防火墻地址轉(zhuǎn)換教案

地址轉(zhuǎn)換在一般情況下，企業(yè)擁有的公有合法IP地址十分有限。所以，在企業(yè)內(nèi)網(wǎng)中，一般使用私有IP地址。為了解決通過私有IP地址訪問公網(wǎng)（Internet）的問題，和隱藏內(nèi)部網(wǎng)絡(luò)拓?fù)浼罢鎸?shí)IP的需要，地址轉(zhuǎn)換技術(shù)（NetworkAddressTranslation,NAT）經(jīng)常會(huì)被應(yīng)用到位于網(wǎng)絡(luò)出口的路由設(shè)備，如防火墻上。基于地址對(duì)象的源地址轉(zhuǎn)換網(wǎng)絡(luò)衛(wèi)士防火墻的防火墻模塊的源地址轉(zhuǎn)換策略支持基于地址資源的源地址轉(zhuǎn)換，可轉(zhuǎn)換的地址資源包括單個(gè)主機(jī)、主機(jī)地址范圍和子網(wǎng)，對(duì)源地址可以進(jìn)行的轉(zhuǎn)換方式有：將源地址固定映射為某一合法IP地址和將源地址動(dòng)態(tài)映射某一網(wǎng)段或某一地址范圍的地址?；拘枨缶W(wǎng)絡(luò)衛(wèi)士防火墻的接口Eth0連接企業(yè)內(nèi)網(wǎng)，內(nèi)網(wǎng)為/24，Eth0的IP地址為；Eth1連接外網(wǎng)，Eth1的IP地址為。企業(yè)可用的公網(wǎng)IP地址范圍為-0，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的示意圖如下所示。圖20基于地址資源的源地址轉(zhuǎn)換示意圖配置要點(diǎn)定義內(nèi)網(wǎng)地址資源，可定義的地址資源包括主機(jī)地址資源、范圍地址資源、子網(wǎng)地址資源、區(qū)域和VLAN。定義要轉(zhuǎn)換的公網(wǎng)地址資源。定義源地址轉(zhuǎn)換策略。WebUI配置步驟1）選擇資源管理>區(qū)域，點(diǎn)擊“添加”，定義區(qū)域資源。設(shè)置內(nèi)網(wǎng)區(qū)域area_eth0與屬性eth0綁定且禁止訪問。外網(wǎng)區(qū)域area_eth1與屬性eth1綁定且允許訪問。2）定義內(nèi)部地址資源，選擇資源管理>地址，并選擇相應(yīng)頁簽，點(diǎn)擊“添加”可以定義主機(jī)地址資源、地址范圍資源和子網(wǎng)地址資源。a）定義NAT主機(jī)資源：選擇“子網(wǎng)”頁簽，點(diǎn)擊“添加”。b）定義NAT地址池：選擇“范圍”頁簽，點(diǎn)擊“添加”。3）定義NAT地址轉(zhuǎn)換策略。選擇防火墻>地址轉(zhuǎn)換，點(diǎn)擊右上角“添加”，進(jìn)入NAT規(guī)則配置界面，如下圖所示，選擇“源轉(zhuǎn)換”選項(xiàng)設(shè)定源地址轉(zhuǎn)換策略。點(diǎn)擊“源”頁簽，添加NAT規(guī)則的源，內(nèi)部地址資源：子網(wǎng)100.X。如下圖所示。b）點(diǎn)擊“目的”頁簽添加NAT規(guī)則的目的，外網(wǎng)區(qū)域：area_eth1。c）設(shè)置源地址轉(zhuǎn)換為地址池中地址的轉(zhuǎn)換規(guī)則，設(shè)置為范圍地址資源nat-pool。也可以設(shè)置轉(zhuǎn)換為固定地址對(duì)象的轉(zhuǎn)換規(guī)則。配置完成。需要注意的是，系統(tǒng)默認(rèn)情況下，在源地址轉(zhuǎn)換同時(shí)也會(huì)轉(zhuǎn)換源端口。