防火墻地址轉(zhuǎn)換教案

地址轉(zhuǎn)換在一般情況下，企業(yè)擁有的公有合法IP地址十分有限。所以，在企業(yè)內(nèi)網(wǎng)中，一般使用私有IP地址。為了解決通過私有IP地址訪問公網(wǎng)（Internet）的問題，和隱藏內(nèi)部網(wǎng)絡拓撲及真實IP的需要，地址轉(zhuǎn)換技術(shù)（NetworkAddressTranslation,NAT）經(jīng)常會被應用到位于網(wǎng)絡出口的路由設備，如防火墻上?；诘刂穼ο蟮脑吹刂忿D(zhuǎn)換網(wǎng)絡衛(wèi)士防火墻的防火墻模塊的源地址轉(zhuǎn)換策略支持基于地址資源的源地址轉(zhuǎn)換，可轉(zhuǎn)換的地址資源包括單個主機、主機地址范圍和子網(wǎng)，對源地址可以進行的轉(zhuǎn)換方式有：將源地址固定映射為某一合法IP地址和將源地址動態(tài)映射某一網(wǎng)段或某一地址范圍的地址?；拘枨缶W(wǎng)絡衛(wèi)士防火墻的接口Eth0連接企業(yè)內(nèi)網(wǎng)，內(nèi)網(wǎng)為/24，Eth0的IP地址為；Eth1連接外網(wǎng)，Eth1的IP地址為。企業(yè)可用的公網(wǎng)IP地址范圍為-0，網(wǎng)絡拓撲結(jié)構(gòu)的示意圖如下所示。圖20基于地址資源的源地址轉(zhuǎn)換示意圖配置要點定義內(nèi)網(wǎng)地址資源，可定義的地址資源包括主機地址資源、范圍地址資源、子網(wǎng)地址資源、區(qū)域和VLAN。定義要轉(zhuǎn)換的公網(wǎng)地址資源。定義源地址轉(zhuǎn)換策略。WebUI配置步驟1）選擇資源管理>區(qū)域，點擊“添加”，定義區(qū)域資源。設置內(nèi)網(wǎng)區(qū)域area_eth0與屬性eth0綁定且禁止訪問。外網(wǎng)區(qū)域area_eth1與屬性eth1綁定且允許訪問。2）定義內(nèi)部地址資源，選擇資源管理>地址，并選擇相應頁簽，點擊“添加”可以定義主機地址資源、地址范圍資源和子網(wǎng)地址資源。a）定義NAT主機資源：選擇“子網(wǎng)”頁簽，點擊“添加”。b）定義NAT地址池：選擇“范圍”頁簽，點擊“添加”。3）定義NAT地址轉(zhuǎn)換策略。選擇防火墻>地址轉(zhuǎn)換，點擊右上角“添加”，進入NAT規(guī)則配置界面，如下圖所示，選擇“源轉(zhuǎn)換”選項設定源地址轉(zhuǎn)換策略。點擊“源”頁簽，添加NAT規(guī)則的源，內(nèi)部地址資源：子網(wǎng)100.X。如下圖所示。b）點擊“目的”頁簽添加NAT規(guī)則的目的，外網(wǎng)區(qū)域：area_eth1。c）設置源地址轉(zhuǎn)換為地址池中地址的轉(zhuǎn)換規(guī)則，設置為范圍地址資源nat-pool。也可以設置轉(zhuǎn)換為固定地址對象的轉(zhuǎn)換規(guī)則。配置完成。需要注意的是，系統(tǒng)默認情況下，在源地址轉(zhuǎn)換同時也會轉(zhuǎn)換源端口。只有在上圖中選擇“源端口不作轉(zhuǎn)換”時，數(shù)據(jù)包在經(jīng)過防火墻時不改變源端口。CLI配置步驟1）定義區(qū)域資源#defineareaaddnamearea_eth1accessonattributeeth1#defineareaaddnamearea_eth0accessoffattributeeth02）定義內(nèi)網(wǎng)地址資源#definesubnetaddname子網(wǎng)100.xipaddrmask3）定義NAT地址池資源#definerangeaddnamenat-poolip1ip204）定義NAT地址轉(zhuǎn)換規(guī)則在地址池中動態(tài)選擇轉(zhuǎn)換后的IP#natpolicyaddsrcareaarea_eth0orig_src子網(wǎng)100.xdstareaarea-eth1trans_srcnat-poolenableyes注意事項系統(tǒng)默認情況下，在源地址轉(zhuǎn)換同時也會轉(zhuǎn)換源端口?