程序员经验分享-hwhale

华为防火墙NAT

2023-11-18

目录

NAT分类

黑洞路由

Server-map 表

NAT分类

在内外网的边界,流量有出,入两个方向,所以NAT技术包含源地址转换和目的地址转换
一般情况下,源地址转换主要解决内部局域网计算机访问internet的场景;而目标地址转换主要于解决Internet用户访问局域网服务器的场景。

源地址转换主要有以下几类
NAT NO-PAT 类似于CIsco的动态转换,只转换源IP,不转换端口。属于多对多转换。不能节省公网IP地址。

NAPT 类似于思科的PAT转换,NAPT即转换报文的源地址,又转换源端口。转换后的地址不能是外网接口IP地址。属于多对多或多对一转换,可以节约IP地址,使用场景较多。

出接口地址:因其转换方式非常简单,所以也称为Easy-IP,和NAPT一样,既转换源IP地址,又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址,属于多对一转换,可以节约IP地址。

Smart NAT(智能转换):通过预留一个公网地址进行NAPT转换,而其他的公网地址用来进行NAT No-PAT转换。

三元组NAT:与源IP地址、源端口和协议类型有关的一种转换,将源IP地址和源端口转换为固定公网IP地址和端口,能解决一些特殊应用在普通NAT中无法实现的问题。

三元组NAT:与源IP地址、源端口和协议类型有关的一种转换,将源IP地址和源端口转换为固定公网IP地址和端口,能解决一些特殊应用在普通NAT中无法实现的问题。

黑洞路由

在NAT源地址转换和目的地转换。会产生路由环路和无效ARP报文,这时通过配置黑洞路由可以解决

 

NAT 类型 描述 是否配置黑洞路由
NAT-No-PAT 当公网用户访问转换后的地址时产生环路或产生ARP报文 
NAPT 当公网用户访问转换后的地址时产生环路或产生ARP报文 
Easy-ip 转换后的地址就是外网接口地址,公网用户访问该地址时不会产生环路
NAT Server(精细) 当公网用户访问转换后的地址时产生环路或产生ARP报文 
NAT Server(粗泛) 当公网用户访问映射后的地址时直接转发给内部服务器

Server-map 表

通过server-map 表可以解决多通道协议数据传输问题
Server-map表记录应用层的关键数据信息,包括目标端口,目标地址和协议类型,和会话表一样匹配了Server-map 表的数据可以之间通过防火墙

Server-map表和会话表的区别:
会话表记录的是连接信息,包括连接状态。
server-map表记录的不是当前的连接信息,而是通过分析当前连接的报文后得到的信息,该信息用来解决接下来的数据流通过防火墙的问题。可以将server-map表的作用理解为通过未雨绸缪解决将来的问题,如像FTP这种的多端口协议,在从一开始的三次握手,到最后完成数据的传输,其过程中,可能端口会发生改变等问题,server-map正好可以解决这种问题

华为防火墙NAT实例

 

