信息安全技術(shù)(HCIA-Security)-第七次課-網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)介紹課件

網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)學(xué)完本課程后，您將能夠:了解NAT的應(yīng)用場景掌握NAT的技術(shù)原理掌握防火墻的NAT配置學(xué)完本課程后，您將能夠:網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT技術(shù)服務(wù)器映射NAT應(yīng)用場景網(wǎng)絡(luò)地址轉(zhuǎn)換原理NAT產(chǎn)生背景IPv4地址日漸枯竭；IPv6技術(shù)不能立即大面積替換；各種延長IPv4壽命的技術(shù)不斷出現(xiàn)，NAT就是其中之一。NAT產(chǎn)生背景IPv4地址日漸枯竭；NAT的優(yōu)點與缺點優(yōu)點：實現(xiàn)IP地址復(fù)用，節(jié)約寶貴的地址資源。地址轉(zhuǎn)換過程對用戶透明。對內(nèi)網(wǎng)用戶提供隱私保護(hù)?？蓪崿F(xiàn)對內(nèi)部服務(wù)器的負(fù)載均衡。缺點：網(wǎng)絡(luò)監(jiān)控難度加大。限制某些具體應(yīng)用。NAT的優(yōu)點與缺點優(yōu)點：NAT技術(shù)的基本原理NAT技術(shù)通過對IP報文頭中的源地址或目的地址進(jìn)行轉(zhuǎn)換，可以使大量的私網(wǎng)IP地址通過共享少量的公網(wǎng)IP地址來訪問公網(wǎng)。內(nèi)網(wǎng)用戶FTPServer將私網(wǎng)源地址替換為公網(wǎng)地址將公網(wǎng)目的地址替換為私網(wǎng)地址目的IP：源IP：目的IP：源IP：目的IP：源IP：目的IP：源IP：NAT技術(shù)的基本原理NAT技術(shù)通過對IP報文頭中的源地址或目NAT分類源NAT地址池方式出接口地址方式（EasyIP）服務(wù)器映射靜態(tài)映射（NATserver）NAT分類源NAT地址池方式服務(wù)器映射靜態(tài)映射（NATse網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT技術(shù)服務(wù)器映射NAT應(yīng)用場景網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT地址池方式(1)不帶端口轉(zhuǎn)換的地址池方式。此種方式為一對一的IP地址的轉(zhuǎn)換，端口不進(jìn)行轉(zhuǎn)換。丟棄Untrust轉(zhuǎn)換Trust源

目的源1目的源NAT地址池方式(1)不帶端口轉(zhuǎn)換的地址池方式。192.源NAT地址池方式(2)帶端口轉(zhuǎn)換的地址池方式。將不同的內(nèi)部地址映射到同一公有地址的不同端口號上，實現(xiàn)多對一地址轉(zhuǎn)換。：7111：7112：7113Untrust轉(zhuǎn)換Trust源1源端口X

目的源源端口Y目的源NAT地址池方式(2)帶端口轉(zhuǎn)換的地址池方式。192.1EasyIP出接口地址方式(EasyIP)。：7111：7112：7113源1目的源

目的Untrust轉(zhuǎn)換TrustEasyIP出接口地址方式(EasyIP)。192.16NATALG

NAT

ALG（ApplicationLevelGateway，應(yīng)用級網(wǎng)關(guān)）是特定的應(yīng)用協(xié)議的轉(zhuǎn)換代理，可以完成應(yīng)用層數(shù)據(jù)中攜帶的地址及端口號信息的轉(zhuǎn)換。以太網(wǎng)首部IP首部TCP首部應(yīng)用數(shù)據(jù)以太網(wǎng)尾部NAT可以轉(zhuǎn)換的部分﹖NATALGNATALG（ApplicationLeNATALG實現(xiàn)原理FTP主動模式下的NATALG應(yīng)用。私網(wǎng)公網(wǎng)HostNATALG

<------>1FTPServerHost與FTPServer之間建立控制連接發(fā)送PORT報文（,1084）ALG處理PORT報文載荷已被轉(zhuǎn)換（1,