；趯傩缘脑吹刂忿D(zhuǎn)換基本需求當使用網(wǎng)絡衛(wèi)士防火墻的某一接口撥號接入ADSL，或者將某一接口作為DHCP客戶端時，此時，接口連接外網(wǎng)并且由ISP或DHCP服務器動態(tài)分配IP地址，即接口IP地址不固定。當內(nèi)網(wǎng)用戶需要通過此接口訪問外網(wǎng)時，可以對接口進行屬性綁定，在定義地址轉(zhuǎn)換規(guī)則時將轉(zhuǎn)換后地址設定為這些屬性的名稱。地址轉(zhuǎn)換時系統(tǒng)會自動將內(nèi)網(wǎng)地址轉(zhuǎn)換為屬性所綁定的接口的當前地址。圖21基于屬性的源地址轉(zhuǎn)換示意圖本例中網(wǎng)絡衛(wèi)士防火墻的Eth1連接外網(wǎng)，為DHCP客戶端，需要DHCP服務器動態(tài)分配IP地址。Eth0的IP地址為，連接內(nèi)網(wǎng)/24。內(nèi)網(wǎng)用戶通過Eth1訪問外網(wǎng)。配置要點定義區(qū)域資源。定義屬性資源。為接口綁定屬性。定義基于屬性的源地址轉(zhuǎn)換策略。WebUI配置步驟1）定義區(qū)域資源area_eth0、area_eth1。選擇資源管理>區(qū)域，點擊“添加”。設置完成后界面如下圖2）定義屬性資源，選擇資源管理>屬性，點擊“添加新屬性”。3）通過CLI界面為接口eth1綁定屬性#networkinterfaceeth1attributeaddDHCP4）定義源地址轉(zhuǎn)換策略，選擇防火墻>地址轉(zhuǎn)換，點擊“添加”，進入NAT規(guī)則配置界面，如下圖所示，選擇“源轉(zhuǎn)換”選項設定源地址轉(zhuǎn)換策略。a）點擊“源”頁簽，選擇源區(qū)域：area_eth0。b）點擊“目的”頁簽添加NAT規(guī)則的目的區(qū)域：area_eth1。c）設置轉(zhuǎn)換地址，源地址轉(zhuǎn)換為：DHCP[屬性]。配置完成。以上配置完成后，用戶還需要在eth1口啟動DHCP客戶端的功能，具體操作請參見防火墻作為DHCP客戶端的相關(guān)案例。CLI配置步驟1）定義區(qū)域資源#defineareaaddnamearea_eth0accessonattributeeth0#defineareaaddnamearea_eth1accessonattributeeth12）定義屬性資源。#networkattributeaddnameDHCP3）為接口綁定屬性#networkinterfaceeth1attributeaddDHCP4）定義源地址轉(zhuǎn)換策略#natpolicyaddsrcareaarea_eth0dstareaarea_eth1trans_srcDHCPenableyes注意事項1）網(wǎng)絡衛(wèi)士防火墻的內(nèi)網(wǎng)用戶當通過ADSL訪問外網(wǎng)時，必須手工配置源地址轉(zhuǎn)換策略。2）未做接口綁定的屬性資源不能作為地址轉(zhuǎn)換規(guī)則的轉(zhuǎn)換后地址。3）Eth1作為DHCP客戶端的配置方法請參見配置案例“DHCP客戶端”?；贗P地址的目的地址轉(zhuǎn)換基本需求由于來自INTERNET的對政府、企業(yè)的網(wǎng)絡攻擊日益頻繁，因此需要對內(nèi)網(wǎng)中向外網(wǎng)提供訪問服務的關(guān)鍵設備進行有效保護。采用目的地址NAT可以有效地將內(nèi)部網(wǎng)絡地址對外隱藏。