只有在上圖中選擇“源端口不作轉(zhuǎn)換”時(shí)，數(shù)據(jù)包在經(jīng)過防火墻時(shí)不改變?cè)炊丝凇LI配置步驟1）定義區(qū)域資源#defineareaaddnamearea_eth1accessonattributeeth1#defineareaaddnamearea_eth0accessoffattributeeth02）定義內(nèi)網(wǎng)地址資源#definesubnetaddname子網(wǎng)100.xipaddrmask3）定義NAT地址池資源#definerangeaddnamenat-poolip1ip204）定義NAT地址轉(zhuǎn)換規(guī)則在地址池中動(dòng)態(tài)選擇轉(zhuǎn)換后的IP#natpolicyaddsrcareaarea_eth0orig_src子網(wǎng)100.xdstareaarea-eth1trans_srcnat-poolenableyes注意事項(xiàng)系統(tǒng)默認(rèn)情況下，在源地址轉(zhuǎn)換同時(shí)也會(huì)轉(zhuǎn)換源端口。基于屬性的源地址轉(zhuǎn)換基本需求當(dāng)使用網(wǎng)絡(luò)衛(wèi)士防火墻的某一接口撥號(hào)接入ADSL，或者將某一接口作為DHCP客戶端時(shí)，此時(shí)，接口連接外網(wǎng)并且由ISP或DHCP服務(wù)器動(dòng)態(tài)分配IP地址，即接口IP地址不固定。當(dāng)內(nèi)網(wǎng)用戶需要通過此接口訪問外網(wǎng)時(shí)，可以對(duì)接口進(jìn)行屬性綁定，在定義地址轉(zhuǎn)換規(guī)則時(shí)將轉(zhuǎn)換后地址設(shè)定為這些屬性的名稱。地址轉(zhuǎn)換時(shí)系統(tǒng)會(huì)自動(dòng)將內(nèi)網(wǎng)地址轉(zhuǎn)換為屬性所綁定的接口的當(dāng)前地址。圖21基于屬性的源地址轉(zhuǎn)換示意圖本例中網(wǎng)絡(luò)衛(wèi)士防火墻的Eth1連接外網(wǎng)，為DHCP客戶端，需要DHCP服務(wù)器動(dòng)態(tài)分配IP地址。Eth0的IP地址為，連接內(nèi)網(wǎng)/24。內(nèi)網(wǎng)用戶通過Eth1訪問外網(wǎng)。配置要點(diǎn)定義區(qū)域資源。定義屬性資源。為接口綁定屬性。定義基于屬性的源地址轉(zhuǎn)換策略。WebUI配置步驟1）定義區(qū)域資源area_eth0、area_eth1。選擇資源管理>區(qū)域，點(diǎn)擊“添加”。設(shè)置完成后界面如下圖2）定義屬性資源，選擇資源管理>屬性，點(diǎn)擊“添加新屬性”。3）通過CLI界面為接口eth1綁定屬性#networkinterfaceeth1attributeaddDHCP4）定義源地址轉(zhuǎn)換策略，選擇防火墻>地址轉(zhuǎn)換，點(diǎn)擊“添加”，進(jìn)入NAT規(guī)則配置界面，如下圖所示，選擇“源轉(zhuǎn)換”選項(xiàng)設(shè)定源地址轉(zhuǎn)換策略。a）點(diǎn)擊“源”頁簽，選擇源區(qū)域：area_eth0。b）點(diǎn)擊“目的”頁簽添加NAT規(guī)則的目的區(qū)域：area_eth1。c）設(shè)置轉(zhuǎn)換地址，源地址轉(zhuǎn)換為：DHCP[屬性]。配置完成。以上配置完成后，用戶還需要在eth1口啟動(dòng)DHCP客戶端的功能，具體操作請(qǐng)參見防火墻作為DHCP客戶端的相關(guān)案例。