下载掌阅APP,畅读海量书库
立即打开
随着网络环境日趋复杂,大数据、云计算、移动互联网等新兴技术已在各行业得到广泛应用,但新技术的应用也带来了新的安全威胁。为更好满足日益增长的安全需求,中国移动广东公司黄昭文一直奋战在科研攻关和网络运维一线,黄昭文自主研发“网络安全机器人”,在行业内首创超大规模网络安全服务、安全智能化技术、安全一点接入技术,基于自有的面向5G新一代超大规模网络基础设施,实现以网络安全防护、监测、处置为一体的在线安全服务系统,具备自动化安全扫描、网页防篡改、入侵检测、敏感数据识别等功能。通过这个创新成果,客户不需要对现有业务流程和环境进行改造,即可使用各项服务,最快在1天内就可以完成原来需要30天才能完成的安全评估工作。如今,该成果已广泛应用于5G网络、边缘云、接入层、互联网等多个领域,每天对全网网络设备完成超过10亿次安全检测,安全服务效率提高90%以上。
网络是通信企业的生命线。作为通信网络工程师,黄昭文一直专注守护这条生命线,新时代新征程,黄昭文将努力发扬大国工匠精神,不忘初心、牢记使命,以实际行动为建设网络强国、数字中国添砖加瓦、贡献力量!
【 知识目标 】
(1)了解防火墙的NAT特点;
(2)掌握防火墙的NAT配置方法;
(3)区分动态NAT和静态NAT的使用特点。
【 技能目标 】
(1)能够对防火墙进行动态NAT的配置;
(2)能够对防火墙进行静态NAT的配置;
(3)能够对防火墙进行“内部服务器”NAT的配置。
【 素质目标 】
(1)培养科技创新意识;
(2)培养网络安全意识;
(3)培养大国工匠精神。
NAT典型配置举例演示视频
配置ACL
设备ACL
网络安全管理员小王经常针对防火墙进行NAT配置。如图4.1所示,PC1位于内部网络,地址为2.1.1.10 /24,PC2在公网,地址为1.1.1.100 /24,可以在防火墙上通过不同的NAT策略实现PC1对PC2的访问。
图4.1
PC1所位于的内部网络计算机数量众多,要访问PC2所在地的外部网络,需要通过动态NAT才能很好地解决公网地址紧缺的问题。
本任务通过H3C SecPath F1060防火墙实现。
NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于私有网络访问公共网络。这种通过使用少量的公网IP地址代表较多的私网IP地址的方式,有助于减缓可用IP地址空间的枯竭。
公网IP地址是因特网上全球唯一的IP地址。
私网IP地址是内部网络或主机的IP地址。RFC1918为私有网络预留出了3个IP地址块,如下:
·A类:10.0.0.0 ~ 10.255.255.255;
·B类:172.16.0.0 ~ 172.31.255.255;
·C类:192.168.0.0 ~ 192.168.255.255。
注意:上述 3 个范围内的地址不会在因特网上被分配,因此,可以不必向ISP或注册中心申请而在公司或企业内部自由使用。
地址池是一些用于地址转换的连续的公网IP地址的集合,它可以有效地控制公网地址的使用。
用户可根据自己拥有的合法IP地址数目、内部网络主机数目以及实际应用情况,定义合适的地址池。在地址转换的过程中,NAT设备将会从地址池中挑选一个IP地址作为数据报文转换后的源IP地址。
设备可以利用ACL和地址池对地址转换进行控制。
ACL可以有效地控制地址转换的使用范围,只有满足访问控制列表规则的数据报文才可以进行地址转换。
NAPT(Network Address Port Translation,网络地址端口转换)是基本地址转换的一种变形,原理如图4.2所示,它允许多个内部地址映射到同一个公有地址上,也可称为“多对一地址转换”。
图4.2
NAPT同时映射IP地址和端口号:来自不同内部地址的数据报文的源地址可以映射到同一外部地址,但它们的端口号被转换为该地址的不同端口号,因而仍然能够共享同一地址,也就是“私网IP地址+端口号”与“公网IP地址+端口号”之间的转换。
外部网络和内部网络之间的地址映射关系由报文动态决定。通过配置访问控制列表和地址池(或接口地址),由“具有某些特征的IP报文”挑选使用“地址池中地址(或接口地址)”,从而建立动态地址映射关系,适用于内部网络有大量用户需要访问外部网络的需求。这种情况下,关联中指定的地址池资源由内网报文按需从中选择使用,访问外网的会话结束后该资源便释放给其他用户。
NPAT表示NAPT方式,将ACL和NAT地址池关联,同时转换数据包的IP地址和端口信息。
No-PAT表示多对多地址转换方式,将ACL和NAT地址池关联,只转换数据包的IP地址,不使用端口信息。
Easy IP表示Easy IP方式,直接使用接口的IP地址作为转换后的地址,利用ACL控制地址进行地址转换。
新建动态地址转换的详细配置项如表4.1所示。
表4.1 新建动态地址转换的详细配置项
1)接口安全区域配置
单击左侧导航栏“网络→安全域”,如图4.3所示。
图4.3
单击Trust栏中的
按钮,进入“修改安全域”界面。按照图4.4所示将接口GE0 /2加入Trust域,单击“确定”返回“安全域”界面。
图4.4
按照同样的操作,将GE1 /0 /1接口加入Untrust域。
2)配置接口IP地址
在左侧导航栏中单击“网络→接口”,如图4.5所示。
图4.5
单击GE0 /1栏中的