<USG6000V1>system-view 进入系统视图
[USG6000V1]interface GigabitEthernet 1/0/0 进入接口
[USG6000V1-GigabitEthernet1/0/0]ip address 20.0.0.1 24 配置IP地址
[USG6000V1-GigabitEthernet1/0/0]undo shutdown  激活
[USG6000V1-GigabitEthernet1/0/0]quit 返回上一级
[USG6000V1]interface GigabitEthernet 1/0/1 进入接口
[USG6000V1-GigabitEthernet1/0/1]ip address 192.168.10.1 24 配置IP地址
[USG6000V1-GigabitEthernet1/0/1]undo shutdown 激活
[USG6000V1-GigabitEthernet1/0/1]quit 返回上一级
[USG6000V1]interface GigabitEthernet 1/0/2 进入接口
[USG6000V1-GigabitEthernet1/0/2]ip address 192.168.20.1 24 配置IP地址
[USG6000V1-GigabitEthernet1/0/2]undo shutdown 激活
[USG6000V1-GigabitEthernet1/0/2]quit 返回上一级
[USG6000V1]interface GigabitEthernet 1/0/3 进入接口
[USG6000V1-GigabitEthernet1/0/3]ip address 192.168.30.1 24 配置IP地址
[USG6000V1-GigabitEthernet1/0/3]undo shutdown 激活
[USG6000V1-GigabitEthernet1/0/3]quit 返回上一级
[USG6000V1]firewall zone trust 进入 trust 区域
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1 将G1/0/1添加至trust区域
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/2 将G1/0/2添加至trust区域
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/3 将G1/0/3添加至trust区域
[USG6000V1-zone-trust]quit 返回上一级
[USG6000V1]firewall zone untrust 进入untrust区域
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/0 将接口添加至untrust区域
[USG6000V1-zone-untrust]quit 返回上一级
[USG6000V1]security-policy 配置安全策略
[USG6000V1-policy-security]rule name trust 创建策略trust
[USG6000V1-policy-security-rule-trust]source-zone trust  源区域trust
[USG6000V1-policy-security-rule-trust]destination-zone untrust 目标区域untrust
[USG6000V1-policy-security-rule-trust]action permit 动作允许
[USG6000V1-policy-security-rule-trust]quit 返回上一级
[USG6000V1-policy-security]rule name untrust 创建untrust
[USG6000V1-policy-security-rule-untrust]source-zone untrust 源区域untrust
[USG6000V1-policy-security-rule-untrust]destination-zone trust 目标区域trust
[USG6000V1-policy-security-rule-untrust]action permit 动作允许
[USG6000V1-policy-security-rule-untrust]quit 返回上一级
[USG6000V1-policy-security]ip route-static 0.0.0.0 0.0.0.0 20.0.0.2 配置静态
[USG6000V1]nat address-group NAPT 创建地址池NAPT
[USG6000V1-address-group-NAPT]section 1 40.0.0.10 40.0.0.20 配置公网地址范围
[USG6000V1-address-group-NAPT]mode pat 模式为PAT
[USG6000V1-address-group-NAPT]quit 返回上一级
[USG6000V1]nat address-group NOPAT 创建地址池NOPAT
[USG6000V1-address-group-NOPAT]section 2 40.0.0.30 40.0.0.40 配置公网地址范围
[USG6000V1-address-group-NOPAT]mode no-pat local 模式为no-pat只对本地生效
[USG6000V1-address-group-NOPAT]quit 返回上一级
[USG6000V1]nat-policy 配置NAT策略
[USG6000V1-policy-nat]rule name NAPT 创建策略NAPT
[USG6000V1-policy-nat-rule-NAPT]source-address 192.168.20.0 24 源IP地址为192.168.20.0/24
[USG6000V1-policy-nat-rule-NAPT]source-address-exclude 192.168.20.100 32 排除地址192.168.20.100 
[USG6000V1-policy-nat-rule-NAPT]source-zone trust 源区域 trust
[USG6000V1-policy-nat-rule-NAPT]destination-zone untrust  目标区域untrust
[USG6000V1-policy-nat-rule-NAPT]action  source-nat address-group NAPT 配置源地址转换为NAPT的公网地址
[USG6000V1-policy-nat-rule-NAPT]quit 返回上一级
[USG6000V1-policy-nat]rule name NOPAT 创建策略NOPAT  
[USG6000V1-policy-nat-rule-NOPAT]source-address 192.168.10.0 24 源地址为192.168.10.0/24 
[USG6000V1-policy-nat-rule-NOPAT]source-address-exclude 192.168.10.100 32 排除地址192.168.10.100 
[USG6000V1-policy-nat-rule-NOPAT]source-zone trust  源区域trust
[USG6000V1-policy-nat-rule-NOPAT]destination-zon untrust 目标区域 untrust
[USG6000V1-policy-nat-rule-NOPAT]action source-nat address-group NOPAT 配置源地址转换为NOPAT的公网地址
[USG6000V1-policy-nat-rule-NOPAT]quit 返回上一级
[USG6000V1-policy-nat]rule name easy-ip 创建策略easy-ip
[USG6000V1-policy-nat-rule-easy-ip]source-address 192.168.30.0 24 源IP192.168.30.0/24
[USG6000V1-policy-nat-rule-easy-ip]source-zone trust 源区域trust
[USG6000V1-policy-nat-rule-easy-ip]destination-zone untrust 目标区域untrust
[USG6000V1-policy-nat-rule-easy-ip]action source-nat easy-ip 配置为easy-ip
[USG6000V1-policy-nat-rule-easy-ip]quit 返回上一级
[USG6000V1-policy-nat]quit 返回上一级
[USG6000V1]nat server natserver_ftp protocol tcp global 40.0.0.41 21 inside 192.168.10.100 21  将内网服务器192.168.10.100 21 端口映射到公网40.0.0.41 21端口
[USG6000V1]nat server natserver_ftp2 protocol tcp global 40.0.0.42 21 inside 192.168.20.100 21 将内网服务器192.168.20.100 21 端口映射到公网 40.0.0.42 21端口
[USG6000V1]ip route-static 40.0.0.0 24 null 0 配置黑洞路由
 

AR1配置

<AR1>system-view 进入系统视图
[AR1]int g0/0/0 进入接口
[AR1-GigabitEthernet0/0/0]ip add 20.0.0.2 24 配置IP
[AR1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1 进入接口G0/0/1
[AR1-GigabitEthernet0/0/1]ip add 30.0.0.2 24 配置ip
[AR1-GigabitEthernet0/0/1]quit 返回上一级
[AR1]ip route-static 40.0.0.0 24 20.0.0.1 配置静态路由

测试

 

通过外网访问公网映射地址实现访问内网服务器

 

 

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

华为

网络

安全

华为防火墙NAT 的相关文章

  • 网络空间安全女生就业,怎么学?

