信息安全技術(shù)(HCIA-Security)-第七次課-網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)介紹課件_第1頁
信息安全技術(shù)(HCIA-Security)-第七次課-網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)介紹課件_第2頁
信息安全技術(shù)(HCIA-Security)-第七次課-網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)介紹課件_第3頁
信息安全技術(shù)(HCIA-Security)-第七次課-網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)介紹課件_第4頁
信息安全技術(shù)(HCIA-Security)-第七次課-網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)介紹課件_第5頁
已閱讀5頁,還剩57頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)學(xué)完本課程后,您將能夠:了解NAT的應(yīng)用場景掌握NAT的技術(shù)原理掌握防火墻的NAT配置學(xué)完本課程后,您將能夠:網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT技術(shù)服務(wù)器映射NAT應(yīng)用場景網(wǎng)絡(luò)地址轉(zhuǎn)換原理NAT產(chǎn)生背景IPv4地址日漸枯竭;IPv6技術(shù)不能立即大面積替換;各種延長IPv4壽命的技術(shù)不斷出現(xiàn),NAT就是其中之一。NAT產(chǎn)生背景IPv4地址日漸枯竭;NAT的優(yōu)點(diǎn)與缺點(diǎn)優(yōu)點(diǎn):實(shí)現(xiàn)IP地址復(fù)用,節(jié)約寶貴的地址資源。地址轉(zhuǎn)換過程對(duì)用戶透明。對(duì)內(nèi)網(wǎng)用戶提供隱私保護(hù)??蓪?shí)現(xiàn)對(duì)內(nèi)部服務(wù)器的負(fù)載均衡。缺點(diǎn):網(wǎng)絡(luò)監(jiān)控難度加大。限制某些具體應(yīng)用。NAT的優(yōu)點(diǎn)與缺點(diǎn)優(yōu)點(diǎn):NAT技術(shù)的基本原理NAT技術(shù)通過對(duì)IP報(bào)文頭中的源地址或目的地址進(jìn)行轉(zhuǎn)換,可以使大量的私網(wǎng)IP地址通過共享少量的公網(wǎng)IP地址來訪問公網(wǎng)。內(nèi)網(wǎng)用戶FTPServer將私網(wǎng)源地址替換為公網(wǎng)地址將公網(wǎng)目的地址替換為私網(wǎng)地址目的IP:源IP:目的IP:源IP:目的IP:源IP:目的IP:源IP:NAT技術(shù)的基本原理NAT技術(shù)通過對(duì)IP報(bào)文頭中的源地址或目NAT分類源NAT地址池方式出接口地址方式(EasyIP)服務(wù)器映射靜態(tài)映射(NATserver)NAT分類源NAT地址池方式服務(wù)器映射靜態(tài)映射(NATse網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT技術(shù)服務(wù)器映射NAT應(yīng)用場景網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT地址池方式(1)不帶端口轉(zhuǎn)換的地址池方式。此種方式為一對(duì)一的IP地址的轉(zhuǎn)換,端口不進(jìn)行轉(zhuǎn)換。丟棄Untrust轉(zhuǎn)換Trust源

目的源1目的源NAT地址池方式(1)不帶端口轉(zhuǎn)換的地址池方式。192.源NAT地址池方式(2)帶端口轉(zhuǎn)換的地址池方式。將不同的內(nèi)部地址映射到同一公有地址的不同端口號(hào)上,實(shí)現(xiàn)多對(duì)一地址轉(zhuǎn)換。:7111:7112:7113Untrust轉(zhuǎn)換Trust源1源端口X

目的源源端口Y目的源NAT地址池方式(2)帶端口轉(zhuǎn)換的地址池方式。192.1EasyIP出接口地址方式(EasyIP)。:7111:7112:7113源1目的源

目的Untrust轉(zhuǎn)換TrustEasyIP出接口地址方式(EasyIP)。192.16NATALG

NAT

ALG(ApplicationLevelGateway,應(yīng)用級(jí)網(wǎng)關(guān))是特定的應(yīng)用協(xié)議的轉(zhuǎn)換代理,可以完成應(yīng)用層數(shù)據(jù)中攜帶的地址及端口號(hào)信息的轉(zhuǎn)換。以太網(wǎng)首部IP首部TCP首部應(yīng)用數(shù)據(jù)以太網(wǎng)尾部NAT可以轉(zhuǎn)換的部分﹖NATALGNATALG(ApplicationLeNATALG實(shí)現(xiàn)原理FTP主動(dòng)模式下的NATALG應(yīng)用。私網(wǎng)公網(wǎng)HostNATALG

