程序员经验分享-hwhale

华为防火墙NAT

2023-11-18

目录

NAT分类

黑洞路由

Server-map 表

NAT分类

在内外网的边界,流量有出,入两个方向,所以NAT技术包含源地址转换和目的地址转换
一般情况下,源地址转换主要解决内部局域网计算机访问internet的场景;而目标地址转换主要于解决Internet用户访问局域网服务器的场景。

源地址转换主要有以下几类
NAT NO-PAT 类似于CIsco的动态转换,只转换源IP,不转换端口。属于多对多转换。不能节省公网IP地址。

NAPT 类似于思科的PAT转换,NAPT即转换报文的源地址,又转换源端口。转换后的地址不能是外网接口IP地址。属于多对多或多对一转换,可以节约IP地址,使用场景较多。

出接口地址:因其转换方式非常简单,所以也称为Easy-IP,和NAPT一样,既转换源IP地址,又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址,属于多对一转换,可以节约IP地址。

Smart NAT(智能转换):通过预留一个公网地址进行NAPT转换,而其他的公网地址用来进行NAT No-PAT转换。

三元组NAT:与源IP地址、源端口和协议类型有关的一种转换,将源IP地址和源端口转换为固定公网IP地址和端口,能解决一些特殊应用在普通NAT中无法实现的问题。

三元组NAT:与源IP地址、源端口和协议类型有关的一种转换,将源IP地址和源端口转换为固定公网IP地址和端口,能解决一些特殊应用在普通NAT中无法实现的问题。

黑洞路由

在NAT源地址转换和目的地转换。会产生路由环路和无效ARP报文,这时通过配置黑洞路由可以解决

 

NAT 类型 描述 是否配置黑洞路由
NAT-No-PAT 当公网用户访问转换后的地址时产生环路或产生ARP报文 
NAPT 当公网用户访问转换后的地址时产生环路或产生ARP报文 
Easy-ip 转换后的地址就是外网接口地址,公网用户访问该地址时不会产生环路
NAT Server(精细) 当公网用户访问转换后的地址时产生环路或产生ARP报文 
NAT Server(粗泛) 当公网用户访问映射后的地址时直接转发给内部服务器

Server-map 表

通过server-map 表可以解决多通道协议数据传输问题
Server-map表记录应用层的关键数据信息,包括目标端口,目标地址和协议类型,和会话表一样匹配了Server-map 表的数据可以之间通过防火墙

Server-map表和会话表的区别:
会话表记录的是连接信息,包括连接状态。
server-map表记录的不是当前的连接信息,而是通过分析当前连接的报文后得到的信息,该信息用来解决接下来的数据流通过防火墙的问题。可以将server-map表的作用理解为通过未雨绸缪解决将来的问题,如像FTP这种的多端口协议,在从一开始的三次握手,到最后完成数据的传输,其过程中,可能端口会发生改变等问题,server-map正好可以解决这种问题

华为防火墙NAT实例

 

