下载文档原格式
双向nat详解
双向( )即是同时支持内外两向地址转换的网络地址转换。
单纯的只支持外网主机访问内网主机,但不支持内网主机访问外网主机,这时就需要使用双向来支持:
1. 工作原理:
双向路由器同时维护内外两组地址池,既有内网地址池又有外网地址池。
当内网主机想访问外网时,路由器从外网地址池分配一个外网地址给该主机,实现地址转换后转发数据包;
当外网主机访问内网主机时,路由器同样从内网地址池分配一个内网地址给该外网主机,实现地址转换后把数据包转发给内网主机。
2. 优点:
- 支持内外双向地址转换,既可以实现内网主机访问外网,也可以实现外网主机访问内网主机。
- 对内网主机完全透明,不需要任何客户端配置就可以正常工作。
3. 缺点:
- 地址池限制,双向对地址池要求比单向更高,如果网段设备多可能地
址不够用。
- 可靠性差,一旦路由器故障会导致内外无法通信。
- 外网主机访问内网主机时影响较大,地址转换动作多一层消耗性能。
双向可以支撑较简单的内外双向访问需求,但由于可靠性和性能问题,在大规模和高可用性场景下依然推荐使用64或专业的地址转换设备。
配置server-map表Server-map表是一个通过少量关键元素来记录部分特殊服务连接状态的特殊表项。
ASPF(Application Specific Packet Filter)是指系统为了转发一些多通道协议报文,通过解析报文数据载荷,识别多通道协议自动协商出来的端口号,并自动生成相应的Server-map表项的功能。
目的在严格包过滤的情况下,设备通常只允许内网用户单方向主动访问外网。
但是在使用NAT或ASPF 功能的情况下,可能存在外网用户通过随机端口主动访问内网服务器的情况。
由于会话表的五元组限制过于严格,会导致这些特殊服务不能正常运行。
引入Server-map表是为了解决这一问题。
ASPF是为了解决多通道协议这种特殊服务的转发而引入的。
这些协议会在通信过程中自动协商一些随机端口,在严格包过滤的情况下,这些随机端口发出的报文同样不能得到正常转发。
通过ASPF功能可以对这些协议的应用层数据进行解析,识别这些协议协商出来的端口号,从而自动为其开放相应的访问规则,解决这些协议不能正常转发的问题。
原理描述Server-map表的引入通常情况下,如果在设备上配置严格包过滤,那么设备将只允许内网用户单方向主动访问外网。
但在实际应用中,例如使用FTP协议的port方式传输文件时,既需要客户端主动向服务器端发起控制连接,又需要服务器端主动向客户端发起服务器数据连接,如果设备上配置的包过滤为允许单方向上报文主动通过,则FTP文件传输不能成功。
为了解决这一类问题,USG设备引入了Server-map表,Server-map用于存放一种映射关系,这种映射关系可以是控制数据协商出来的数据连接关系,也可以是配置NAT中的地址映射关系,使得外部网络能透过设备主动访问内部网络。
生成Server-map表之后,如果一个数据连接匹配了Server-map表项,那么就能够被设备正常转发,而不需要去查会话表,这样就保证了某些特殊应用的正常转发。
出口网关双链路接入不同运营商举例一USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,还可以实现外网用户访问内网服务器,并保护内网不受网络攻击。
组网需求某学校网络通过USG连接到Internet,校内组网情况如下:∙校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG。
图书馆内部署的两台服务器是该校主页、招生及资源共享等网站。
∙学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了5个IP地址。
ISP1分配的IP地址是200.1.1.1~200.1.1.5,ISP2分配的IP地址是202.1.1.1~202.1.1.5,掩码均为24位。
该学校网络需要实现以下需求:∙校内用户能够通过两个运营商访问Internet,且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。
∙当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免网络长时间中断。
∙校内用户和校外用户都可以访问图书馆中部署的2台服务器。
∙保护内部网络不受SYN Flood、UDP Flood和ICMP Flood的攻击。
图1 出口网关双链路接入不同运营商举例一组网图项目数据说明(1)接口号:GigabitEthernet 0/0/0IP地址:10.1.1.1/16安全区域:Trust 接口(1)是连接内网汇聚交换机的接口。