    我实验室的学长们基本都是以红队和复现为主 如果学校好点可能还有更多的选择 如果想在这个方向深入下去 推荐流程是先打两年CTF 把大概的技术方向摸一摸 大一的话 如果学校还不错 那就优先建议打好基础 包括C语言 Python一类 建议把CTF

  • 软件开发和网络安全哪个更好找工作?

    为什么今年应届毕业生找工作这么难 有时间去看看张雪峰今年为什么这么火就明白了 这么多年人才供给和需求错配的问题 在经济下行的今年 集中爆发 供给端 大学生越来越多 需求端 低端工作大家不愿去 高端岗位又太少 很多基础行业 比如机械 土木 所

  • 这些专利知识你知道吗?

    专利作为一种重要的知识产权保护形式 专利不仅成为了企业核心竞争力的重要组成部分 也成为了国家创新发展的重要支撑 专利是指国家专利主管机关授予发明创造申请人的一种专有权 这种专有权具有独占性 排他性和法律强制性 能够为持有者带来经济利益和竞争

  • 信号浪涌保护器的原理和行业应用方案

    信号浪涌保护器 Surge Protective Device 简称SPD 是一种用于限制信号线路中瞬态过电压和分泄浪涌电流的防雷装置 主要用于保护各类信号线路及设备的防雷安全 信号浪涌保护器的原理是利用气体放电管 压敏电阻 齐纳二极管等非

  • 5个步骤,教你瞬间明白线程和线程安全

    记得今年3月份刚来杭州面试的时候 有一家公司的技术总监问了我这样一个问题 你来说说有哪些线程安全的类 我心里一想 这我早都背好了 稀里哗啦说了一大堆 他又接着问 那你再来说说什么是线程安全 然后我就GG了 说真的 我们整天说线程安全 但是对

  • 【信道估计】【MIMO】【FBMC】未来移动通信的滤波器组多载波调制方案(Matlab代码实现)

    欢迎来到本博客 博主优势 博客内容尽量做到思维缜密 逻辑清晰 为了方便读者 座右铭 行百里者 半于九十 本文目录如下 目录 1 概述 2 运行结果 3 参考文献 4 Matlab代码及文章

  • WEB前端常见受攻击方式及解决办法总结

    一个网址建立后 如果不注意安全问题 就很容易被人攻击 下面讨论一下集中漏洞情况和放置攻击的方法 一 SQL注入 所谓的SQL注入 就是通过把SQL命令插入到web表单提交或输入域名或页面请求的查询字符串 最终达到欺骗服务器执行恶意的SQL命

  • WEB前端常见受攻击方式及解决办法总结

    一个网址建立后 如果不注意安全问题 就很容易被人攻击 下面讨论一下集中漏洞情况和放置攻击的方法 一 SQL注入 所谓的SQL注入 就是通过把SQL命令插入到web表单提交或输入域名或页面请求的查询字符串 最终达到欺骗服务器执行恶意的SQL命

  • 白帽子如何快速挖到人生的第一个漏洞 | 购物站点挖掘商城漏洞

    本文针对人群 很多朋友们接触安全都是通过书籍 网上流传的PDF 亦或是通过论坛里的文章 但可能经过了这样一段时间的学习 了解了一些常见漏洞的原理之后 对于漏洞挖掘还不是很清楚 甚至不明白如何下手 可能你通过 sql labs 初步掌握了sq

  • Android SDK开发艺术探索(五)安全与校验

    一 前言 本篇是Android SDK开发艺术探索系列的第五篇文章 介绍了一些SDK开发中安全方面的知识 包括资源完整性 存储安全 权限校验 传输安全 代码混淆等知识 通过基础的安全配置为SDK保驾护航 探索SDK开发在安全方面的最佳实践

  • 200道网络安全常见面试题合集(附答案解析+配套资料)