<USG6000V1>system-view 进入系统视图
[USG6000V1]interface GigabitEthernet 1/0/0 进入接口
[USG6000V1-GigabitEthernet1/0/0]ip address 20.0.0.1 24 配置IP地址
[USG6000V1-GigabitEthernet1/0/0]undo shutdown  激活
[USG6000V1-GigabitEthernet1/0/0]quit 返回上一级
[USG6000V1]interface GigabitEthernet 1/0/1 进入接口
[USG6000V1-GigabitEthernet1/0/1]ip address 192.168.10.1 24 配置IP地址
[USG6000V1-GigabitEthernet1/0/1]undo shutdown 激活
[USG6000V1-GigabitEthernet1/0/1]quit 返回上一级
[USG6000V1]interface GigabitEthernet 1/0/2 进入接口
[USG6000V1-GigabitEthernet1/0/2]ip address 192.168.20.1 24 配置IP地址
[USG6000V1-GigabitEthernet1/0/2]undo shutdown 激活
[USG6000V1-GigabitEthernet1/0/2]quit 返回上一级
[USG6000V1]interface GigabitEthernet 1/0/3 进入接口
[USG6000V1-GigabitEthernet1/0/3]ip address 192.168.30.1 24 配置IP地址
[USG6000V1-GigabitEthernet1/0/3]undo shutdown 激活
[USG6000V1-GigabitEthernet1/0/3]quit 返回上一级
[USG6000V1]firewall zone trust 进入 trust 区域
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1 将G1/0/1添加至trust区域
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/2 将G1/0/2添加至trust区域
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/3 将G1/0/3添加至trust区域
[USG6000V1-zone-trust]quit 返回上一级
[USG6000V1]firewall zone untrust 进入untrust区域
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/0 将接口添加至untrust区域
[USG6000V1-zone-untrust]quit 返回上一级
[USG6000V1]security-policy 配置安全策略
[USG6000V1-policy-security]rule name trust 创建策略trust
[USG6000V1-policy-security-rule-trust]source-zone trust  源区域trust
[USG6000V1-policy-security-rule-trust]destination-zone untrust 目标区域untrust
[USG6000V1-policy-security-rule-trust]action permit 动作允许
[USG6000V1-policy-security-rule-trust]quit 返回上一级
[USG6000V1-policy-security]rule name untrust 创建untrust
[USG6000V1-policy-security-rule-untrust]source-zone untrust 源区域untrust
[USG6000V1-policy-security-rule-untrust]destination-zone trust 目标区域trust
[USG6000V1-policy-security-rule-untrust]action permit 动作允许
[USG6000V1-policy-security-rule-untrust]quit 返回上一级
[USG6000V1-policy-security]ip route-static 0.0.0.0 0.0.0.0 20.0.0.2 配置静态
[USG6000V1]nat address-group NAPT 创建地址池NAPT
[USG6000V1-address-group-NAPT]section 1 40.0.0.10 40.0.0.20 配置公网地址范围
[USG6000V1-address-group-NAPT]mode pat 模式为PAT
[USG6000V1-address-group-NAPT]quit 返回上一级
[USG6000V1]nat address-group NOPAT 创建地址池NOPAT
[USG6000V1-address-group-NOPAT]section 2 40.0.0.30 40.0.0.40 配置公网地址范围
[USG6000V1-address-group-NOPAT]mode no-pat local 模式为no-pat只对本地生效
[USG6000V1-address-group-NOPAT]quit 返回上一级
[USG6000V1]nat-policy 配置NAT策略
[USG6000V1-policy-nat]rule name NAPT 创建策略NAPT
[USG6000V1-policy-nat-rule-NAPT]source-address 192.168.20.0 24 源IP地址为192.168.20.0/24
[USG6000V1-policy-nat-rule-NAPT]source-address-exclude 192.168.20.100 32 排除地址192.168.20.100 
[USG6000V1-policy-nat-rule-NAPT]source-zone trust 源区域 trust
[USG6000V1-policy-nat-rule-NAPT]destination-zone untrust  目标区域untrust
[USG6000V1-policy-nat-rule-NAPT]action  source-nat address-group NAPT 配置源地址转换为NAPT的公网地址
[USG6000V1-policy-nat-rule-NAPT]quit 返回上一级
[USG6000V1-policy-nat]rule name NOPAT 创建策略NOPAT  
[USG6000V1-policy-nat-rule-NOPAT]source-address 192.168.10.0 24 源地址为192.168.10.0/24 
[USG6000V1-policy-nat-rule-NOPAT]source-address-exclude 192.168.10.100 32 排除地址192.168.10.100 
[USG6000V1-policy-nat-rule-NOPAT]source-zone trust  源区域trust
[USG6000V1-policy-nat-rule-NOPAT]destination-zon untrust 目标区域 untrust
[USG6000V1-policy-nat-rule-NOPAT]action source-nat address-group NOPAT 配置源地址转换为NOPAT的公网地址
[USG6000V1-policy-nat-rule-NOPAT]quit 返回上一级
[USG6000V1-policy-nat]rule name easy-ip 创建策略easy-ip
[USG6000V1-policy-nat-rule-easy-ip]source-address 192.168.30.0 24 源IP192.168.30.0/24
[USG6000V1-policy-nat-rule-easy-ip]source-zone trust 源区域trust
[USG6000V1-policy-nat-rule-easy-ip]destination-zone untrust 目标区域untrust
[USG6000V1-policy-nat-rule-easy-ip]action source-nat easy-ip 配置为easy-ip
[USG6000V1-policy-nat-rule-easy-ip]quit 返回上一级
[USG6000V1-policy-nat]quit 返回上一级
[USG6000V1]nat server natserver_ftp protocol tcp global 40.0.0.41 21 inside 192.168.10.100 21  将内网服务器192.168.10.100 21 端口映射到公网40.0.0.41 21端口
[USG6000V1]nat server natserver_ftp2 protocol tcp global 40.0.0.42 21 inside 192.168.20.100 21 将内网服务器192.168.20.100 21 端口映射到公网 40.0.0.42 21端口
[USG6000V1]ip route-static 40.0.0.0 24 null 0 配置黑洞路由
 