CLI配置步驟1）定義區(qū)域資源#defineareaaddnamearea_eth0accessonattributeeth0#defineareaaddnamearea_eth1accessonattributeeth12）定義屬性資源。#networkattributeaddnameDHCP3）為接口綁定屬性#networkinterfaceeth1attributeaddDHCP4）定義源地址轉(zhuǎn)換策略#natpolicyaddsrcareaarea_eth0dstareaarea_eth1trans_srcDHCPenableyes注意事項(xiàng)1）網(wǎng)絡(luò)衛(wèi)士防火墻的內(nèi)網(wǎng)用戶當(dāng)通過ADSL訪問外網(wǎng)時(shí)，必須手工配置源地址轉(zhuǎn)換策略。2）未做接口綁定的屬性資源不能作為地址轉(zhuǎn)換規(guī)則的轉(zhuǎn)換后地址。3）Eth1作為DHCP客戶端的配置方法請(qǐng)參見配置案例“DHCP客戶端”。基于IP地址的目的地址轉(zhuǎn)換基本需求由于來自INTERNET的對(duì)政府、企業(yè)的網(wǎng)絡(luò)攻擊日益頻繁，因此需要對(duì)內(nèi)網(wǎng)中向外網(wǎng)提供訪問服務(wù)的關(guān)鍵設(shè)備進(jìn)行有效保護(hù)。采用目的地址NAT可以有效地將內(nèi)部網(wǎng)絡(luò)地址對(duì)外隱藏。圖22基于IP地址的目的地址轉(zhuǎn)換示意圖圖中：公網(wǎng)Internet用戶需要通過防火墻訪問WEB服務(wù)器，為了隱藏服務(wù)器在內(nèi)網(wǎng)中的真實(shí)地址，使用公網(wǎng)地址01作為用戶的訪問地址。配置要點(diǎn)定義區(qū)域資源：area_eth1。定義WEB服務(wù)器真實(shí)地址對(duì)應(yīng)地址資源。定義WEB服務(wù)器的公網(wǎng)虛擬IP地址資源。定義地址轉(zhuǎn)換策略。WebUI配置步驟1）選擇資源管理>區(qū)域，點(diǎn)擊“添加”，定義區(qū)域資源。設(shè)置內(nèi)網(wǎng)區(qū)域area_eth0與屬性eth0綁定且禁止訪問。外網(wǎng)區(qū)域area_eth1與屬性eth1綁定且允許訪問2)定義WEB服務(wù)器的內(nèi)網(wǎng)真實(shí)地址資源。選擇資源管理>地址，選擇“主機(jī)”頁簽，點(diǎn)擊“添加”，系統(tǒng)出現(xiàn)添加主機(jī)資源的頁面，如下圖所示。3）定義WEB服務(wù)器的公網(wǎng)IP地址資源選擇資源管理>地址，選擇“主機(jī)”頁簽，點(diǎn)擊“添加”，系統(tǒng)出現(xiàn)添加主機(jī)資源的頁面，如下圖所示。4）定義目的地址轉(zhuǎn)換策略在導(dǎo)航菜單選擇防火墻>地址轉(zhuǎn)換，進(jìn)入地址轉(zhuǎn)換規(guī)則列表界面，點(diǎn)擊“添加”進(jìn)入NAT規(guī)則配置界面，如下圖所示，選擇“目的轉(zhuǎn)換”選項(xiàng)設(shè)定目的地址轉(zhuǎn)換策略。a）選擇“源”頁簽，打開“高級(jí)”屬性設(shè)置按鈕，添加NAT規(guī)則的源，在“選擇源AREA”中選擇源區(qū)域?yàn)閍rea_eth1。b）選擇“目的”頁簽添加NAT規(guī)則的目的，WEB服務(wù)器的公網(wǎng)IP地址資源：MAP_IP。c）選擇“服務(wù)”頁簽，選擇服務(wù)HTTP（TCP：80）。d）設(shè)置目的地址轉(zhuǎn)換規(guī)則。