按钮,进入“接口”界面。按照如图4.6所示设置接口GE1 /0 /1,单击“确定”返回“接口管理”界面。
图4.6
单击GE1 /0 /2栏中的
按钮,进入“接口编辑”界面。按照如图4.7所示设置接口GE1 /0 /2,单击“确定”按钮返回“接口”界面。
3)配置ACL
在左侧导航栏中单击“对象→ACL”,单击页面的“新建”按钮,创建ACL2000,如图4.8所示。
图4.7
图4.8
单击ACL2000栏中的“规划”按钮,单击“新建”按钮创建规则,如图4.9所示。
4)安全策略配置
单击左侧导航栏“策略→安全策略”,如图4.10所示。
单击“新建”按钮,按照截图信息配置安全策略,如图4.11所示。
图4.9
图4.10
图4.11
1)配置地址池
在“对象→对象组→NAT对象组”页面单击“新建”按钮,如图4.12所示。
图4.12
创建一个地址范围为1.1.1.10至1.1.1.20的地址池资源,单击“确定”按钮,如图4.13所示。
图4.13
2)配置动态地址转换
在“策略→接口NAT→NAT动态转换”页面单击“NAT出方向动态转换(基于ACL)”下的“新建”按钮,如图4.14所示。
图4.14
根据实际的组网需求,分别按照图4.15、图4.16所示配置GE1 /0 /1的NAT,单击“确定”按钮完成配置。
图4.15
图4.16
1)PAT方式
在PC1上Ping PC2,在“监控→会话列表”页面可以查看到如图4.17所示的会话信息。
图4.17
2)NO PAT
在PC1上Ping PC2,在“监控→会话列表”页面可以查看到如图4.18所示的会话信息。
图4.18
对于两种动态NAT的配置及验证,可以通过对会话的分析,区分两种NAT方式的不同。
在内部网络中PC机数量不多或者需要静态地址转换的场景,可以指定内部IP地址和外部IP地址的固定映射关系。那么从项目组网图4.1中PC2(1.1.1.100)连接PC1(2.1.1.10),应该怎么设定静态NAT呢?
本任务通过H3C SecPath F1060防火墙实现。
外部网络和内部网络之间的地址映射关系在配置中确定,适用于内部网络与外部网络之间的少量固定访问需求。
新建静态地址映射的详细配置如表4.2所示。
表4.2 新建静态地址映射的详细配置
防火墙基本配置同本项目任务1,此处不再赘述。
在“策略→接口NAT→NAT静态转换→策略配置”页面单击“新建”按钮,如图4.19所示。
图4.19
设置2.1.1.10到1.1.1.120地址的静态映射,如图4.20所示。
图4.20
在“策略→接口NAT→NAT静态转换→策略应用”页面选择GE1 /0 /1,单击“开启”按钮,如图4.21所示。
图4.21
在PC2(1.1.1.100)Ping PC1的外网IP地址(1.1.1.120),其实就是连接PC1(2.1.1.10)。在“监控→会话列表”页面,可以查看到如图4.22所示的会话信息。
图4.22
通过静态NAT的配置及验证,可以理解静态地址转换的映射关系。
如何在外部网络安全地访问内部服务器呢?我们需要在防火墙的Eth0 /1接口设定内部服务器的外网IP地址,这样在外部网络就能通过公网IP对内部服务器进行访问。
本任务通过H3C SecPath F1060防火墙实现。
NAT隐藏了内部网络的结构,具有“屏蔽”内部主机的作用,但在实际应用中,可能需要给外部网络提供一个访问内网主机的机会,如给外部网络提供一台Web服务器,或是一台FTP服务器。
NAT设备提供的内部服务器功能,就是通过静态配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系,实现公网IP地址到私网IP地址的“反向”转换。例如,可以将20.1.1.1:8080配置为内网某Web服务器的外部网络地址和端口号供外部网络访问。
如图4.23所示,外部网络用户访问内部网络服务器的数据报文经过NAT设备时,NAT设备根据报文的目的地址查找地址转换表项,将访问内部服务器的请求报文的目的IP地址和端口号转换成内部服务器的私有IP地址和端口号。当内部服务器回应该报文时,NAT设备再根据已有的地址映射关系将回应报文的源IP地址和端口号转换成公网IP地址和端口号。
图4.23
新建内部服务器的详细配置如表4.3所示。
表4.3 新建内部服务器的详细配置
续表
续表
基本配置同本项目任务1,此处不再赘述。
在“策略→接口NAT→NAT内部服务器”页面单击“策略配置”下的“新建”按钮。按照图4.24设置通过公网接口可以访问内部PC1上的ftp服务器。
图4.24
在PC2上ftp到1.1.1.1,实际是ftp到内部的PC1(2.1.1.110)。在“监控→会话列表”页面可以查看如图4.25所示的会话信息。
图4.25
【 思考拓展 】
(1)什么时候适合使用静态NAT技术?
(2)如何使用HCL模拟PAT方式进行地址转换?
【 证赛精华 】
本项目涉及H3CNE-Security认证考试(GB0-510)和全国职业院校技能大赛(信息安全管理与评估)的相关要求:
(1)认证考试点:网络地址转换技术。
内容包括NAT概述、动态NAT、内部服务器、静态NAT、NAT ALG功能等。
(2)竞赛知识点与技能点:网络安全设备配置与防护——访问控制。
NAT技术是内外网互访的关键技术之一,也是实现访问控制必备的技能。
通过内部服务器的配置及验证,可以从会话中查看内部服务器地址转换的映射关系。
续表