12487）FTPServer向Host發(fā)起數(shù)據(jù)連接（,

30041,12487）FTPServer向Host發(fā)起數(shù)據(jù)連接（,

3004,1084）在已經(jīng)建立的數(shù)據(jù)連接上進(jìn)行數(shù)據(jù)傳輸NATALG實現(xiàn)原理FTP主動模式下的NATALG應(yīng)用。網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT技術(shù)服務(wù)器映射NAT應(yīng)用場景網(wǎng)絡(luò)地址轉(zhuǎn)換原理NATServer-內(nèi)部服務(wù)器內(nèi)部服務(wù)器(NatServer)功能是使用一個公網(wǎng)地址來代表內(nèi)部服務(wù)器對外地址。在防火墻上，專門為內(nèi)部的服務(wù)器配置一個對外的公網(wǎng)地址來代表私網(wǎng)地址。對于外網(wǎng)用戶來說，防火墻上配置的外網(wǎng)地址就是服務(wù)器的地址。DMZuntrust公網(wǎng)地址真正的地址WWW服務(wù)器外網(wǎng)用戶轉(zhuǎn)換源IP地址目的源IP地址目的NATServer-內(nèi)部服務(wù)器內(nèi)部服務(wù)器(NatSeNATServer與ServerMap表(1)配置NATServer時，設(shè)備會自動生成Server-map表項，用于存放Global地址與Inside地址的映射關(guān)系。舉例：servermap表項IP協(xié)議承載的協(xié)議類型轉(zhuǎn)換后的公網(wǎng)地址內(nèi)部server實際地址[NGFW]natserverserver1protocoltcpglobalinsideType：NatServer,ANY->:21[:21],Zone:---,protocol:tcpVpn:public-->publicType：NatServerReverse,[]->ANY,Zone:---，protocol:tcpVpn:public-->public,counter:1NATServer與ServerMap表(1)配置NANATServer與ServerMap表(2)指定no-reverse參數(shù)后，設(shè)備生成的Server-map表只有正方向。舉例：servermap表項[NGFW]natserverserver1protocoltcpglobalinside