圖22基于IP地址的目的地址轉(zhuǎn)換示意圖圖中：公網(wǎng)Internet用戶需要通過防火墻訪問WEB服務器，為了隱藏服務器在內(nèi)網(wǎng)中的真實地址，使用公網(wǎng)地址01作為用戶的訪問地址。配置要點定義區(qū)域資源：area_eth1。定義WEB服務器真實地址對應地址資源。定義WEB服務器的公網(wǎng)虛擬IP地址資源。定義地址轉(zhuǎn)換策略。WebUI配置步驟1）選擇資源管理>區(qū)域，點擊“添加”，定義區(qū)域資源。設置內(nèi)網(wǎng)區(qū)域area_eth0與屬性eth0綁定且禁止訪問。外網(wǎng)區(qū)域area_eth1與屬性eth1綁定且允許訪問2)定義WEB服務器的內(nèi)網(wǎng)真實地址資源。選擇資源管理>地址，選擇“主機”頁簽，點擊“添加”，系統(tǒng)出現(xiàn)添加主機資源的頁面，如下圖所示。3）定義WEB服務器的公網(wǎng)IP地址資源選擇資源管理>地址，選擇“主機”頁簽，點擊“添加”，系統(tǒng)出現(xiàn)添加主機資源的頁面，如下圖所示。4）定義目的地址轉(zhuǎn)換策略在導航菜單選擇防火墻>地址轉(zhuǎn)換，進入地址轉(zhuǎn)換規(guī)則列表界面，點擊“添加”進入NAT規(guī)則配置界面，如下圖所示，選擇“目的轉(zhuǎn)換”選項設定目的地址轉(zhuǎn)換策略。a）選擇“源”頁簽，打開“高級”屬性設置按鈕，添加NAT規(guī)則的源，在“選擇源AREA”中選擇源區(qū)域為area_eth1。b）選擇“目的”頁簽添加NAT規(guī)則的目的，WEB服務器的公網(wǎng)IP地址資源：MAP_IP。c）選擇“服務”頁簽，選擇服務HTTP（TCP：80）。d）設置目的地址轉(zhuǎn)換規(guī)則。定義目的地址轉(zhuǎn)換為固定地址的轉(zhuǎn)換規(guī)則：設置轉(zhuǎn)換后的地址為WEB_server如下圖所示。“啟用規(guī)則”處選擇啟用，此為默認選項。“目的地址轉(zhuǎn)換為”中選擇WEB_server?！澳康亩丝谵D(zhuǎn)換為”由于內(nèi)網(wǎng)WEB服務器用標準的80端口向外網(wǎng)提供WEB服務，因此選擇“不作轉(zhuǎn)換”設置完成后，點擊“確定”按鈕，完成目的NAT規(guī)則設置。CLI配置步驟1）設置區(qū)域area_eth1，定義缺省屬性為允許訪問：#defineareaaddnamearea_eth1accessonattributeeth1設置區(qū)域area_eth0，定義缺省屬性為禁止訪問：#defineareaaddnamearea_eth0accessoffattributeeth02）定義WEB服務器真實地址資源：#definehostaddnameWEB_serveripaddr3）定義WEB服務器公網(wǎng)地址資源#definehostaddnameMAP_IPipaddr014）設置地址轉(zhuǎn)換規(guī)則#natpolicyaddsrcareaarea_eth1orig_dstMAP_IPorig_servicehttptrans_dstWEB_server注意事項1）定義地址轉(zhuǎn)換策略在“目的”處，不能指定目的區(qū)域或目的VLAN。2）如果WEB服務器提供WEB服務使用的不是標準的80端口，而是自定義的端口號，則定義地址轉(zhuǎn)換策略時，在“目的端口轉(zhuǎn)換為”處應填寫服務器的真實應用端口。具體配置方法請參見“基于端口的目的NAT轉(zhuǎn)換”配置案例?；诙丝诘哪康牡刂忿D(zhuǎn)換基本需求采用目的地址NAT可以有效地將內(nèi)部網(wǎng)絡地址對外隱藏，但有些時候服務器開放的應用端口與用戶訪問時使用的端口（一般為默認端口）可能不同，需要進行端口的地址轉(zhuǎn)換。