<------>1FTPServerHost與FTPServer之間建立控制連接發(fā)送PORT報(bào)文(,1084)ALG處理PORT報(bào)文載荷已被轉(zhuǎn)換(1,

12487)FTPServer向Host發(fā)起數(shù)據(jù)連接(,

30041,12487)FTPServer向Host發(fā)起數(shù)據(jù)連接(,

3004,1084)在已經(jīng)建立的數(shù)據(jù)連接上進(jìn)行數(shù)據(jù)傳輸NATALG實(shí)現(xiàn)原理FTP主動(dòng)模式下的NATALG應(yīng)用。網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT技術(shù)服務(wù)器映射NAT應(yīng)用場景網(wǎng)絡(luò)地址轉(zhuǎn)換原理NATServer-內(nèi)部服務(wù)器內(nèi)部服務(wù)器(NatServer)功能是使用一個(gè)公網(wǎng)地址來代表內(nèi)部服務(wù)器對(duì)外地址。在防火墻上,專門為內(nèi)部的服務(wù)器配置一個(gè)對(duì)外的公網(wǎng)地址來代表私網(wǎng)地址。對(duì)于外網(wǎng)用戶來說,防火墻上配置的外網(wǎng)地址就是服務(wù)器的地址。DMZuntrust公網(wǎng)地址真正的地址WWW服務(wù)器外網(wǎng)用戶轉(zhuǎn)換源IP地址目的源IP地址目的NATServer-內(nèi)部服務(wù)器內(nèi)部服務(wù)器(NatSeNATServer與ServerMap表(1)配置NATServer時(shí),設(shè)備會(huì)自動(dòng)生成Server-map表項(xiàng),用于存放Global地址與Inside地址的映射關(guān)系。舉例:servermap表項(xiàng)IP協(xié)議承載的協(xié)議類型轉(zhuǎn)換后的公網(wǎng)地址內(nèi)部server實(shí)際地址[NGFW]natserverserver1protocoltcpglobalinsideType:NatServer,ANY->:21[:21],Zone:---,protocol:tcpVpn:public-->publicType:NatServerReverse,[]->ANY,Zone:---,protocol:tcpVpn:public-->public,counter:1NATServer與ServerMap表(1)配置NANATServer與ServerMap表(2)指定no-reverse參數(shù)后,設(shè)備生成的Server-map表只有正方向。舉例:servermap表項(xiàng)[NGFW]natserverserver1protocoltcpglobalinside