    有不少小伙伴面临跳槽或者找工作 本文总结了常见的安全岗位面试题 方便各位复习 祝各位事业顺利 财运亨通 在网络安全的道路上越走越远 所有的资料都整理成了PDF 面试题和答案将会持续更新 因为无论如何也不可能覆盖所有的面试题 php爆绝对路径

  • 远程控制软件安全吗?一文看懂ToDesk、RayLink、TeamViewer、Splashtop相关安全机制_raylink todesk

    目录 一 前言 二 远程控制中的安全威胁 三 国内外远控软件安全机制 ToDesk RayLink Teamviewer Splashtop 四 安全远控预防 一 前言 近期 远程控制话题再一次引起关注 据相关新闻报道 不少不法分子利用远程

  • 如何使用Imagewheel搭建一个简单的的私人图床无公网ip也能访问

    文章目录 1 前言 2 Imagewheel网站搭建 2 1 Imagewheel下载和安装 2 2 Imagewheel网页测试 2 3 cpolar的安装和注册 3 本地网页发布 3 1 Cpolar临时数据隧道

  • 数据加密保障数据安全

    一 目标 1 1 预研需求 数据加密是安全领域中常用的安全措施 它们的主要作用是保护数据的机密性和完整性 以防止未经授权的访问 窃取 篡改或泄漏敏感信息 数据传输加密 保护敏感数据在传输过程中的安全 当数据通过网络传输时 它们可能会经过多个

  • 内网安全:隧道技术详解

    目录 隧道技术 反向连接技术 反向连接实验所用网络拓扑图及说明 网络说明 防火墙限制说明 实验前提说明 实战一 CS反向连接上线 拿下Win2008 一 使用转发代理上线创建监听器 二 上传后门执行上线 隧道技术 SMB协议 SMB协议介绍

  • 静态综合实验

    1 IP地址划分 192 168 1 0 27 用于主干拆分 192 168 1 32 27 用于用户拆分 192 168 1 64 27 用于用户拆分 192 168 1 96 27 用于用户拆分 192 168 1 128 27 用于用

  • 【无标题】

    大家都知道该赛项的规程和样题向来都是模棱两可 从来不说具体的内容 导致选手在备赛时没有头绪 不知道该怎么训练 到了赛时发现题目和备赛的时候完全不一样 那么本文将以往年信息安全管理与评估赛项经验来解读今年2023年国赛的规程 帮助选手们指明方

  • 【方法】如何把Excel“只读方式”变成可直接编辑?

    Excel在 只读方式 下 编辑后是无法直接保存原文件的 那如何可以直接编辑原文件呢 下面来一起看看看吧 如果Excel设置的是无密码的 只读方式 那在打开Excel后 会出现对话框 提示 是否以只读方式打开 如果想直接编辑文件 选择 否

  • 【安全】Java幂等性校验解决重复点击(6种实现方式)

    目录 一 简介 1 1 什么是幂等 1 2 为什么需要幂等性 1 3 接口超时 应该如何处理 1 4 幂等性对系统的影响 二 Restful API 接口的幂等性 三 实现方式 3 1 数据库层面 主键 唯一索引冲突 3 2 数据库层面 乐

  • 【安全】网络安全态势感知

    文章目录 一 态势感知简介 1 概念 2 形象举例 3 应具备的能力 二 为什么要态势感知 为什么网络安全态势感知很重要 三 态势感知系统的功能 四 如何评估态势感知的建设结果 五 什么是态势感知的三个层级 四 业界的态势感知产品 1 安全

随机推荐

  • llvm之IR设计

    llvm之IR设计 引言 1 逻辑关系 2 class Module 3 class IRBuilder 4 class Instruction 5 class Constant 6 class Function 引言 llvm IR是ll

  • v-if与v-show的区别=====》面试题

    共同点 都是控制元素显示或隐藏的指令 区别 v show 控制元素无论是true还是false都会被渲染出来 通过diaplay none控制元素隐藏 v if控制元素是true渲染 是false不渲染 在dom树结构中不显示 加分回答 应

  • [STM32系列]一、HAL库的串口中断接收

    STM32系列 一 HAL库的串口中断任意长度接收 1 前言 2 回调函数 3 HAL库中断接收函数使用 1 前言 HAL即硬件抽象层 英语 Hardware Abstraction Layer 实现了不同硬件的统一接口操作 这就极大的简化

  • 极简Json格式剖析与fastjson下载和使用

    Json存在的意义 Json主要用来做数据的传输 例如发送java中的一个对象 由于对象是存储在内存里的 不能直接将内存里的对象发送出去 这时需要使用序列化 持久化 手段 将对象转换为一系列字符串 比如说Json 在字符串送达目的地时再使用