AR1配置

<AR1>system-view 进入系统视图
[AR1]int g0/0/0 进入接口
[AR1-GigabitEthernet0/0/0]ip add 20.0.0.2 24 配置IP
[AR1-GigabitEthernet0/0/0]interface GigabitEthernet 0/0/1 进入接口G0/0/1
[AR1-GigabitEthernet0/0/1]ip add 30.0.0.2 24 配置ip
[AR1-GigabitEthernet0/0/1]quit 返回上一级
[AR1]ip route-static 40.0.0.0 24 20.0.0.1 配置静态路由

测试

 

通过外网访问公网映射地址实现访问内网服务器

 

 

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

华为

网络

安全

华为防火墙NAT 的相关文章

  • 软件开发和网络安全哪个更好找工作?

    为什么今年应届毕业生找工作这么难 有时间去看看张雪峰今年为什么这么火就明白了 这么多年人才供给和需求错配的问题 在经济下行的今年 集中爆发 供给端 大学生越来越多 需求端 低端工作大家不愿去 高端岗位又太少 很多基础行业 比如机械 土木 所

  • 这些专利知识你知道吗?

    专利作为一种重要的知识产权保护形式 专利不仅成为了企业核心竞争力的重要组成部分 也成为了国家创新发展的重要支撑 专利是指国家专利主管机关授予发明创造申请人的一种专有权 这种专有权具有独占性 排他性和法律强制性 能够为持有者带来经济利益和竞争

  • 线程安全(中)--彻底搞懂synchronized(从偏向锁到重量级锁)

    接触过线程安全的同学想必都使用过synchronized这个关键字 在java同步代码快中 synchronized的使用方式无非有两个 通过对一个对象进行加锁来实现同步 如下面代码 synchronized lockObject 代码 对

  • 用户数据中的幸存者偏差

    幸存者偏差 Survivorship bias 是一种常见的逻辑谬误 意思是没有考虑到筛选的过程 忽略了被筛选掉的关键信息 只看到经过筛选后而产生的结果 先讲个故事 二战时 无奈德国空防强大 盟军战机损毁严重 于是军方便找来科学家统计飞机受

  • Android SDK开发艺术探索(五)安全与校验

    一 前言 本篇是Android SDK开发艺术探索系列的第五篇文章 介绍了一些SDK开发中安全方面的知识 包括资源完整性 存储安全 权限校验 传输安全 代码混淆等知识 通过基础的安全配置为SDK保驾护航 探索SDK开发在安全方面的最佳实践

  • 远程控制软件安全吗?一文看懂ToDesk、RayLink、TeamViewer、Splashtop相关安全机制_raylink todesk

    目录 一 前言 二 远程控制中的安全威胁 三 国内外远控软件安全机制 ToDesk RayLink Teamviewer Splashtop 四 安全远控预防 一 前言 近期 远程控制话题再一次引起关注 据相关新闻报道 不少不法分子利用远程

  • 【网安神器篇】——WPScan漏洞扫描工具

    目录 一 Wordpress简介 二 WPScan介绍 三 安装 四 获取token 1 注册账号 2 拿到token 五 使用教程 1 常用选项 2 组合命令 1 模糊扫描 2 指定扫描用户 3 插件漏洞扫描 4 主题漏洞扫描 5 Tim

  • HPE Aruba Networking:五大网络现代化策略助力实现校园数字化转型

    作者 Aruba中国区技术销售总监 俞世丹 全球数字化进程日益加深 科技已成为加速教育行业发展的重要驱动力 人工智能 大数据 云计算 物联网 虚拟现实等新兴技术的快速发展 正在深刻改变着教育的形态和模式 为了更好地满足学校师生个性化教育教学

  • 基于java的物业管理系统设计与实现

    基于java的物业管理系统设计与实现 I 引言 A 研究背景和动机 物业管理系统是指对物业进行管理和服务的系统 该系统需要具备对物业信息 人员信息 财务信息等进行管理的能力 基于Java的物业管理系统设计与实现的研究背景和动机主要体现在以下

  • 网络安全基础知识面试题库

    1 基于路由器的攻击手段 1 1 源IP地址欺骗式攻击 入侵者从外部传输一个伪装成来自内部主机的数据包 数据包的IP是 内网的合法IP 对策 丢弃所有来自路由器外端口 却使用内部源地址的数据包 1 2 源路由攻击 入侵者让数据包循着一个不可