no-reverseType:NatServer,ANY->[],Zone:---,protocol:tcpVpn:public->publicNATServer與ServerMap表(2)指定no網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT技術(shù)服務(wù)器映射NAT應(yīng)用場景網(wǎng)絡(luò)地址轉(zhuǎn)換原理NAT典型應(yīng)用場景配置舉例應(yīng)用場景分析源應(yīng)用NATServer應(yīng)用DMZ區(qū)域Untrust區(qū)域Trust區(qū)域192.168.0.1/24/29/24NAT典型應(yīng)用場景配置舉例應(yīng)用場景分析DMZ區(qū)域Untru防火墻源NAT配置(WEB)配置NAT地址池。防火墻源NAT配置(WEB)配置NAT地址池。防火墻源NAT配置(WEB)配置源NAT策略。在本例中是為了實(shí)現(xiàn)trust區(qū)域的用戶訪問untrust區(qū)域internet的資源,因此源安全區(qū)域?yàn)閠rust,目的安全區(qū)域?yàn)閡ntrust。選擇配置的地址池防火墻源NAT配置(WEB)配置源NAT策略。在本例中是為防火墻NATServer配置(WEB)配置內(nèi)部Web和FTP服務(wù)器。外部地址和內(nèi)部地址,外部地址為供外部用戶訪問的公網(wǎng)IP地址,內(nèi)部地址為局域網(wǎng)服務(wù)器地址。防火墻NATServer配置(WEB)配置內(nèi)部Web和F防火墻NATServer配置(WEB)配置域間安全轉(zhuǎn)發(fā)策略。HTTP服務(wù)器配置類似。防火墻NATServer配置(WEB)配置域間安全轉(zhuǎn)發(fā)策防火墻源NAT配置(CLI)配置域間訪問規(guī)則。指定源地址為網(wǎng)段。(具體配置步驟省略)配置地址池。配置源NAT策略。[NGFW]nataddress-group1[NGFW-nat-address-group-1]section[NGFW]nat-policy[NGFW-policy-nat]rulenamenat1[NGFW-policy-nat-rule-nat1]source-zonetrust[NGFW-policy-nat-rule-nat1]destination-zoneuntrust[NGFW-policy-nat-rule-nat1]source-address24[NGFW-policy-nat-rule-nat1]actionnataddress-group1防火墻源NAT配置(CLI)配置域間訪問規(guī)則。[NGFW防火墻NATServer配置(CLI)配置內(nèi)部Web和FTP服務(wù)器。配置域間包過濾規(guī)則。[USG]natserverwwwserverprotocoltcpglobal80inside8080[USG]natserverftpserverprotocoltcpglobalftpinsideftp[USG]security-policy[USG-policy-security]rulenamep1[USG-policy-security-rule-p1]source-zoneuntrust[USG-policy-security-rule-p1]destination-zonedmz[USG-policy-security-rule-p1]destination-address32[USG-policy-security-rule-p1]servicehttp[USG-policy-security-rule-p1]actionpermit[USG-policy-security]rulenamep2[USG-policy-security-rule-p2]source-zoneuntrust[USG-policy-security-rule-p2]destination-zonedmz[USG-policy-security-rule-p2]destination-address32[USG-policy-security-rule-p2]serviceftp[USG-policy-security-rule-p2]actionpermit防火墻NATServer配置(CLI)配置內(nèi)部Web和F雙向NAT技術(shù)雙向NAT兩種應(yīng)用場景:NATServer+源NAT域內(nèi)NAT雙向NAT技術(shù)雙向NAT兩種應(yīng)用場景:域間雙向NAT為了簡化配置服務(wù)器至公網(wǎng)的路由,可在NATServer基礎(chǔ)上,增加源NAT配置。DMZUntrust源NAT私網(wǎng)IP地址Internet用戶內(nèi)網(wǎng)服務(wù)器真正IP地址對(duì)外公網(wǎng)地址域間雙向NAT為了簡化配置服務(wù)器至公網(wǎng)的路由,可在NATS域內(nèi)雙向NAT防火墻將用戶的請(qǐng)求報(bào)文的目的地址轉(zhuǎn)換成FTP服務(wù)器的內(nèi)網(wǎng)IP地址,源地址轉(zhuǎn)換成用戶對(duì)外公布的IP地址。防火墻將FTP服務(wù)器回應(yīng)報(bào)文的源地址轉(zhuǎn)換成對(duì)外公布的地址,目的地址轉(zhuǎn)換成用戶的內(nèi)網(wǎng)IP地址。Trust域服務(wù)器公網(wǎng)地址用戶公網(wǎng)地址內(nèi)網(wǎng)用戶服務(wù)器域內(nèi)雙向NAT防火墻將用戶的請(qǐng)求報(bào)文的目的地址轉(zhuǎn)換成FTP服以下哪些選項(xiàng)是NAT技術(shù)產(chǎn)生的原因()IP地址資源不足保護(hù)內(nèi)網(wǎng)服務(wù)器真實(shí)的IP地址某些特定的業(yè)務(wù)需要便于對(duì)設(shè)備進(jìn)行管理以下哪些選項(xiàng)是NAT技術(shù)產(chǎn)生的原因()NAT的技術(shù)原理NAT幾種應(yīng)用方式防火墻NAT典型場景配置NAT的技術(shù)原理信息安全技術(shù)(HCIA-Security)-第七次課-網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)介紹課件網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)學(xué)完本課程后,您將能夠:了解NAT的應(yīng)用場景掌握NAT的技術(shù)原理掌握防火墻的NAT配置學(xué)完本課程后,您將能夠:網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT技術(shù)服務(wù)器映射NAT應(yīng)用場景網(wǎng)絡(luò)地址轉(zhuǎn)換原理NAT產(chǎn)生背景IPv4地址日漸枯竭;IPv6技術(shù)不能立即大面積替換;各種延長IPv4壽命的技術(shù)不斷出現(xiàn),NAT就是其中之一。NAT產(chǎn)生背景IPv4地址日漸枯竭;NAT的優(yōu)點(diǎn)與缺點(diǎn)優(yōu)點(diǎn):實(shí)現(xiàn)IP地址復(fù)用,節(jié)約寶貴的地址資源。地址轉(zhuǎn)換過程對(duì)用戶透明。對(duì)內(nèi)網(wǎng)用戶提供隱私保護(hù)??蓪?shí)現(xiàn)對(duì)內(nèi)部服務(wù)器的負(fù)載均衡。缺點(diǎn):網(wǎng)絡(luò)監(jiān)控難度加大。限制某些具體應(yīng)用。NAT的優(yōu)點(diǎn)與缺點(diǎn)優(yōu)點(diǎn):NAT技術(shù)的基本原理NAT技術(shù)通過對(duì)IP報(bào)文頭中的源地址或目的地址進(jìn)行轉(zhuǎn)換,可以使大量的私網(wǎng)IP地址通過共享少量的公網(wǎng)IP地址來訪問公網(wǎng)。內(nèi)網(wǎng)用戶FTPServer將私網(wǎng)源地址替換為公網(wǎng)地址將公網(wǎng)目的地址替換為私網(wǎng)地址目的IP:源IP:目的IP:源IP:目的IP:源IP:目的IP:源IP:NAT技術(shù)的基本原理NAT技術(shù)通過對(duì)IP報(bào)文頭中的源地址或目NAT分類源NAT地址池方式出接口地址方式(EasyIP)服務(wù)器映射靜態(tài)映射(NATserver)NAT分類源NAT地址池方式服務(wù)器映射靜態(tài)映射(NATse網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT技術(shù)服務(wù)器映射NAT應(yīng)用場景網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT地址池方式(1)不帶端口轉(zhuǎn)換的地址池方式。此種方式為一對(duì)一的IP地址的轉(zhuǎn)換,端口不進(jìn)行轉(zhuǎn)換。丟棄Untrust轉(zhuǎn)換Trust源