校内用户分配到网段为10.1.0.0/16的私网地址和DNS 服务器地址100.1.1.1/24,部署在Trust区域。
(2)接口号:GigabitEthernet 0/0/1IP地址:192.168.1.1/24安全区域:DMZ 接口(2)是连接图书馆内服务器的接口。
图书馆区部署在DMZ区域。
(3)接口号:GigabitEthernet 0/0/2IP地址:200.1.1.1/24安全区域:ISP1安全优先级:15 接口(3)是连接ISP1的接口,去往ISP1所属网段的数据通过接口(3)转发。
天清汉马USG系列(适合软件版本V2.0)1.功能参数:四个千兆电口四个可扩展千兆光口SFP ;最大并发连接数不低于200万;每秒新建连接数不少于4万;最大吞吐量(Mbps)不低于2000M ;A V吞吐量400M;168位3DES加密(Mbps)不低于300M;VPN隧道数不少于2,000 ;无限制用户数2.防火墙特性:具有状态检测包过滤;完全的应用层检测;IP与MAC地址绑定;MAC 地址过滤;能与IDS联动;防拒绝服务攻击和防扫描(支持Jolt2/Land-base/ping of death/syn flag/Tear drop/winnuke/smurf/TCP flag/ARP攻击/TCP扫描/UDP扫描/ping扫描);连接数限制;临时阻断;ARP主动探测3:接口管理:工作速率管理:可以设置接口为全双工、半双工、10/100/1000速率;MTU 管理;地址模式管理√(可以选择接口地址来源:静态输入、DHCP、PPPoE拨号)访问控制管理√(控制接口被访问方式:Ping,Https,Http,SSH,Telnet,集中管理)接入控制管理√(控制通过接口进行接入:SSL VPN 、L2TP、Web认证)辅IP √(用户可以对某具体物理接口定义多个辅IP)接入模式透明(桥);路由;混合模式;智能接入模式判断√(用户无需进行接入模式的判断与选择,可以只需按照网络周边环境要求,配置设备网络信息,设备即可自行进行模式选择)NA T ;路由功能静态路由;策略路由;多W AN口链路支持;多W AN口链路互为备份;OSPF动态路由;RIP动态路由√(RIP V1/V2)NA T功能源地址转换(多对一/SNA T);目的地址转换(一对一/DNA T);目的端口转换(一对多/PA T);地址池(多对多/IP POOL);基于策略的NA T ;H.323协议NA T穿越;DHCP DHCP服务器;DHCP中继;DHCP客户端;地址排除;硬件地址绑定;DHCP服务器指定客户机网关及DNS、WINS服务器;VLAN(802.1q)VLAN路由终结;VLAN透传;高可用性(HA)双机热备√(支持主-主和主备模式)负载分担;支持透明模式下的HA ;链路监测;网关监测;配置自动同步;连接会话同步;入侵检测库同步;病毒库同步;支持ADSL拨号;用户认证本地认证支持本地建立用户和组RADIUS认证通过RADIUS服务器认证客户端WEB流量管理与带宽控制优先级高、中、低三级基于策略的流量控制;基于主机的流量控制;针对P2P的流量控制;带宽保证√(只通过命令行提供)VPN GRE ;SSL VPN ;IPSec 需要客户端软件L2TP 路由模式下加密算法DES、3DES、AES认证算法SHA-1、MD5完美向前保护(PFS)√(采用短暂的一次性密钥的系统)手动认证方式;IKE认证方式;对端状态检测(DPD)√失效同层检测(Dead Peer Detection DPD)功能,能够通过自动感应和重新建立失败的VPN连接,进而增加正常运行时间、确保接入以及减少用户的工作量全动态VPN ;VPN实时监控;双向NA T穿越;基于数字证书的VPN应用;VPN硬件加速√(USG-300B和D系列不支持)VPN加密卡(国密算法)√(USG-300B和D系列不支持)与第三方标准VPN产品兼容;基于Web的SSL VPN应用;基于Agent的SSL VPN应用√(支持服务端口固定的应用)Tunnel模式的SSL VPN应用;SSL VPN客户端准入控制检查;内容过滤支持URL过滤;URL免屏蔽列表;网页内容过滤;脚本、Cookie过滤;Web代理过滤√(禁止HTTP代理)邮件地址过滤;MIME邮件报头检查;邮件的附件屏蔽;邮件大小过滤;基于策略的内容过滤;反垃圾邮件IP地址黑白名单;发件人黑白名单;邮件主题过滤;网关病毒过滤过滤方式全面过滤病毒库分类启用√(流行库、高危库、普通库)信息替换对携带病毒的邮件以及HTTP协议进行信息替换,提醒用户该数据流携带病毒已经被阻断。
