华为NAT ALG技术的实现

双向NAT技术:经过防火墙的2报文源IP地址和目的IP地址都同时被转换,外网发送报文给内网服务器,先转换目的IP地址,然后符合安全策略后,在替换源IP地址,然后将记录写入防火墙会话表,并发送出报文;回送的报文匹配到会话表后,改回地址然后发出;

NAT ALG与NAT server介绍:

NAT ALG应用级网关application level gateway:可以完成应用层数据的IP地址和端口转换;对多通道协议进行应用层报文信息的解析与转换,将报文载荷中地址和端口号进行处理;

比如FTP数据连接的建立由控制连接的载荷字段信息决定,需要ALG处理;、

aspf是根据应用层IP地址和端口号创建相应的server-map表,实现包过滤;

ip首部源IP地址和目的IP地址各32位,TCP首部源IP地址和目的IP地址各16位;

NAT ALG实现原理:

NAT server:静态映射;转换报文目的IP地址;

因为当2外网访问内网时候,自身IP地址不确定,只有内网目的主机的确定;

配置NAT Server成功后,设备自动生成server-map表项,存放转换前后地址映射关系;

当外网用户首次访问内网目的主机,防火墙先在server-map表查找向,然后转化目的地址,自身建立一个会话表记录,之后发到目的主机。目的主机回送的报文经过防火墙时候查找会话表完成转换回去(目的地址逆转换),后序外网用户继续发送时候,经过防火墙直接根据会话表记录即可;

如图,服务器位于私网:

防火墙加入安全区域:

防火墙中:

firewall zone DMZ

add interface GigabitEthernet 0/0/0

quit

firewall zone untrust

add interface GigabitEthernet 1/0/0

quit

security-policy

rule name policy1

source-zone untrust:配置安全策略

destination-address 10.2.0.0 24

action permit

quit

destination-nat address-group group1

section 10.2.0.7 10.2.0.8

quit

配置NAT server:进入防火墙中

nat server policy-ftp protocol tcp global1.1.1.10 ftp inside10.2.0.8 unr-route

开启FTP的NAT ALG功能:

firewall interzone dmz untrust

detect ftp

quit

配置缺省路由:

ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

如果NAT SERVER de1global地址与公网接口地址不在同网段,配置黑洞路由,如果相同则不需要;

相关推荐
热爱运维的小七14 分钟前
从数据透视到AI分析,用四层架构解决运维难题
运维·人工智能·架构
博观而约取23 分钟前
Linux 和 macOS 终端中常见的快捷键操作
linux·运维·macos
H13469489043 分钟前
华为服务器系统备份,想要备份华为服务器系统可以怎么操作?
运维·服务器·负载均衡
wangjun51591 小时前
linux,物理机、虚拟机,同时内外网实现方案;物理机与虚拟机互通网络;
linux·服务器·网络
杰克崔1 小时前
分析sys高问题的方法总结
linux·运维·服务器
WSSWWWSSW1 小时前
安装nfs客户端(centos)
linux·运维·centos
深蓝易网1 小时前
为什么制造企业需要用MES管理系统升级改造车间
大数据·运维·人工智能·制造·devops
Bruce-li__1 小时前
深入理解Python asyncio:从入门到实战,掌握异步编程精髓
网络·数据库·python
self-discipline6341 小时前
【计网速通】计算机网络核心知识点与高频考点——数据链路层(二)
网络·网络协议·计算机网络
欧先生^_^2 小时前
docker的文件系统Overlay2
运维·docker·容器