目的源1目的源NAT地址池方式(1)不帶端口轉(zhuǎn)換的地址池方式。192.源NAT地址池方式(2)帶端口轉(zhuǎn)換的地址池方式。將不同的內(nèi)部地址映射到同一公有地址的不同端口號(hào)上,實(shí)現(xiàn)多對(duì)一地址轉(zhuǎn)換。:7111:7112:7113Untrust轉(zhuǎn)換Trust源1源端口X

目的源源端口Y目的源NAT地址池方式(2)帶端口轉(zhuǎn)換的地址池方式。192.1EasyIP出接口地址方式(EasyIP)。:7111:7112:7113源1目的源

目的Untrust轉(zhuǎn)換TrustEasyIP出接口地址方式(EasyIP)。192.16NATALG

NAT

ALG(ApplicationLevelGateway,應(yīng)用級(jí)網(wǎng)關(guān))是特定的應(yīng)用協(xié)議的轉(zhuǎn)換代理,可以完成應(yīng)用層數(shù)據(jù)中攜帶的地址及端口號(hào)信息的轉(zhuǎn)換。以太網(wǎng)首部IP首部TCP首部應(yīng)用數(shù)據(jù)以太網(wǎng)尾部NAT可以轉(zhuǎn)換的部分﹖NATALGNATALG(ApplicationLeNATALG實(shí)現(xiàn)原理FTP主動(dòng)模式下的NATALG應(yīng)用。私網(wǎng)公網(wǎng)HostNATALG

<------>1FTPServerHost與FTPServer之間建立控制連接發(fā)送PORT報(bào)文(,1084)ALG處理PORT報(bào)文載荷已被轉(zhuǎn)換(1,