no-reverseType:NatServer,ANY->[],Zone:---,protocol:tcpVpn:public->publicNATServer與ServerMap表(2)指定no網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT技術(shù)服務(wù)器映射NAT應(yīng)用場景網(wǎng)絡(luò)地址轉(zhuǎn)換原理NAT典型應(yīng)用場景配置舉例應(yīng)用場景分析源應(yīng)用NATServer應(yīng)用DMZ區(qū)域Untrust區(qū)域Trust區(qū)域192.168.０.1/24/29/24NAT典型應(yīng)用場景配置舉例應(yīng)用場景分析DMZ區(qū)域Untru防火墻源NAT配置(WEB)配置NAT地址池。防火墻源NAT配置(WEB)配置NAT地址池。防火墻源NAT配置(WEB)配置源NAT策略。在本例中是為了實現(xiàn)trust區(qū)域的用戶訪問untrust區(qū)域internet的資源，因此源安全區(qū)域為trust，目的安全區(qū)域為untrust。選擇配置的地址池防火墻源NAT配置(WEB)配置源NAT策略。在本例中是為防火墻NATServer配置(WEB)配置內(nèi)部Web和FTP服務(wù)器。外部地址和內(nèi)部地址，外部地址為供外部用戶訪問的公網(wǎng)IP地址，內(nèi)部地址為局域網(wǎng)服務(wù)器地址。防火墻NATServer配置(WEB)配置內(nèi)部Web和F防火墻NATServer配置(WEB)配置域間安全轉(zhuǎn)發(fā)策略。HTTP服務(wù)器配置類似。防火墻NATServer配置(WEB)配置域間安全轉(zhuǎn)發(fā)策防火墻源NAT配置(CLI)配置域間訪問規(guī)則。指定源地址為網(wǎng)段。（具體配置步驟省略）配置地址池。配置源NAT策略。[NGFW]nataddress-group1[NGFW-nat-address-group-1]section[NGFW]nat-policy[NGFW-policy-nat]rulenamenat1[NGFW-policy-nat-rule-nat1]source-zonetrust[NGFW-policy-nat-rule-nat1]destination-zoneuntrust[NGFW-policy-nat-rule-nat1]source-address24[NGFW-policy-nat-rule-nat1]actionnataddress-group1防火墻源NAT配置(CLI)配置域間訪問規(guī)則。[NGFW防火墻NATServer配置(CLI)配置內(nèi)部Web和FTP服務(wù)器。配置域間包過濾規(guī)則。[USG]natserverwwwserverprotocoltcpglobal80inside8080[USG]natserverftpserverprotocoltcpglobalftpinsideftp[USG]security-policy[USG-policy-security]rulenamep1[USG-policy-security-rule-p1]source-zoneuntrust[USG-policy-security-rule-p1]destination-zonedmz[USG-policy-security-rule-p1]destination-address32[USG-policy-security-rule-p1]servicehttp[USG-policy-security-rule-p1]actionpermit[USG-policy-security]rulenamep2[USG-policy-security-rule-p2]source-zoneuntrust[USG-policy-security-rule-p2]destination-zonedmz[USG-policy-security-rule-p2]destination-address32[USG-policy-security-rule-p2]serviceftp[USG-policy-security-rule-p2]actionpermit防火墻NATServer配置(CLI)配置內(nèi)部Web和F雙向NAT技術(shù)雙向NAT兩種應(yīng)用場景:NATServer+源NAT域內(nèi)NAT雙向NAT技術(shù)雙向NAT兩種應(yīng)用場景:域間雙向NAT為了簡化配置服務(wù)器至公網(wǎng)的路由，可在NATServer基礎(chǔ)上，增加源NAT配置。DMZUntrust源NAT私網(wǎng)IP地址Internet用戶內(nèi)網(wǎng)服務(wù)器真正IP地址對外公網(wǎng)地址域間雙向NAT為了簡化配置服務(wù)器至公網(wǎng)的路由，可在NATS域內(nèi)雙向NAT防火墻將用戶的請求報文的目的地址轉(zhuǎn)換成FTP服務(wù)器的內(nèi)網(wǎng)IP地址，源地址轉(zhuǎn)換成用戶對外公布的IP地址。防火墻將FTP服務(wù)器回應(yīng)報文的源地址轉(zhuǎn)換成對外公布的地址，目的地址轉(zhuǎn)換成用戶的內(nèi)網(wǎng)IP地址。Trust域服務(wù)器公網(wǎng)地址用戶公網(wǎng)地址內(nèi)網(wǎng)用戶服務(wù)器域內(nèi)雙向NAT防火墻將用戶的請求報文的目的地址轉(zhuǎn)換成FTP服以下哪些選項是NAT技術(shù)產(chǎn)生的原因()IP地址資源不足保護(hù)內(nèi)網(wǎng)服務(wù)器真實的IP地址某些特定的業(yè)務(wù)需要便于對設(shè)備進(jìn)行管理以下哪些選項是NAT技術(shù)產(chǎn)生的原因()NAT的技術(shù)原理NAT幾種應(yīng)用方式防火墻NAT典型場景配置NAT的技術(shù)原理信息安全技術(shù)(HCIA-Security)-第七次課-網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)介紹課件網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)學(xué)完本課程后，您將能夠:了解NAT的應(yīng)用場景掌握NAT的技術(shù)原理掌握防火墻的NAT配置學(xué)完本課程后，您將能夠:網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT技術(shù)服務(wù)器映射NAT應(yīng)用場景網(wǎng)絡(luò)地址轉(zhuǎn)換原理NAT產(chǎn)生背景IPv4地址日漸枯竭；IPv6技術(shù)不能立即大面積替換；各種延長IPv4壽命的技術(shù)不斷出現(xiàn)，NAT就是其中之一。NAT產(chǎn)生背景IPv4地址日漸枯竭；NAT的優(yōu)點與缺點優(yōu)點：實現(xiàn)IP地址復(fù)用，節(jié)約寶貴的地址資源。地址轉(zhuǎn)換過程對用戶透明。對內(nèi)網(wǎng)用戶提供隱私保護(hù)。可實現(xiàn)對內(nèi)部服務(wù)器的負(fù)載均衡。缺點：網(wǎng)絡(luò)監(jiān)控難度加大。限制某些具體應(yīng)用。NAT的優(yōu)點與缺點優(yōu)點：NAT技術(shù)的基本原理NAT技術(shù)通過對IP報文頭中的源地址或目的地址進(jìn)行轉(zhuǎn)換，可以使大量的私網(wǎng)IP地址通過共享少量的公網(wǎng)IP地址來訪問公網(wǎng)。內(nèi)網(wǎng)用戶FTPServer將私網(wǎng)源地址替換為公網(wǎng)地址將公網(wǎng)目的地址替換為私網(wǎng)地址目的IP：源IP：目的IP：源IP：目的IP：源IP：目的IP：源IP：NAT技術(shù)的基本原理NAT技術(shù)通過對IP報文頭中的源地址或目NAT分類源NAT地址池方式出接口地址方式（EasyIP）服務(wù)器映射靜態(tài)映射（NATserver）NAT分類源NAT地址池方式服務(wù)器映射靜態(tài)映射（NATse網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT技術(shù)服務(wù)器映射NAT應(yīng)用場景網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT地址池方式(1)不帶端口轉(zhuǎn)換的地址池方式。此種方式為一對一的IP地址的轉(zhuǎn)換，端口不進(jìn)行轉(zhuǎn)換。丟棄Untrust轉(zhuǎn)換Trust源

