netscreen网络地址翻译nat方法总结和实验Word文档格式.docx
- 文档编号:19002106
- 上传时间:2023-01-02
- 格式:DOCX
- 页数:43
- 大小:841.91KB
netscreen网络地址翻译nat方法总结和实验Word文档格式.docx
《netscreen网络地址翻译nat方法总结和实验Word文档格式.docx》由会员分享,可在线阅读,更多相关《netscreen网络地址翻译nat方法总结和实验Word文档格式.docx(43页珍藏版)》请在冰豆网上搜索。
一.不带DIP
图1
WEBUI:
1.Network>
Interfaces(List)>
ethernet1>
Edit
ZoneName:
Trust
IPAddress/Netmask:
/24
InterfaceMode:
NAT
Network>
ethernet2>
UnTrust
Route
2.设置策略
Policies>
(From:
Trust,To:
Untrust)New:
:
SourceAddress:
AddressBookEntry:
Any
DestinationAddress:
Service:
ANY
Action:
Permit
Logging:
(选择)
在CLI下面:
setinterfaceethernet1zonetrust
setinterfaceethernet1ip/24
setinterfaceethernet1nat
setinterfaceethernet2zoneuntrust
setinterfaceethernet2ip1/24
setinterfaceethernet2route
setpolicyfromtrusttountrustAnyAnyANYpermitlog
设置二个区段再加一条策略就行,默认二个区是不通的(5GT除外),从UnTrust区来看,所有信息也是从NETSCREENE2口出来的.我们可以从防火墙的日志中看到。
图2
图3
二.带DIP
1对1映射:
地址池只有一个IP,所以一台机映射一个IP
1对多映射:
地址池只有多个IP,所以一台机从池中每次取一个IP映射
多对1(一定要开PAT)映射:
地址池只有一个IP,但通过PAT,最多可以支持64,500(65535-1023)台机,每台机用不同的端口
多对多映射:
地址池有多个IP,也有多台机,可以从池中取IP映射,也可以指定那台机映射为那个IP
一).1对1映射
图4
只有一台机在Trust区连到UnTtust区,从UnTtust区来看,他是从DIP池分配的IP。
1.设置接口
Edit
ZoneName:
2.设置DIP池
Edit>
DIP>
New,
ID:
5
IPAddressRange:
~
PortTranslation:
(选择)
InthesamesubnetastheinterfaceIPoritssecondaryIPs:
#PortTranslation就是PAT,选上后,每次用的端口也不同,但要是对端口有特殊要求的时候就不要选上。
3.设置IP>
>
HOST
Objects>
Addresses>
List>
New:
AddressName:
host1
IP/Netmask:
(选择),/32
Zone:
4.设置策略,且指定DIP
Trust,To:
AddressBookEntry:
Advanced:
NAT:
SourceTranslation:
(选择)
(DIPon):
5(-)/X-late
setinterfaceethernet2ip/24
setinterfaceethernet2dip5
setaddresstrusthost1/32
setpolicyid3fromTrusttoUntrusthost1anyANYnatsrcdip-id5permitlog
从Trust区的64PING到Untrust是,我们可以从防火墙的日志中看到。
图5
我们再从Untrust区的192.168.2.2的机上看
图6
而从Untrust区是连不到trust区与映射(虚拟)出来的IP的。
二).1对多映射
从上面的说明看到,1对多的配置,其实就是在DIP池里设置多几个IP,没有什么特别不同的了。
拓扑图与图4一样。
只放上CLI的:
这里只看结果,从防火墙的日志中看到。
图7
每个PING防火墙也分给他不同的地址,再从Untrust区的192.168.2.2的机上看
图8
三).多对1映射
图9
当有多台机在Trust区连去Untrust区时,而DIP池只有一个IP,这时就一定要选择PAT模式了。
通过PAT,最多可以支持64,500台机(65535-1023),每台机用不同的端口.如果你不选PAT模式,就同一时间只有一台机可以连到Untrust区。
配置上1对1的一样,我们还是看结果吧。
图10
二台机同时PING,尽管从DIP池中分给的IP是一起,但它们获得的端口号.