  • HarmonyOS 基于eTS高效开发HarmonyOS课程类应用

    随着HarmonyOS 3 0 Beta版的发布 API Version 8新增了大批JS eTS API接口 相信很多开发者已经迫不及待想体验基于eTS的HamronyOS应用开发 本期Codelab 我们将基于API Version 8

  • 鸿蒙开发Flex、栅格布局详解

    Flex弹性布局 一 direction 1 FlexDirection Row 主轴为水平方向 子组件从起始端沿着水平方向开始排布 2 FlexDirection RowReverse 主轴为水平方向 子组件从终点端沿着FlexDirec

  • 数据加密保障数据安全

    一 目标 1 1 预研需求 数据加密是安全领域中常用的安全措施 它们的主要作用是保护数据的机密性和完整性 以防止未经授权的访问 窃取 篡改或泄漏敏感信息 数据传输加密 保护敏感数据在传输过程中的安全 当数据通过网络传输时 它们可能会经过多个

  • 静态综合实验

    1 IP地址划分 192 168 1 0 27 用于主干拆分 192 168 1 32 27 用于用户拆分 192 168 1 64 27 用于用户拆分 192 168 1 96 27 用于用户拆分 192 168 1 128 27 用于用

  • 2024年华为OD机试真题-靠谱的车-Python-OD统一考试(C卷)

    题目描述 程序员小明打了一辆出租车去上班 出于职业敏感 他注意到这辆出租车的计费表有点问题 总是偏大 出租车司机解释说他不喜欢数字4 所以改装了计费表 任何数字位置遇到数字4就直接跳过 其余功能都正常 比如 1 23再多一块钱就变为25 2

  • 2024年华为OD机试真题-查找接口成功率最优时间段-Python-OD统一考试(C卷)

    题目描述 服务之间交换的接口成功率作为服务调用关键质量特性 某个时间段内的接口失败率使用一个数组表示 数组中每个元素都是单位时间内失败率数值 数组中的数值为0 100的整数 给定一个数值 minAverageLost 表示某个时间段内平均失

  • 【安全】原型链污染 - Hackit2018

    目录 准备工作 解题 代码审计 Payload 准备工作 将这道题所需依赖模块都安装好后 运行一下 然后可以试着访问一下 报错是因为里面没内容而已 不影响 准备工作就做好了 解题 代码审计 const express require exp

  • 【安全】简单解析统一身份认证:介绍、原理和实现方法

    深入解析统一身份认证 介绍 原理和实现方法 导语 统一身份认证是什么 统一身份认证的原理 统一身份认证的实现 结语 导语 随着互联网的发展和各种在线服务的普及 用户在不同的应用和平台上需要进行多次身份验证 为了简化用户的登录和减少重复操作

  • 【方法】如何把Excel“只读方式”变成可直接编辑?

    Excel在 只读方式 下 编辑后是无法直接保存原文件的 那如何可以直接编辑原文件呢 下面来一起看看看吧 如果Excel设置的是无密码的 只读方式 那在打开Excel后 会出现对话框 提示 是否以只读方式打开 如果想直接编辑文件 选择 否

  • 【安全】使用docker安装Nessus

    目录 一 准备docker环境服务器 略 二 安装 2 1 搜索镜像 2 2 拉取镜像 2 3 启动镜像 三 离线更新插件 3 1 获取challenge 3 2 官方注册获取激活码 3 3 使用challenge码和激活码获取插件下载地址

随机推荐

  • llvm之IR设计

    llvm之IR设计 引言 1 逻辑关系 2 class Module 3 class IRBuilder 4 class Instruction 5 class Constant 6 class Function 引言 llvm IR是ll

  • v-if与v-show的区别=====》面试题

    共同点 都是控制元素显示或隐藏的指令 区别 v show 控制元素无论是true还是false都会被渲染出来 通过diaplay none控制元素隐藏 v if控制元素是true渲染 是false不渲染 在dom树结构中不显示 加分回答 应

  • [STM32系列]一、HAL库的串口中断接收

    STM32系列 一 HAL库的串口中断任意长度接收 1 前言 2 回调函数 3 HAL库中断接收函数使用 1 前言 HAL即硬件抽象层 英语 Hardware Abstraction Layer 实现了不同硬件的统一接口操作 这就极大的简化

  • 极简Json格式剖析与fastjson下载和使用

    Json存在的意义 Json主要用来做数据的传输 例如发送java中的一个对象 由于对象是存储在内存里的 不能直接将内存里的对象发送出去 这时需要使用序列化 持久化 手段 将对象转换为一系列字符串 比如说Json 在字符串送达目的地时再使用