目的源1目的源NAT地址池方式(1)不帶端口轉(zhuǎn)換的地址池方式。192.源NAT地址池方式(2)帶端口轉(zhuǎn)換的地址池方式。將不同的內(nèi)部地址映射到同一公有地址的不同端口號上，實現(xiàn)多對一地址轉(zhuǎn)換。：7111：7112：7113Untrust轉(zhuǎn)換Trust源1源端口X

目的源源端口Y目的源NAT地址池方式(2)帶端口轉(zhuǎn)換的地址池方式。192.1EasyIP出接口地址方式(EasyIP)。：7111：7112：7113源1目的源

目的Untrust轉(zhuǎn)換TrustEasyIP出接口地址方式(EasyIP)。192.16NATALG

NAT

ALG（ApplicationLevelGateway，應(yīng)用級網(wǎng)關(guān)）是特定的應(yīng)用協(xié)議的轉(zhuǎn)換代理，可以完成應(yīng)用層數(shù)據(jù)中攜帶的地址及端口號信息的轉(zhuǎn)換。以太網(wǎng)首部IP首部TCP首部應(yīng)用數(shù)據(jù)以太網(wǎng)尾部NAT可以轉(zhuǎn)換的部分﹖NATALGNATALG（ApplicationLeNATALG實現(xiàn)原理FTP主動模式下的NATALG應(yīng)用。私網(wǎng)公網(wǎng)HostNATALG

<------>1FTPServerHost與FTPServer之間建立控制連接發(fā)送PORT報文（,1084）ALG處理PORT報文載荷已被轉(zhuǎn)換（1,