  • HTTP协议和Tomcat服务器

    目录 1 HTTP 是什么 2 HTTP 工作过程 2 1 HTTP 协议格式 2 1 1 抓包工具的使用 2 1 2 抓包工具原理 2 1 3 抓包结果分析 2 1 4 协议格式总结 3 HTTP 请求 Request 3 1 请求地址

  • 常用的数组方法整理

    常用的数组方法 1 concat 2 join 3 pop 4 shift 5 unshift 7 reverse 8 sort 9 slice 10 splice 11 toString 12 valueOf 13 IndexOf 14

  • 二、Vue3跨组件调用函数[mitt]

    一 跨组件调用函数 安装 npm install mitt 创建文件并写入 bus js import mitt from mitt export const eventBus mitt 使用方法 import eventBus from

  • 2022年6月8日STM32——SPI读写串行FLASH 和 串行FLASH文件系统FatFs

    此内容是为自己方便回忆 如有错误 欢迎指导 内容来源于野火指南者开发板教程 一 SPI读写串行FLASH SPI Serial Peripheral Interface 串行外围设备接口 是高速全双工的通信总线 通讯速率较高 SPI物理层

  • VS2019中文输出乱码解决方法(C语言)

    现象 VS2019控制台输出中文乱码 第一种解决方法 安装插件Format on Save重启VS2019生效 注意 别装错了 刚开始我就装错了这个UTF 8 No BOM 装了这个插件的同学 记得要删掉 不然还是会出现问题 第二种解决方法

  • 等价类

    动态测试方法是指通过运行被测程序 检查运行结果与预期结果的差异 并分析运行效率 正确性和健壮性等性能 这种方法由三部分组成 构造测试用例 执行程序 分析程序的输出结果 静态方法是指不运行被测程序本身 仅通过分析或检查源程序的语法 结构 过程

  • 无线通信原理之OFDM技术

    补充一个完整的OFDM系统结构图 包括收发天线 目录 1 OFDM的基本原理 2 OFDM系统模型 3 循环前缀和导频 4 OFDM系统参数 1 OFDM的基本原理 OFDM即正交频分复用 Orthogonal Frequency Divi

  • React-错误边界与组件通信方式概述

    错误边界 错误边界 Error boundary 用来捕获后代组件错误 渲染出备用页面 注意 只在生产环境 项目上线 起效 特点 只能捕获后代组件生命周期产生的错误 不能捕获自己组件产生的错误和其他组件在合成事件 定时器中产生的错误 简单理

  • DevOps是什么

    DevOps 英文Development和Operations的组合 是一组过程 方法与系统的统称 用于促进开发 应用程序 软件工程 技术运营和质量保障 QA 部门之间的沟通 协作与整合 它的出现是由于软件行业日益清晰地认识到 为了按时交付

  • JavaBean SpringBean是对象还是类

    JavaBean SpringBean是对象还是类 什么是JavaBean 什么是SpringBean 首先先说结论 Bean可以理解为对象 这几天在学习Spring源码的时候 观察到底层反复的对Bean的操作 于是就去网上搜索Bean到底

  • JAVA小程序微信支付

    微信支付有专门的文档 https pay weixin qq com wiki doc api wxa wxa api php chapter 9 1 当时找的时候都是前台如何 后来才发现后台需要做的就是统一下单 一 先到微信下载两个证书

  • java实现冒泡排序,直接插入排序,选择排序,希尔排序,以及求出它们的时间复杂度O(n)

    package com yg sort author GeQiLin date 2020 2 25 16 53 import java util Arrays public class Sort1 private static int ma

  • ModuleNotFoundError: No module named 'tqdm'

    bogon faceswap master macname pip3 install tqdm Collecting tqdm Downloading https files pythonhosted org packages 9f 3d

  • 软件版本(release、stable、lastest)的区别

    snapshot 快照 也即开发版 我们创建maven项目时 编辑器会自动给我们填入 1 0 SNAPSHOT版本 也就是1 0开发版 这个版本不能使用 因为该版本处于开发的过程 所以运行时会不时地更新 导致功能变化 正式环境中不得使用sn

  • layer.js open 隐藏滚动条

    img echart trand click function var host this data host var role this data role console log host host console log window

  • 华为防火墙NAT

    目录 NAT分类 黑洞路由 Server map 表 NAT分类 在内外网的边界 流量有出 入两个方向 所以NAT技术包含源地址转换和目的地址转换 一般情况下 源地址转换主要解决内部局域网计算机访问internet的场景 而目标地址转换主要

热门标签