防火墙详解 - 技术栈

第一个通道通过首包建立了会话，防火墙会监听这个会话，第二条通道，由于端口号与第一个会话并不相同，导致五元组不相同，则不能通过第一个会话通道，需要重新建立一个会话，但是由于该流量已经通过首包建立了会话，所以不能再建立会话。防火墙通过ASPF技术查看在第一个会话中客户端和服务费协商的第二个通道的端口并动态建立server-map表放过协商通道的数据自动建立第二条会话通道允许流量通过。

防火墙如何处理NAT？

NAT域内双向转换

用户想要通过域名访问内网服务器

用户和内网服务器都在内网，而域名服务器在外网，所以用户需要去外网找到域名服务器解析域名，再去访问内网服务器，而域名服务器解析出来的域名是内网服务器对应的公网IP地址，而不是内网服务器的IP地址，需要通过转换得出内网服务器的IP地址。用户得到这个公网IP地址后会去访问这个公网IP地址，这个公网IP地址映射的是内网服务器IP地址，所以又从公网IP地址转换为内网服务器IP地址，而内网服务器收到之后，因为用户去访问该公网IP地址的时候，这个用户并没有出这个防火墙去访问公网，所以用户的IP地址并没有发生转换，该过程只有目的公网IP地址转换为了内网IP地址。并且由于内网服务器和内网用户是有路由的，所以内网服务器直接将信息回复给用户而造成错误。想要解决这个问题，必须将用户的IP地址也转换为防火墙上的IP地址，从而让内网服务器回包的时候先经过防火墙的接口再回到用户，这样路径才能一致在一个会话中，才会接收该数据。最终访问成功。

实验：

安全策略配置

内网到DMZ服务器

内网到互联网

禁止内网访问互联网的部分内容

NAT策略配置

仅转换源地址

源地址为转换前的IP地址，也就是真实的IP地址。

防火墙二层交换接口

交换机上联接口配置trunk模式

vbnet 复制代码

[sw1-GigabitEthernet0/0/1]display this
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 4 to 5

在防火墙上创建vlan4和vlan5的网关

将地址池中的trust组的地址修改为现在的vlan4和vlan5的地址

这样NAT策略和安全策略我们都不用修改就可以成功访问互联网的服务器

将交换机上联接口该为eth-trunk干道

vbnet 复制代码

[sw1]interface Eth-Trunk 1


[sw1-Eth-Trunk1]trunkport g0/0/4
[sw1-Eth-Trunk1]trunkport g0/0/5
[sw1-Eth-Trunk1]port link-type trunk 

[sw1-Eth-Trunk1]port trunk allow-pass vlan 4 to 5
[sw1-Eth-Trunk1]
Sep 22 2023 19:48:07-08:00 sw1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25
.191.3.1 configurations have been changed. The current change number is 16, the 
change loop count is 0, and the maximum number of records is 4095.

配置服务器映射让外网能够访问服务器

安全区域是untrust代表只能是untrust区域的才能访问到该dmz区域的服务器

公网地址只要是untrust区域的一个ip地址就行，不能与防火墙的接口IP地址相同

私网地址就是服务器的IP地址

配置互联网到dmz服务器的安全策略

目的地址为转换后的IP地址，也就是服务器的真实地址。

互联网客户端访问DMZ服务器访问成功

NAT域内双向转换

用户想要通过域名访问内网服务器