12487）FTPServer向Host發(fā)起數(shù)據(jù)連接（,

30041,12487）FTPServer向Host發(fā)起數(shù)據(jù)連接（,

3004,1084）在已經(jīng)建立的數(shù)據(jù)連接上進(jìn)行數(shù)據(jù)傳輸NATALG實現(xiàn)原理FTP主動模式下的NATALG應(yīng)用。網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT技術(shù)服務(wù)器映射NAT應(yīng)用場景網(wǎng)絡(luò)地址轉(zhuǎn)換原理NATServer-內(nèi)部服務(wù)器內(nèi)部服務(wù)器(NatServer)功能是使用一個公網(wǎng)地址來代表內(nèi)部服務(wù)器對外地址。在防火墻上，專門為內(nèi)部的服務(wù)器配置一個對外的公網(wǎng)地址來代表私網(wǎng)地址。對于外網(wǎng)用戶來說，防火墻上配置的外網(wǎng)地址就是服務(wù)器的地址。DMZuntrust公網(wǎng)地址真正的地址WWW服務(wù)器外網(wǎng)用戶轉(zhuǎn)換源IP地址目的源IP地址目的NATServer-內(nèi)部服務(wù)器內(nèi)部服務(wù)器(NatSeNATServer與ServerMap表(1)配置NATServer時，設(shè)備會自動生成Server-map表項，用于存放Global地址與Inside地址的映射關(guān)系。舉例：servermap表項IP協(xié)議承載的協(xié)議類型轉(zhuǎn)換后的公網(wǎng)地址內(nèi)部server實際地址[NGFW]natserverserver1protocoltcpglobalinsideType：NatServer,ANY->:21[:21],Zone:---,protocol:tcpVpn:public-->publicType：NatServerReverse,[]->ANY,Zone:---，protocol:tcpVpn:public-->public,counter:1NATServer與ServerMap表(1)配置NANATServer與ServerMap表(2)指定no-reverse參數(shù)后，設(shè)備生成的Server-map表只有正方向。舉例：servermap表項[NGFW]natserverserver1protocoltcpglobalinside

no-reverseType:NatServer,ANY->[],Zone:---,protocol:tcpVpn:public->publicNATServer與ServerMap表(2)指定no網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT技術(shù)服務(wù)器映射NAT應(yīng)用場景網(wǎng)絡(luò)地址轉(zhuǎn)換原理NAT典型應(yīng)用場景配置舉例應(yīng)用場景分析源應(yīng)用NATServer應(yīng)用DMZ區(qū)域Untrust區(qū)域Trust區(qū)域192.168.０.1/24/29/24NAT典型應(yīng)用場景配置舉例應(yīng)用場景分析DMZ區(qū)域Untru防火墻源NAT配置(WEB)配置NAT地址池。防火墻源NAT配置(WEB)配置NAT地址池。防火墻源NAT配置(WEB)配置源NAT策略。在本例中是為了實現(xiàn)trust區(qū)域的用戶訪問untrust區(qū)域internet的資源，因此源安全區(qū)域為trust，目的安全區(qū)域為untrust。選擇配置的地址池防火墻源NAT配置(WEB)配置源NAT策略。在本例中是為防火墻NATServer配置(WEB)配置內(nèi)部Web和FTP服務(wù)器。外部地址和內(nèi)部地址，外部地址為供外部用戶訪問的公網(wǎng)IP地址，內(nèi)部地址為局域網(wǎng)服務(wù)器地址。防火墻NATServer配置(WEB)配置內(nèi)部Web和F防火墻NATServer配置(WEB)配置域間安全轉(zhuǎn)發(fā)策略。HTTP服務(wù)器配置類似。防火墻NATServer配置(WEB)配置域間安全轉(zhuǎn)發(fā)策防火墻源NAT配置(CLI)配置域間訪問規(guī)則。指定源地址為網(wǎng)段。（具體配置步驟省略）配置地址池。配置源NAT策略。[NGFW]nataddress-group1[NGFW-nat-address-group-1]section[NGFW]nat-policy[NGFW-policy-nat]rulenamenat1[NGFW-policy-nat-rule-nat1]source-zonetrust[NGFW-policy-nat-rule-nat1]destination-zoneuntrust[NGFW-policy-nat-rule-nat1]source-address24[NGFW-policy-nat-rule-nat1]actionnataddress-group1防火墻源NAT配置(CLI)配置域間訪問規(guī)則。[NGFW防火墻NATServer配置(CLI)配置內(nèi)部Web和FTP服務(wù)器。配置域間包過濾規(guī)則。[USG]natserverwwwserverprotocoltcpglobal80inside8080[USG]natserverftpserverprotocoltcpglobalftpinsideftp[USG]security-policy[USG-policy-security]rulenamep1[USG-policy-security-rule-p1]source-zoneuntrust[USG-policy-security-rule-p1]destination-zonedmz[USG-policy-security-rule-p1]destination-address