定義目的地址轉(zhuǎn)換為固定地址的轉(zhuǎn)換規(guī)則：設(shè)置轉(zhuǎn)換后的地址為WEB_server如下圖所示。“啟用規(guī)則”處選擇啟用，此為默認(rèn)選項(xiàng)?！澳康牡刂忿D(zhuǎn)換為”中選擇WEB_server?！澳康亩丝谵D(zhuǎn)換為”由于內(nèi)網(wǎng)WEB服務(wù)器用標(biāo)準(zhǔn)的80端口向外網(wǎng)提供WEB服務(wù)，因此選擇“不作轉(zhuǎn)換”設(shè)置完成后，點(diǎn)擊“確定”按鈕，完成目的NAT規(guī)則設(shè)置。CLI配置步驟1）設(shè)置區(qū)域area_eth1，定義缺省屬性為允許訪問：#defineareaaddnamearea_eth1accessonattributeeth1設(shè)置區(qū)域area_eth0，定義缺省屬性為禁止訪問：#defineareaaddnamearea_eth0accessoffattributeeth02）定義WEB服務(wù)器真實(shí)地址資源：#definehostaddnameWEB_serveripaddr3）定義WEB服務(wù)器公網(wǎng)地址資源#definehostaddnameMAP_IPipaddr014）設(shè)置地址轉(zhuǎn)換規(guī)則#natpolicyaddsrcareaarea_eth1orig_dstMAP_IPorig_servicehttptrans_dstWEB_server注意事項(xiàng)1）定義地址轉(zhuǎn)換策略在“目的”處，不能指定目的區(qū)域或目的VLAN。2）如果WEB服務(wù)器提供WEB服務(wù)使用的不是標(biāo)準(zhǔn)的80端口，而是自定義的端口號(hào)，則定義地址轉(zhuǎn)換策略時(shí)，在“目的端口轉(zhuǎn)換為”處應(yīng)填寫服務(wù)器的真實(shí)應(yīng)用端口。具體配置方法請(qǐng)參見“基于端口的目的NAT轉(zhuǎn)換”配置案例?；诙丝诘哪康牡刂忿D(zhuǎn)換基本需求采用目的地址NAT可以有效地將內(nèi)部網(wǎng)絡(luò)地址對(duì)外隱藏，但有些時(shí)候服務(wù)器開放的應(yīng)用端口與用戶訪問時(shí)使用的端口（一般為默認(rèn)端口）可能不同，需要進(jìn)行端口的地址轉(zhuǎn)換。圖23基于端口的目的地址轉(zhuǎn)換示意圖如上圖，公網(wǎng)Internet用戶通過公網(wǎng)地址99:80訪問WEB服務(wù)器，WEB服務(wù)器真實(shí)地址為：，提供HTTP服務(wù)的端口為8080。配置要點(diǎn)需要配置如下選項(xiàng)：定義區(qū)域資源。定義WEB服務(wù)器真實(shí)地址。定義WEB服務(wù)器訪問地址。定義WEB服務(wù)器真實(shí)端口。定義地址轉(zhuǎn)換策略。WebUI配置步驟1）定義區(qū)域資源選擇資源管理>區(qū)域，點(diǎn)擊“添加”，分別設(shè)置接口Eth0對(duì)應(yīng)的區(qū)域?yàn)镋0，區(qū)域權(quán)限為“禁止”；接口Eth1對(duì)應(yīng)的區(qū)域?yàn)镋1，設(shè)置區(qū)域的訪問權(quán)限為“允許”。2）定義WEB服務(wù)器真實(shí)地址選擇資源管理>地址，并選擇“主機(jī)”頁簽，點(diǎn)擊“添加”，系統(tǒng)出現(xiàn)添加主機(jī)地址資源的頁面，如下圖所示。