IP地址，替换报文的源IP地址，并建立Server-map表和会话表，然后将报文发送至Internet。（3）FW收到WebServer响应Host的报文后，通过查找会话表匹配到步骤2中建立的表项，将报文的目的地址替换为Host的IP地址，然后将报文发送至Intranet。相关知识——3.3NAPT技术NAPTNAPT是一种转换时同时转换地址和端口，实现多个私网地址共用一个或多个公网地址的地址转换方式。适用于公网地址数量少，需要上网的私网用户数量大的场景。相关知识——3.3NAPT技术NAPT当Host访问WebServer时，FW的处理过程如下：（1）FW收到Host发送的报文后，根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动，通过安全策略检查后继而查找NAT策略，发现需要对报文进行地址转换。（2）FW根据源IPHash算法从NAT地址池中选择一个公网IP地址，替换报文的源IP地址，同时使用新的端口号替换报文的源端口号，并建立会话表，然后将报文发送至Internet。（3）FW收到WebServer响应Host的报文后，通过查找会话表匹配到步骤2中建立的表项，将报文的目的地址替换为Host的IP地址，将报文的目的端口号替换为原始的端口号，然后将报文发送至Intranet。相关知识——3.4SmartNAT技术SmartNATSmartNAT是No-PAT方式的一种补充。SmartNAT是一种可以在No-PAT的NAT模式下，指定某个IP地址预留做NAPT方式的地址转换方式。适用于平时上网的用户数量少，公网IP地址数量与同时上网用户数基本相同，但个别时段上网用户数激增的场景。使用No-PAT方式时，进行地址池的一对一转换。随着内部用户数量的不断增加，地址池中的地址数可能不再能满足用户上网需求，部分用户将得不到转换地址而无法访问Internet。此时，用户可以利用预留的IP地址进行NAPT地址转换，然后访问Internet。相关知识——3.4SmartNAT技术SmartNAT当内部网络中多台Host同时访问Server时，处理过程如下：（1）FW收到Intranet发送的报文后，根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动，通过域间安全策略检查后继而查找域间NAT策略，发现需要对报文进行地址转换。相关知识——3.4SmartNAT技术SmartNAT当内部网络中多台Host同时访问Server时，处理过程如下：（2）如果NAT地址池中有空闲地址，FW从NAT地址池中选择一个空闲的公网IP地址，替换报文的源IP地址，并建立会话表，然后将报文发送至Server。（3）如果NAT地址池中没有空闲地址，FW使用预留的NAPT地址替换报文的源IP地址，同时使用新的端口号替换报文的源端口号，并建立会话表，然后将报文发送至Internet。此方式下，FW优先采用No-PAT的方式转换地址。当可被No-PAT方式的公网地址用完时，新的用户连接将使用预留的这个IP地址做NAPT方式的地址转换。相关知识——3.5EasyIP技术EasyIPEasyIP是一种利用出接口的公网IP地址作为NAT转后的地址，同时转换地址和端口的地址转换方式。对于接口IP是动态获取的场景，EasyIP也一样支持。当FW的公网接口通过拨号方式动态获取公网地址时，如果只想使用这一个公网IP地址进行地址转换，此时不能在NAT地址池中配置固定的地址，因为公网IP地址是动态变化的。此时，可以使用EasyIP方式，即使出接口上获取的公网IP地址发生变化，FW也会按照新的公网IP地址来进行地址转换。相关知识——3.5EasyIP技术EasyIP当Host访问WebServer时，FW的处理过程如下：（1）FW收到Host发送的报文后，根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动，通过安全策略检查后继而查找NAT策略，发现需要对报文进行地址转换。（2）FW使用与Internet连接的接口的公网IP地址替换报文的源IP地址，同时使用新的端口号替换报文的源端口号，并建立会话表，然后将报文发送至Internet。（3）FW收到WebServer响应Host的报文后，通过查找会话表匹配到步骤2中建立的表项，将报文的目的地址替换为Host的IP地址，将报文的目的端口号替换为原始的端口号，然后将报文发送至Intranet。相关知识——3.6三元组NAT技术三元组NAT三元组NAT是一种转换时同时转换地址和端口，实现多个私网地址共用一个或多个公网地址的地址转换方式。它允许Internet上的用户主动访问私网用户，与基于P2P技术的文件共享、语音通信、视频传输等业务可以很好地共存。当内网PC访问Internet时，如果FW采用五元组NAT（NAPT）方式进行地址转换，外部设备无法通过转换后的地址和端口主动访问内部PC。三元组NAT方式可以很好地解决上述问题，因为三元组NAT方式在进行转换时有以下两个特点。相关知识——3.6三元组NAT技术三元组NAT当HostA访问HostB时，FW的处理流程如下：（1）FW收到HostA发送的报文后，根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动，通过域间安全策略检查后继而查找域间NAT策略，发现需要对报文进行地址转换。（2）FW从NAT地址池中选择一个公网IP地址，替换报文的源IP地址为0，替换报文的端口号2296，并建立会话表和Server-map表，然后将报文发送至HostB。相关知识——3.6三元组NAT技术三元组NAT当HostA访问HostB时，FW的处理流程如下：（3）FW收到HostB响应HostA的报文后，通过查找会话表匹配到步骤2中建立的表项，将报文的目的IP地址替换为，端口号替换为6363，然后将报文发送至HostA。（4）Server-Map表老化之前，当FW收到HostC访问HostA的请求时，也可以通过查找Server-Map表匹配地址映射关系，然后将报文送到HostA。03子任务1子任务2-1配置接口IP地址和安全区域1）任务内容：完成网络基本参数配置。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备