双机热备与 NAT 功能结合一组网需求USG作为安全设备被部署在业务节点上。
USG的业务接口工作在三层,上下行连接交换机。
USG_A、 USG_B以主备备份方式工作。
内网用户可以通过公网地址访问Internet。
正常情况下, USG_A作为主用设备,处理业务流量; USG_B作为备用设备,不处理业务流量。
当USG_A的接口或整机发生故障时, USG_B切换为主用设备接替USG_A处理业务流量,从而保证业务不中断。
图 1-44 业务接口工作在三层,上下行连接交换机的组网图配置思路1. 由于USG的业务接口工作在三层,能够配置IP地址。
而且USG上下行连接交换机,交换机能够透传VRRP报文。
因此本举例选择在业务接口上配置IP地址和VRRP备份组,由VRRP备份组监控接口状态。
2. 为了实现主备备份方式,需要将USG_A的VRRP备份组加入Active管理组, USG_B的VRRP备份组加入Standby管理组,由管理组统一监控接口状态。
3. 为了使内网用户能够使用公网IP地址访问Internet,需要配置Trust与Untrust域间的源NAT。
由于NAT地址池中的地址与VRRP备份组的虚拟IP地址在同一网段,为了避免业务冲突,需要配置NAT地址池与管理组绑定。
4. 为了使USG_B能够备份USG_A的关键配置命令和会话表状态信息,需要在两台USG上指定HRP备份通道,然后启用HRP功能。
5. 为了保证正常情况下路由可达,且主备设备状态切换后流量能够被正确地引导到备用设备上,需要在内网的PC或设备上配置静态路由,下一跳为VRRP备份组的虚拟IP地址。
操作步骤步骤1 在USG_A上配置各个接口的IP地址,并将接口加入安全区域。
1. 选择“网络 > 接口 > 接口”。
2. 在“接口列表”中,单击GE0/0/1对应的,显示“修改GigabitEthernet”界面。
GE0/0/1的相关参数如下,其他参数使用默认值:l 安全区域: untrustl 模式:路由l 连接类型:静态IPl IP地址: 10.2.0.1l 子网掩码: 255.255.255.03. 单击“应用”。
华为USG防火墙配置手册1. 简介本手册旨在指导用户进行华为USG防火墙的配置和使用。
华为USG防火墙是一款功能强大的网络安全设备,可用于保护企业网络免受网络攻击和安全威胁。
2. 配置步骤2.1 硬件连接在配置USG防火墙之前,请确保正确连接好相关硬件设备,包括USG防火墙、路由器和服务器等。
2.2 登录USG防火墙使用SSH客户端等工具,输入USG防火墙的IP地址和管理员账号密码进行登录。
2.3 配置基本参数登录USG防火墙后,根据实际需求配置以下基本参数:- 设置管理员密码- 配置IP地址和子网掩码- 设置DNS服务器地址2.4 配置网络地址转换(NAT)根据实际网络环境,配置网络地址转换(NAT)功能。
NAT 功能可以将内部IP地址转换为合法的公网IP地址,实现内网和外网的通信。
2.5 配置访问控制策略配置访问控制策略可以限制网络流量的访问权限,确保只有授权的用户或设备可以访问特定网络资源。
2.6 配置安全服务华为USG防火墙提供多种安全服务功能,例如防病毒、入侵检测和内容过滤等。
根据实际需求,配置相应的安全服务功能。
2.7 配置远程管理和监控配置远程管理和监控功能,可以通过远程管理工具对USG防火墙进行实时监控和管理。
3. 常见问题解答3.1 如何查看防火墙日志?登录USG防火墙的Web界面,找到"日志"选项,可以查看防火墙的各种日志信息,包括安全事件、连接记录等。
3.2 如何升级USG防火墙固件版本?4. 其他注意事项- 在配置USG防火墙之前,请先备份原有的配置文件,以防配置错误或损坏设备。
- 请勿将USG防火墙暴露在不安全的网络环境中,以免受到未授权的访问和攻击。
以上是华为USG防火墙的配置手册,希望能帮助到您。
如有其他问题,请随时联系我们的技术支持。
USG 防火墙在双线出口场景下部署主备NAT 与ip-link 联动
技术指导
关键词:USG,双线出口,NAT,快速主备切换,ip-link
产品:USG2210
摘要:某网络中,租用电信和联通线路作为出口,以电信为主链路,联通为备链路;内网通过USG 防火墙做NAT 后访问公网,优先选用主链路,当主链路故障后,可通过ip-link 特性快速感知到故障而切换到备链路上。
1.1 组网和功能介绍:
出口设备连接电信和联通线路,以电信为主链路,联通为备链路;USG2210旁挂在出口设备上;内部用户访问外网的流量到达出口设备后,通过重定向策略引流到USG2210上,USG2210配置NAT
策略,完成NAT 转换后将流量转发到外网上;同时在USG2210上配置主备NAT 快速感知功能,当主链路故障后,可快速感知到故障而切换到备链路上。