再从Untrust区的192.168.2.2的机上看
图11
四).多对多映射
地址池有多个IP,trust区也有多台机,可以从池中取IP映射,也可以地址池IP与源地址一对一转换,从而使维护更方便,但必需是地址池IP大于或等于源地址,
配置思想:
先设置1.IP,接口,区段(这个每个设置也是一样的)2.设置HOST的IP,再建一个组,把所有HOST加入去3.建一个策略,原端引用上面那个组
WebUI
IPShift:
From:
192.168.1.4#Trust最低的那个IP
To:
HOST>
GROUP
host2
Groups>
(Trust)New:
GroupName:
group1
选择host1,并使用<
<
按钮将地址从AvailableMembers栏移到GroupMembers栏中
选择host2,并使用<
4.设置策略,指定DIP与组
Trust,To:
CLI:
setinterfaceethernet2dip5shift-from.11to
setaddresstrusthost2/32
setgroupaddresstrustgroup1addhost1
setgroupaddresstrustgroup1addhost2
setpolicyfromtrusttountrustgroup1anyANYnatsrcdip-id5permitlog
有一点要小心。
,那你的DIP池,,(A>
79-4)。
例子:
1.trust,
源IP转换后IP
192.168.1.4----→
192.168.1.164----→192.168.2.165
从防火墙的日志中看
图13
我们从Untrust区的192.168.2.2的机上看
图14
2.trust,DIP池是192.168.2.5~
192.168.1.164----→192.168.1.164
防火墙的日志中看到
图15
我们从Untrust区的192.168.2.2的机上看,没有看到没转换的源IP:
.1.164。
当我们Trust区不连Untrust区时,而我们用CAIN等Sniffer工具来ARP扫描时,还可以看到从到192.168.2.78的IP全是防火墙的MAC地址。
三、Netscreen防火墙各种地址翻译方法的特点总结
Netscreen防火墙的地址翻译主要包括五类:
●NAT-src
●NAT-dst
●MappedIP(MIP)
●VirtualIP(VIP)
●Untrust口的源地址翻译
这五类地址翻译可以从两个角度分类:
一、是源地址翻译还是目的地址翻译?
●NAT-src和Untrust口的源地址翻译是源地址翻译。
●NAT-dst和VIP是目的地址翻译。
●MIP是双向地址翻译。
二、是基于策略的地址翻译还是基于接口的地址翻译?
●NAT-src和NAT-dst是基于策略的地址翻译。
●Untrust口的源地址翻译、MIP和VIP是基于接口的地址翻译。
也就是说,NAT-src和NAT-dst是在制订的防火墙Policy的基础之上,即规定了源地址、目的地址、源端口、目的端口等之后,对符合这条策略的信息流进行NAT-src和NAT-dst方式的地址和端口翻译。
而另外三种地址翻译都是和接口进行了绑定,而和Policy策略无关。
因此,这几种地址翻译方法总结来说具有以下应用特点:
●NAT-src和NAT-dst可以完全覆盖另外三种地址翻译方法,也就是说另外三种地址翻译方法可以完全翻译成具有相同效果的NAT-src和NAT-dst,反之则不行。
●NAT-src和NAT-dst由于是基于Policy进行地址翻译,具有更好的信息流控制粒度。
●NAT-src和NAT-dst可以在任意两个安全域(zone)之间进行设置。
●NAT-src和NAT-dst可以在一条Policy中同时设置执行,对源和目的地址同时翻译,但是仅仅是单向的地址翻译。
●单向翻译可以提供更好的控制与安全性能。
●Untrust口的源地址翻译只能在Untrust口实现。
尽管可以将绑定到任意第3层区段的接口的操作模式定义为NAT,但是,安全设备只对通过该接口传递到Untrust区段的信息流执行NAT。
对于通往Untrust区段之外的其它任意区段的信息流,ScreenOS不执行NAT。
还要注意,ScreenOS允许您将Untrust区段接口设置为NAT模式,但是这样做并不会激活任何NAT操作。
●VIP只能在Untrust口实现。
●MIP和VIP一般需要与所配置的接口处于同一网段,但是为Untrust区段中接口定义的MIP例外。
该MIP可以在不同于Untrust区段接口IP地址的子网中。
但是,如果真是这样,就必须在外部路由器上添加一条路由,指向Untrust区段接口,以便内向信息流能到达MIP。
此外,必须在与MIP相关的防火墙上定义一个静态路由。
另外这几种策略发生冲突重叠时具有以下规律:
●入口接口处于“路由”或NAT模式时,可以使用基于策略的NAT-src。