圖23基于端口的目的地址轉(zhuǎn)換示意圖如上圖，公網(wǎng)Internet用戶通過公網(wǎng)地址99:80訪問WEB服務器，WEB服務器真實地址為：，提供HTTP服務的端口為8080。配置要點需要配置如下選項：定義區(qū)域資源。定義WEB服務器真實地址。定義WEB服務器訪問地址。定義WEB服務器真實端口。定義地址轉(zhuǎn)換策略。WebUI配置步驟1）定義區(qū)域資源選擇資源管理>區(qū)域，點擊“添加”，分別設置接口Eth0對應的區(qū)域為E0，區(qū)域權(quán)限為“禁止”；接口Eth1對應的區(qū)域為E1，設置區(qū)域的訪問權(quán)限為“允許”。2）定義WEB服務器真實地址選擇資源管理>地址，并選擇“主機”頁簽，點擊“添加”，系統(tǒng)出現(xiàn)添加主機地址資源的頁面，如下圖所示。3）定義WEB服務器公網(wǎng)訪問地址選擇資源管理>地址，并選擇“主機”頁簽，點擊“添加”，系統(tǒng)出現(xiàn)添加主機地址資源的頁面，如下圖所示。4）定義服務端口由于WEB服務器提供服務的端口是：8080，不是默認端口，在設置NAT轉(zhuǎn)換規(guī)則時需要寫明該服務端口。設置自定義服務端口的過程如下：點擊資源管理>服務，并選擇“自定義服務”頁簽，進入自定義服務頁面。點擊右側(cè)“添加”按鈕，如圖所示。選擇類型：TCP，設置名稱：Web_port，服務器實際使用的端口：8080。完成后點擊“確定”。5）定義端口地址轉(zhuǎn)換策略定義地址轉(zhuǎn)換策略過程如下：選擇防火墻>地址轉(zhuǎn)換，進入地址轉(zhuǎn)換規(guī)則列表界面，點擊“添加”進入NAT規(guī)則配置界面，如下圖所示，選擇“目的轉(zhuǎn)換”選項設定目的地址轉(zhuǎn)換策略。a）點擊“源”頁簽，添加NAT規(guī)則的源，在“選擇源AREA”中選擇E1。b）選擇“目的”頁簽添加NAT規(guī)則的目的，WEB服務器的公網(wǎng)IP地址對象：MAP_IP。注意此處目的VLAN和目的AREA均不選。c）選擇“服務”頁簽，選擇服務HTTP（TCP：80）。d）在“目的地址轉(zhuǎn)換為”中選擇WEB_server[主機]；在“目的端口轉(zhuǎn)換為”中選擇Web_port[TCP:8080]。設置完成后，點擊“確定”按鈕，完成NAT規(guī)則添加。CLI配置步驟1）設置E1和E0區(qū)域#defineareaaddnameE1accessonattributeeth1#defineareaaddnameE0accessoffattributeeth02）定義WEB服務器真實地址#definehostaddnameWEB_serveripaddr3)定義WEB服務器訪問地址#definehostaddnameMAP_IPipaddr994)定義服務端口#defineserviceaddnameWeb_portprotocol6port8080說明：“6”是TCP協(xié)議的協(xié)議碼5)設置地址轉(zhuǎn)換規(guī)則#natpolicyaddsrcareaE1orig_dstMAP_IPorig_servicehttptrans_dstWeb_servertrans_serviceWeb_port注意事項1)公網(wǎng)用戶訪問WEB服務器時使用的是默認端口80，WEB服務器提供服務的端口是8080，因此必須進行目的地址的端口轉(zhuǎn)換。2)如果希望防火墻對訪問內(nèi)容進行深度過濾，需要對應用端口進行綁定操作。因為服務器使用了非標準的端口8080，防火墻不會對報文進行處理，導致不能正確檢驗數(shù)據(jù)包。3)在定義目的地址轉(zhuǎn)換規(guī)則時，注意不能定義目的AREA和目的VLAN。0C14LI配置步驟1）設置區(qū)域E0。#defineareaaddnameE0