源nat是将私网地址转换为公网地址,实现内部网络访问外网。目的dnat是将对公网访问Ip转换为内网ip,实现外部网络访问内网资源。目的nat的实现有多种方式,一对一转换,带端口和不带端口的转换,最常用的就是使用带端口的一对多转换,即我们常说的端口映射。在华为的设备中,作为端口映射的配置被称为nat-sever.
有时候,网络中需要内网ip能够访问对应的公网ip,实现特定业务。这种访问需求被称为nat的访问回流,路由器可以设定路由策略实现源进源出或者直接支持,防火墙上有所谓的双向nat也可以支持。
在华为的防火墙上,可以多配置一条源nat策略来实现。
一、模拟拓扑及思路
访问需求和模拟拓扑图下所示:
说明:
1、使用ensp模拟器模拟简单网络环境
2、防火墙作为安全网关,实现策略控制,源snat和目的nat转换
3、utrust区模拟外部网络客户端
4、防火墙将内部网络地址转换为1.1.1.2公网地址,实现端口映射1.1.1.2:8000-->192.168.2.1:80
5、trust区模拟内网客户端
6、dmz模拟服务器
二、防火墙基本功能配置
网络接口和区域配置如下,记得在接口里面把ping打开
华为防火墙默认策略是允许所有,需要修改禁止
配置nat池如下所示:
配置地址对象,只需要配置server的地址即可
按照如下方式配置源nat策略
配置域间安全策略
需要配置到外网的域间策略,如下所示
测试trust访问dmz,说明域间安全策生效
测试trust访问utrust,说明源nat生效,同时也可以看到地址被转换了
三、目的nat-server
配置nat-server,如下所示;
然后配置untrust->dmz的域间策略,对象指定我们选择的dmz_server
模拟测试。访问http://1.1.1.1:8000/default.html,可以看到访问正常,说明端口映射正常
检查防火墙会话表,验证dnat正确,访问1.1.1.2:800被转换为192.168.2.1:80
四、内网访问公网地址
此时内网的ip是无法访问公网的地址的端口映射的。查询和测试过资料,在防火墙中,貌似只能支持同一个安全域内的内网访问公网。
所以trust区域是无法直接访问dmz区域的公网地址,所以只好修改测试方法,在同一个安全区域内dmz实现
我们在源nat里面增加一条,dmz到dmz源地址转换策略,详细配置如下
此时进行测试,可以发现内网地址能够正常访问公网地址业务