  • HTTP协议和Tomcat服务器

    目录 1 HTTP 是什么 2 HTTP 工作过程 2 1 HTTP 协议格式 2 1 1 抓包工具的使用 2 1 2 抓包工具原理 2 1 3 抓包结果分析 2 1 4 协议格式总结 3 HTTP 请求 Request 3 1 请求地址

  • 常用的数组方法整理

    常用的数组方法 1 concat 2 join 3 pop 4 shift 5 unshift 7 reverse 8 sort 9 slice 10 splice 11 toString 12 valueOf 13 IndexOf 14

  • 二、Vue3跨组件调用函数[mitt]

    一 跨组件调用函数 安装 npm install mitt 创建文件并写入 bus js import mitt from mitt export const eventBus mitt 使用方法 import eventBus from

  • 2022年6月8日STM32——SPI读写串行FLASH 和 串行FLASH文件系统FatFs

    此内容是为自己方便回忆 如有错误 欢迎指导 内容来源于野火指南者开发板教程 一 SPI读写串行FLASH SPI Serial Peripheral Interface 串行外围设备接口 是高速全双工的通信总线 通讯速率较高 SPI物理层

  • VS2019中文输出乱码解决方法(C语言)

    现象 VS2019控制台输出中文乱码 第一种解决方法 安装插件Format on Save重启VS2019生效 注意 别装错了 刚开始我就装错了这个UTF 8 No BOM 装了这个插件的同学 记得要删掉 不然还是会出现问题 第二种解决方法

  • 等价类

    动态测试方法是指通过运行被测程序 检查运行结果与预期结果的差异 并分析运行效率 正确性和健壮性等性能 这种方法由三部分组成 构造测试用例 执行程序 分析程序的输出结果 静态方法是指不运行被测程序本身 仅通过分析或检查源程序的语法 结构 过程

  • 无线通信原理之OFDM技术

    补充一个完整的OFDM系统结构图 包括收发天线 目录 1 OFDM的基本原理 2 OFDM系统模型 3 循环前缀和导频 4 OFDM系统参数 1 OFDM的基本原理 OFDM即正交频分复用 Orthogonal Frequency Divi

  • React-错误边界与组件通信方式概述

    错误边界 错误边界 Error boundary 用来捕获后代组件错误 渲染出备用页面 注意 只在生产环境 项目上线 起效 特点 只能捕获后代组件生命周期产生的错误 不能捕获自己组件产生的错误和其他组件在合成事件 定时器中产生的错误 简单理

  • DevOps是什么

    DevOps 英文Development和Operations的组合 是一组过程 方法与系统的统称 用于促进开发 应用程序 软件工程 技术运营和质量保障 QA 部门之间的沟通 协作与整合 它的出现是由于软件行业日益清晰地认识到 为了按时交付

  • JavaBean SpringBean是对象还是类

    JavaBean SpringBean是对象还是类 什么是JavaBean 什么是SpringBean 首先先说结论 Bean可以理解为对象 这几天在学习Spring源码的时候 观察到底层反复的对Bean的操作 于是就去网上搜索Bean到底

  • JAVA小程序微信支付

    微信支付有专门的文档 https pay weixin qq com wiki doc api wxa wxa api php chapter 9 1 当时找的时候都是前台如何 后来才发现后台需要做的就是统一下单 一 先到微信下载两个证书

  • java实现冒泡排序,直接插入排序,选择排序,希尔排序,以及求出它们的时间复杂度O(n)

    package com yg sort author GeQiLin date 2020 2 25 16 53 import java util Arrays public class Sort1 private static int ma

  • ModuleNotFoundError: No module named 'tqdm'

    bogon faceswap master macname pip3 install tqdm Collecting tqdm Downloading https files pythonhosted org packages 9f 3d

  • 软件版本(release、stable、lastest)的区别

    snapshot 快照 也即开发版 我们创建maven项目时 编辑器会自动给我们填入 1 0 SNAPSHOT版本 也就是1 0开发版 这个版本不能使用 因为该版本处于开发的过程 所以运行时会不时地更新 导致功能变化 正式环境中不得使用sn

  • layer.js open 隐藏滚动条

    img echart trand click function var host this data host var role this data role console log host host console log window

  • 华为防火墙NAT

    目录 NAT分类 黑洞路由 Server map 表 NAT分类 在内外网的边界 流量有出 入两个方向 所以NAT技术包含源地址转换和目的地址转换 一般情况下 源地址转换主要解决内部局域网计算机访问internet的场景 而目标地址转换主要

热门标签