網絡運維|防火墻的源NAT

2020-05-31 19:43 作者：admin 瀏覽量：

大家好，我是一枚從事IT外包的網絡安全運維工程師，今天和大家分享的是網絡安全設備維護相關的內容，今天就和大家聊一聊防火墻的源NAT。簡單網絡安全運維，從防火墻學起,一步一步學成網絡安全運維大神。
網絡維護是一種日常維護，包括網絡設備管理(如計算機，服務器)、操作系統維護(系統打補丁，系統升級)、網絡安全(病毒防范)等。+
北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務，北京網絡維修信息查詢，同時您可以免費資訊北京網絡維護，北京網絡維護服務，北京網絡維修信息。專業的北京網絡維護信息就在北京艾銻無限+
+
北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息

源NAT

源NAT介紹如何配置源NAT功能和NAT地址池。

源NAT

通過配置源NAT功能，可以實現將IP報文中的源IP地址由私網IP地址轉換為合法的公網IP地址。

新建源NAT

基本NAT功能是指將IP報文中的源IP地址由私網IP地址轉換為合法的公網IP地址，但不轉換TCP/UDP協議的源端口號?；綨AT也可稱為“一對一的地址轉換”，即一個私網地址對應一個公網地址，一個公網地址不能同時被多個私網用戶使用。
NAPT（Network Address and Port Translation）功能是指轉換報文中的源IP地址的同時也轉換TCP/UDP協議的源端口號，通過源端口號來區分不同的私網IP地址。NAPT屬于“多對一的地址轉換”，一個公網地址可以同時被多個私網用戶使用，實現了公網地址的復用，解決了公網地址短缺的問題，是一種廣泛使用的地址轉換方式。
Easy IP功能也屬于“多對一的地址轉換”，與NAPT不同的是，Easy IP無需配置NAT地址池，直接使用設備接口的公網IP地址替換報文的源IP地址。Easy IP主要適用于私網內主機較少、連接Internet的出接口通過撥號方式或DHCP方式動態獲得公網IP地址的小型網絡環境。私網用戶都通過出接口的公網IP地址來訪問Internet，簡化了配置過程，節約了購買公網地址的花費，降低了構建網絡的成本。
與基本NAT和NAPT類似，域內NAT轉換報文的源信息，可以只轉換報文中的源IP地址，也可以同時轉換報文中的源IP地址和源端口。但域內NAT只對在安全區域內流動的報文起作用。
通過新建源NAT，可以實現以上各種NAT功能。如果一個域間配置了多條源NAT，則按照源NAT的優先級按順序進行匹配。只要匹配到一條源NAT就不再繼續匹配剩下的源NAT。缺省情況下，越先配置的源NAT優先級越高，但是也可以通過命令手工調整源NAT之間的優先級。
1. 選擇“防火墻 > NAT > 源NAT > 源NAT”。
2. 在“源NAT策略列表”中，單擊“新建”。
3. 依次輸入或選擇各項參數，如表7-15所示。
4. 單擊“應用”。
界面中顯示新建的源NAT，則表明操作成功。
表  新建源NAT參數說明

參數	說明	取值建議
源安全區域	源安全區域通常為轉換前的私網IP地址所在的安全區域。	如果配置域內NAT，請將源、目的安全區域配成一致。
目的安全區域	目的安全區域通常為轉換后的公網IP地址所在的安全區域。	-
源地址	源NAT的源IP地址。	源地址通常為轉換前的私網IP地址。不填寫時使用默認值any，表示匹配源安全區域內的任意IP地址。
目的地址	源NAT的目的IP地址。	不填寫時使用默認值any，表示對目的IP地址不做限制。
服務	源NAT引用的服務或服務組。	-
動作	配置是否對匹配源NAT的報文進行源地址轉換。	· NAT轉換：表示對匹配源NAT的數據報文進行源地址轉換。 · 不做NAT轉換：表示對匹配源NAT的數據報文不進行源地址轉換。
描述	對源NAT的描述信息。	-
將源地址轉換為	選擇將源地址轉換為地址池中的地址或接口IP地址。	· 地址池中的地址：私網IP地址轉換為NAT地址池中的公網IP地址。 · 接口IP地址：私網IP地址轉換為“接口”的IP地址。
地址池	新建或選擇NAT地址池。當“將源地址轉換為”選擇“地址池中的地址”時，界面顯示此配置項。	-
允許端口地址轉換	允許端口地址轉換可以使多個私網IP地址轉換為公網IP地址。 當“將源地址轉換為”選擇“地址池中的地址”時，界面顯示此配置項。	-
接口	接口必須為加入目的安全區域的接口，且配置了公網IP地址。 當“將源地址轉換為”選擇“接口IP地址”時，界面顯示此配置項。	-

啟用源NAT

新建源NAT后，處于啟用狀態。關閉源NAT后，該源NAT將不起作用。
1. 選擇“防火墻 > NAT > 源NAT > 源NAT”。
2. 在“源NAT策略列表”中，選中需要啟用的源NAT所在行的“啟用”復選框。
取消選中“啟用”復選框，禁用該源NAT。

復制源NAT

復制源NAT時，用戶可以對原有的源NAT進行微調，從而形成新的源NAT。新的源NAT編號在現有源NAT最大編號的基礎上遞增。
當需要配置多條相似的源NAT時，可以反復執行以下操作。
1. 選擇“防火墻 > NAT > 源NAT > 源NAT”。
2. 在“源NAT策略列表”中，單擊需要復制的源NAT所在行的。
3. 重新輸入或選擇各項參數，如表7-15所示。其中“源安全區域”和“目的安全區域”不可修改。
4. 單擊“應用”。

移動源NAT

移動源NAT可以在安全區域間調整源NAT的位置，從而改變源NAT的匹配順序。位置越高的源NAT優先級越高，越優先進行匹配。
1. 選擇“防火墻 > NAT > 源NAT > 源NAT”。
2. 在“源NAT策略列表”中，單擊需要移動的源NAT所在行的。
3. 依次輸入或選擇各項參數，如表7-16所示。
4. 單擊“確定”。
源NAT移動到相應位置，則表明操作成功。
表7-16  移動源NAT參數說明

參數	說明	取值建議
目標ID	當前源NAT會移動到“目標ID”的源NAT的上方或下方。	-
位置	· 之前：將當前源NAT移動到“目標ID”的源NAT的上方。 · 之后：將當前源NAT移動到“目標ID”的源NAT的下方。	-

插入源NAT

1. 選擇“防火墻 > NAT > 源NAT > 源NAT”。
2. 在“源NAT策略列表”中，單擊已創建源NAT所在行的，為當前源NAT對應的安全域間增加一條源NAT，新增源NAT插入到當前源NAT之前。
3. 重新輸入或選擇各項參數，如表7-15所示。其中“源安全區域”和“目的安全區域”不可修改。
4. 單擊“應用”。

查詢源NAT

1. 選擇“防火墻 > NAT > 源NAT > 源NAT”。
2. 使用以下兩種方式的一種來查詢源NAT：
· 普通查詢
在“源NAT策略列表”表頭的下拉框中選擇安全區域，單擊“查詢”。
· 高級查詢
a. 在“源NAT策略列表”表頭的下拉框中選擇安全區域，單擊“高級查詢”。
b. 輸入查詢條件，如表7-15所示。
c. 單擊“確定”。
 
以上文章由北京艾銻無限科技發展有限公司整理