华为防火墙的NAT
防火墙 vs 路由器
防火墙作为边界出口设备,还担负着做NAT(Network Address Translation)地址转换的重要职责。而以前网络的NAT转换主要由路由器来完成。
既然防火墙和路由器都可以实现NAT地址转换功能,那么二者到底有哪些区别呢?为什么我们在网络的出口不用路由器了?各位看官,不要急,且听我慢慢道来。
一般根据网络安全的基本需求,现在大部分的企业和单位都会部署防火墙设备。因为防火墙本身不但有路由转发功能,还具有路由器不具备的强大的安全管理控制能力,是网络中的关键设备,是我们网络里流量控制的阀门,它可以让合法的数据在内网和外网之间传递,把非法的数据阻挡在外面,还可以进行内网发送数据的过滤,从而更好的保证我们网络的安全,所以我们现在已经不在出口处部署路由器设备了。至于防火墙实现NAT功能,我们要先给大家解释一下什么是NAT,以及实现NAT的基本原理。
救火英雄-NAT
NAT(Network Address Translation)地址转换是一种我们现在不得不采用的地址转换技术,主要是为了延缓IPv4(Internet Protocol version 4)地址逐渐枯竭的问题。
IPV4地址总共有32位,大约可以提供42亿多个地址,准确说是4,294,967,296(2的32次方)个。但是由于地址分配机制不合理和部分的保留地址不能被分配等原因,导致现在IPV4地址分配和使用变得捉襟见肘,地址紧缺问题非常突出。
2019年11月26日,全球所有42亿个IPv4地址已分配完毕,这意味着没有更多的IPv4地址可以分配给ISP和其他大型网络基础设施提供商。
大家一定会奇怪,既然地址都已经分配完毕,没有地址用了,那为什么网络没有崩溃,我们还好好地用着网络,一片风平浪静的样子,而且已经过去了4-5年。
这里有几个主要的原因,一些ISP之前分配到手的地址还没有全部分配给自己的客户,还有库存。另外,有一些网络开始使用IPV6地址和技术。最重要的一点就是NAT技术的大规模使用,才延缓了IPV4地址枯竭带来的危机。
抽丝剥茧看NAT
随着网络的不断发展,人们越来越离不开网络,IPV4地址的需求越来越多,有很多的电子设备都需要配置IPV4地址才能接入网络。
但是随着网络规模扩张的同时,网络的中心化越来越明显,我们大多时候都是向一个或者多个服务器端来请求服务,这些服务器设备处于公共的网络中,为所有的终端提供服务。这就是我们常说的C/S架构,客户端和服务器结构。
网络专家们经过研究后发现,处于公共网络的设备和服务器,需要提供一个公开的地址供大家来访问,并且这个公开的地址不能和其他设备的地址重复。而向服务器请求的客户端设备往往处于一个个更小的独立的家庭或者企业网络中,且这些终端设备大部分时间都是和服务器建立连接,他们彼此之间没有互联的需求。
于是网络专家们得出了一个结论:我们需要为公共网络准备大量的不能重复使用的地址,为客户端准备少量可以重复使用的地址就可以满足他们的需求。
基于以上的研究,我们把IPV4地址按照网络规模的大小分成了A,B,C,D,E五类地址。其中E类地址被保留,D类地址用于组播。剩下的A,B,C类地址里,各拿出一小部分,给客户端使用,我们俗称为私网地址。
具体是:
A类地址:10.0.0.0~10.255.255.255,
B类地址:172.16.0.0 ~172.31.255.255,
C类地址:192.168.0.0~192.168.255.255。
这部分地址可以重复使用,不需要申请,且不能出现在公网中。
除了私网地址以外的大部分的A,B,C类地址用在服务器端,也是我们俗称的公网地址,这部分地址不能重复,要申请和付费后使用,也不能出现在私网。
由于私网地址可以重复使用,理论上我们可以为无穷尽的客户端提供地址。在使用时只需要把源地址是私网地址,目的地址是公网地址的数据流量在进入公网前,把私网地址转换成一个公网地址,就可以在公网里面进行数据处理。同理,当返回的数据流量进入私网时,把地址再转换回来,换成私网地址进行处理。
这就是NAT技术,我们通过公网和私网地址的划分,解决了海量客户端的地址需求问题。
NAT策略
防火墙设备的NAT功能实现需要配置NAT策略,就是先确定哪些流量需要进行 NAT转换,以及转换的方式。
我们按照网络的应用类型,规定了两种NAT转换技术,一个是转换数据的源地址,通常用于内部员工上网,另一个是转换数据的目的地址,常见的应用场景是内网服务器提供一个公网地址,供外部用户来访问。
我们来看一个最简单的例子来说明源地址转换,如图1:
防火墙作为边界设备,连接公网和私网。公网用100.1.1.0/24网段,私网用192.168.1.0/24网段,防火墙作为内网PC机的网关,接口g1/0/0在内网trust区域,接口g1/0/1在外网untrust区域。我们需要内网用户在访问外网服务器100.1.1.1/24时,把私网地址转换成公网地址段100.1.1.0/24地址。
图1
我们的配置步骤包括:
1. 启动并登录防火墙,进行基础配置。
2. 配置防火墙的NAT策略。
3. 配置防火墙安全策略,测试连通性及NAT转换。
1. 启动防火墙(图2):
图2
登录防火墙(图3):
用户名:admin
密码:Admin@123
会要求修改密码,要求先输入旧密码一次,新密码两次。
建议改成:Admin@1234或者Huawei@123
图3
进行基础配置(配置IP地址,更改设备名字,设置区域)
配置IP地址:
配置PC1的IP地址:要点击右下角的应用,才生效。
配置Server1的IP地址:要点击右下角的保存,才生效。
给防火墙改名字为fw1
配置防火墙的区域:
我们通过display zone命令,检查一下防火墙区域的配置情况:我们看到如下的结果,说明区域配置正确(图4)。
图4
2. 配置防火墙NAT策略:
3.配置防火墙安全策略:
这个时候我们再测试,还是不能通。因为我们还有一个重要的配置没有配置:安全策略。安全策略是防火墙控制流量的核心机制,可以限制或者允许流量在不同的区域之间进行传递。
第三步配置防火墙的安全策略:
为了简化实验,我们这次只配置默认的安全策略,下次我们再详细说明具体的安全策略的配置。
防火墙有一个默认安全策略,是拒绝所有流量通过防火墙的。我们只要更改这个默认策略就可以实现网络的连通性。但是我们在实际组网当中不会这样做,只是在我们这次实验中我们才这样配置。
检查默认安全策略,看到动作为permit,允许流量通过(图5)。
图5
这个时候我们再测试,发现是可以通的(图6)。
图6
并且查看防火墙会话表,发现NAT地址转换成功,中括号里的地址是转换后的地址,是防火墙接口g1/0/1的公网地址100.1.1.254。
到此,我们就完成了这个实验。我们通过更改默认策略实现了,内网和外网之间的互通,并且实现了NAT的功能,把防火墙的私网地址转换成了公网接口的公网地址。
END
系列精彩内容可点击下方链接查看↓
收录于集锦 #防火墙 · 2个
左右滑动查看下一篇
更多精彩内容 尽在泰克教育
请持续关注
扫码报名学习
往
期
推
荐
泰涨知识 | 浅谈uSID
泰涨知识 | SR-MPLS vs SRv6,你知道多少?
泰涨知识 | 一文详解Python常见内置函数→
泰涨知识 | Python常见异常详解
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/bian-cheng-ri-ji/26873.html