.Y.Y.2
1.2 详细配置:
1、 完成IP 地址、端口和路由配置,实现USG2210的公网地址可以访问外网;
注意:在出口设备上要配置到电信和联通的主备路由:
ip route-static 0.0.0.0 0.0.0.0 A.A.A.201 descriptionTo-CT-default
ip route-static 0.0.0.0 0.0.0.0 B .B.B.5 preference 80 description To-UT-default
2、在出口设备上配置重定向策略,将访问外网的流量引入到USG2210上:
3、在防火墙上配置NAT功能
4、配置主备NAT快速感知功能,可实现主备切换
1.3 场景验证:
采用长ping的方法,观察主链路故障后,会丢多少包:。
配置双向NAT举例
组网需求
如图1所示,某公司内部网络通过USG进行连接,网络环境描述如下:
∙FTP服务器属于DMZ区域,对外提供FTP服务,通过接口GigabitEthernet 0/0/0与USG 连接。
∙Untrust区域通过接口GigabitEthernet 0/0/1与USG连接。
图1 配置双向NAT组网图
配置双向NAT,完成以下需求:
∙DMZ区域提供FTP服务器供外部网络用户访问。
其中FTP Server的内部IP地址为
10.1.1.2,对外公布的地址为200.1.1.10,端口号为缺省值。
∙FTP Server上不需要配置到公网地址的路由。
配置思路
1.根据网络规划为统一安全网关分配接口,并将接口加入相应的安全区域。
2.创建ACL,并配置ACL规则。
3.配置内部服务器。
4.配置低优先级安全区域到高优先级安全区域的NAT。
数据准备
为完成此配置例,需准备如下的数据:
∙统一安全网关各接口的IP地址。
∙ACL相关参数。
∙FTP Server的IP地址。
∙地址池编号。
操作步骤
1.完成USG的基本配置。
# 配置接口GigabitEthernet 0/0/0的IP地址。
<USG> system-view
[USG] interface GigabitEthernet 0/0/0
[USG-GigabitEthernet 0/0/0] ip address 10.1.1.1 24
[USG-GigabitEthernet 0/0/0] quit
# 配置接口GigabitEthernet 0/0/1的IP地址。
[USG] interface GigabitEthernet 0/0/1
[USG-GigabitEthernet 0/0/1] ip address 200.1.1.1 24
[USG-GigabitEthernet 0/0/1] quit
# 将接口GigabitEthernet 0/0/0加入DMZ区域。
[USG] firewall zone dmz
[USG-zone-dmz] add interface GigabitEthernet 0/0/0
[USG-zone-dmz] quit
# 将接口GigabitEthernet 0/0/1加入Untrust区域。
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/1
[USG-zone-untrust] quit
2.配置NAT和内部服务器,完成需求。
# 创建基本ACL 2000,配置源地址为200.1.1.0/24的规则。
[USG] acl 2000
[USG-acl-basic-2000] rule permit source 200.1.1.0 0.0.0.255
[USG-acl-basic-2000] quit
# 配置NAT地址池和内部服务器。
[USG] nat server protocol tcp global 200.1.1.10 ftp inside 10.1.1.2 ftp
[USG] nat address-group 1 10.1.1.5 10.1.1.50
# 在DMZ区域和Untrust区域的域间配置NAT。
[USG] firewall interzone dmz untrust
[USG-interzone-dmz-untrust] packet-filter 2000 inbound
[USG-interzone-dmz-untrust] nat inbound 2000 address-group 1
# 在DMZ区域和Untrust区域的域间开启FTP协议的ASPF功能。
[USG-interzone-dmz-untrust] detect ftp
父主题:配置举例。