如果配置策略以应用NAT-src,且入口接口处于NAT模式下,则基于策略的NAT-src设置会覆盖基于接口的NAT。
●不支持同时将基于策略的NAT-dst与MIP、VIP配合使用。
如果您配置了MIP或VIP,安全设备会在应用了基于策略的NAT-dst的任何信息流上应用MIP或VIP。
换言之,如果安全设备偶然将MIP和VIP应用于同一信息流,则MIP和VIP将禁用基于策略的NAT-dst。
●应该避免将接口IP地址、MIP、VIP、DIP设置重复,否则会不可设置或引起冲突。
通过实际调查,可以发现很多网管人员习惯于使用MIP、VIP和Untrust口的源地址翻译来进行地址翻译,这主要是因为:
●这三种地址翻译方法是目前大多数防火墙普遍采用的地址翻译方法,网管人员不需要学习就已经掌握。
●一对一的静态地址映射便于理解,也是目前大多数防火墙普遍采用的地址翻译方法。
●如果从其它防火墙迁移到Netscreen防火墙,这种配置迁移便于一对一的翻译。
但是,以MIP为主的地址翻译也存在着一些问题:
●MIP和VIP属于Global区段,这一点容易让一些网管人员在理解上产生偏差,而不能正确配置。
●从不同区段到达MIP需要配置两条策略,也容易产生配置错误。
●对于策略配置中何时使用MIP,何时使用服务器的真实IP,经常容易搞错。
●当涉及到多个安全区段都存在MIP时,并且这些MIP地址有可能引起各种地址段重合的现象时,配置更加复杂和难于理解,甚至无法实现。
●这些传统的地址翻译方法粒度太粗,可控性不强,不能实现最大程度的安全性和灵活性。
●一对一的地址映射在实践中无法满足企业用户复杂的网络需求,如实现一对多、多对一的翻译,实现源地址和目的地址的同时翻译,等等。
因此,考虑到企业业务的实践,建议尽可能采用NAT-src和NAT-dst来实现业务需要,理由如下:
●NAT-src和NAT-dst可以完全覆盖另外三种地址翻译方法。
另外三种地址翻译方法都有一些安全域限制,无法实现任意方向的地址翻译。
●NAT-src和NAT-dst可以在一条Policy中同时设置执行,对源和目的地址同时翻译。
如果需要双向翻译可以在反方向单独再定义一条策略。
●基于策略的NAT-src和NAT-dst容易理解和配置。
●可以更好地将地址翻译和策略管理结合起来,更加方便企业的日常策略维护工作。
当然,另外三种翻译方法在实现从其它防火墙向Netscreen防火墙的策略迁移,适应不同管理员的配置习惯,适应特定的网络环境等方面具有自己的优点。
以下将结合企业网络的常见需求来看看如何通过NAT-src和NAT-dst来实现地址翻译,并且如何取代其它三种地址翻译方法。
四、地址翻译方法实验
1.Netscreen防火墙的地址翻译实验环境
为了帮助理解地址翻译的实践,以下各节配置均采用下图所示的实验环境:
2.Netscreen防火墙的策略地址翻译实验
3.1由外向内的地址翻译
分以下几种情况(注意:
其中需要在防火墙和路由器上添加路由的部分都省略,请自行添加路由):
一、合作伙伴服务器(.2)需要访问企业服务器(192.168.1.2),访问的映射地址是(3.3.3.2),同时源地址(2.2.2.2)在Trust区域可以路由,不需要做源地址转换。
配置如下:
1.接口
Interfaces>
Edit(对于ethernet1):
输入以下内容,然后单击Apply:
ZoneName:
StaticIP:
(出现时选择此选项)
IPAddress/Netmask:
.1/24
选择以下内容,然后单击OK:
Edit(对于ethernet3):
输入以下内容,然后单击OK:
Untrust
1..1/24
2.策略
(From:
Untrust,To:
Trust)New:
SourceAddress:
AddressBookEntry:
(选择),.2/32(假设我们先前定义了此地址对象)
DestinationAddress:
Service:
HTTP
Action:
Advanced:
输入以下内容,然后单击Return,设置高级选项并返回基本配置页:
NAT:
DestinationTranslation:
TranslatetoIP:
(选择),
CLI
1.Interface
setinterfaceethernet1i.1/24
setinterfaceethernet1route
setinterfaceethernet3zoneuntrust
setinterfaceethernet3i.1/24
2.AddressList
setaddressTrust"
setaddressUntrust"
3.Policy
setpolicyid1from"
Untrust"
to"
Trust"
"
.2/32"
3.3.3.2/32"
HTTP"
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- netscreen 网络地址 翻译 nat 方法 总结 实验