3）定義WEB服務(wù)器公網(wǎng)訪問地址選擇資源管理>地址，并選擇“主機(jī)”頁簽，點(diǎn)擊“添加”，系統(tǒng)出現(xiàn)添加主機(jī)地址資源的頁面，如下圖所示。4）定義服務(wù)端口由于WEB服務(wù)器提供服務(wù)的端口是：8080，不是默認(rèn)端口，在設(shè)置NAT轉(zhuǎn)換規(guī)則時(shí)需要寫明該服務(wù)端口。設(shè)置自定義服務(wù)端口的過程如下：點(diǎn)擊資源管理>服務(wù)，并選擇“自定義服務(wù)”頁簽，進(jìn)入自定義服務(wù)頁面。點(diǎn)擊右側(cè)“添加”按鈕，如圖所示。選擇類型：TCP，設(shè)置名稱：Web_port，服務(wù)器實(shí)際使用的端口：8080。完成后點(diǎn)擊“確定”。5）定義端口地址轉(zhuǎn)換策略定義地址轉(zhuǎn)換策略過程如下：選擇防火墻>地址轉(zhuǎn)換，進(jìn)入地址轉(zhuǎn)換規(guī)則列表界面，點(diǎn)擊“添加”進(jìn)入NAT規(guī)則配置界面，如下圖所示，選擇“目的轉(zhuǎn)換”選項(xiàng)設(shè)定目的地址轉(zhuǎn)換策略。a）點(diǎn)擊“源”頁簽，添加NAT規(guī)則的源，在“選擇源AREA”中選擇E1。b）選擇“目的”頁簽添加NAT規(guī)則的目的，WEB服務(wù)器的公網(wǎng)IP地址對(duì)象：MAP_IP。注意此處目的VLAN和目的AREA均不選。c）選擇“服務(wù)”頁簽，選擇服務(wù)HTTP（TCP：80）。d）在“目的地址轉(zhuǎn)換為”中選擇WEB_server[主機(jī)]；在“目的端口轉(zhuǎn)換為”中選擇Web_port[TCP:8080]。設(shè)置完成后，點(diǎn)擊“確定”按鈕，完成NAT規(guī)則添加。CLI配置步驟1）設(shè)置E1和E0區(qū)域#defineareaaddnameE1accessonattributeeth1#defineareaaddnameE0accessoffattributeeth02）定義WEB服務(wù)器真實(shí)地址#definehostaddnameWEB_serveripaddr3)定義WEB服務(wù)器訪問地址#definehostaddnameMAP_IPipaddr994)定義服務(wù)端口#defineserviceaddnameWeb_portprotocol6port8080說明：“6”是TCP協(xié)議的協(xié)議碼5)設(shè)置地址轉(zhuǎn)換規(guī)則#natpolicyaddsrcareaE1orig_dstMAP_IPorig_servicehttptrans_dstWeb_servertrans_serviceWeb_port注意事項(xiàng)1)公網(wǎng)用戶訪問WEB服務(wù)器時(shí)使用的是默認(rèn)端口80，WEB服務(wù)器提供服務(wù)的端口是8080，因此必須進(jìn)行目的地址的端口轉(zhuǎn)換。2)如果希望防火墻對(duì)訪問內(nèi)容進(jìn)行深度過濾，需要對(duì)應(yīng)用端口進(jìn)行綁定操作。因?yàn)榉?wù)器使用了非標(biāo)準(zhǔn)的端口8080，防火墻不會(huì)對(duì)報(bào)文進(jìn)行處理，導(dǎo)致不能正確檢驗(yàn)數(shù)據(jù)包。3)在定義目的地址轉(zhuǎn)換規(guī)則時(shí)，注意不能定義目的AREA和目的VLAN。0C14LI配置步驟1）設(shè)置區(qū)域E0。#defineareaaddnameE0