12487)FTPServer向Host發(fā)起數(shù)據(jù)連接(,

30041,12487)FTPServer向Host發(fā)起數(shù)據(jù)連接(,

3004,1084)在已經(jīng)建立的數(shù)據(jù)連接上進(jìn)行數(shù)據(jù)傳輸NATALG實(shí)現(xiàn)原理FTP主動(dòng)模式下的NATALG應(yīng)用。網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT技術(shù)服務(wù)器映射NAT應(yīng)用場景網(wǎng)絡(luò)地址轉(zhuǎn)換原理NATServer-內(nèi)部服務(wù)器內(nèi)部服務(wù)器(NatServer)功能是使用一個(gè)公網(wǎng)地址來代表內(nèi)部服務(wù)器對(duì)外地址。在防火墻上,專門為內(nèi)部的服務(wù)器配置一個(gè)對(duì)外的公網(wǎng)地址來代表私網(wǎng)地址。對(duì)于外網(wǎng)用戶來說,防火墻上配置的外網(wǎng)地址就是服務(wù)器的地址。DMZuntrust公網(wǎng)地址真正的地址WWW服務(wù)器外網(wǎng)用戶轉(zhuǎn)換源IP地址目的源IP地址目的NATServer-內(nèi)部服務(wù)器內(nèi)部服務(wù)器(NatSeNATServer與ServerMap表(1)配置NATServer時(shí),設(shè)備會(huì)自動(dòng)生成Server-map表項(xiàng),用于存放Global地址與Inside地址的映射關(guān)系。舉例:servermap表項(xiàng)IP協(xié)議承載的協(xié)議類型轉(zhuǎn)換后的公網(wǎng)地址內(nèi)部server實(shí)際地址[NGFW]natserverserver1protocoltcpglobalinsideType:NatServer,ANY->:21[:21],Zone:---,protocol:tcpVpn:public-->publicType:NatServerReverse,[]->ANY,Zone:---,protocol:tcpVpn:public-->public,counter:1NATServer與ServerMap表(1)配置NANATServer與ServerMap表(2)指定no-reverse參數(shù)后,設(shè)備生成的Server-map表只有正方向。舉例:servermap表項(xiàng)[NGFW]natserverserver1protocoltcpglobalinside

no-reverseType:NatServer,ANY->[],Zone:---,protocol:tcpVpn:public->publicNATServer與ServerMap表(2)指定no網(wǎng)絡(luò)地址轉(zhuǎn)換原理源NAT技術(shù)服務(wù)器映射NAT應(yīng)用場景網(wǎng)絡(luò)地址轉(zhuǎn)換原理NAT典型應(yīng)用場景配置舉例應(yīng)用場景分析源應(yīng)用NATServer應(yīng)用DMZ區(qū)域Untrust區(qū)域Trust區(qū)域192.168.0.1/24/29/24NAT典型應(yīng)用場景配置舉例應(yīng)用場景分析DMZ區(qū)域Untru防火墻源NAT配置(WEB)配置NAT地址池。防火墻源NAT配置(WEB)配置NAT地址池。防火墻源NAT配置(WEB)配置源NAT策略。在本例中是為了實(shí)現(xiàn)trust區(qū)域的用戶訪問untrust區(qū)域internet的資源,因此源安全區(qū)域?yàn)閠rust,目的安全區(qū)域?yàn)閡ntrust。選擇配置的地址池防火墻源NAT配置(WEB)配置源NAT策略。在本例中是為防火墻NATServer配置(WEB)配置內(nèi)部Web和FTP服務(wù)器。外部地址和內(nèi)部地址,外部地址為供外部用戶訪問的公網(wǎng)IP地址,內(nèi)部地址為局域網(wǎng)服務(wù)器地址。防火墻NATServer配置(WEB)配置內(nèi)部Web和F防火墻NATServer配置(WEB)配置域間安全轉(zhuǎn)發(fā)策略。HTTP服務(wù)器配置類似。防火墻NATServer配置(WEB)配置域間安全轉(zhuǎn)發(fā)策防火墻源NAT配置(CLI)配置域間訪問規(guī)則。指定源地址為網(wǎng)段。(具體配置步驟省略)配置地址池。配置源NAT策略。[NGFW]nataddress-group1[NGFW-nat-address-group-1]section[NGFW]nat-policy[NGFW-policy-nat]rulenamenat1[NGFW-policy-nat-rule-nat1]source-zonetrust[NGFW-policy-nat-rule-nat1]destination-zoneuntrust[NGFW-policy-nat-rule-nat1]source-address24[NGFW-policy-nat-rule-nat1]actionnataddress-group1防火墻源NAT配置(CLI)配置域間訪問規(guī)則。[NGFW防火墻NATServer配置(CLI)配置內(nèi)部Web和FTP服務(wù)器。配置域間包過濾規(guī)則。[USG]natserverwwwserverprotocoltcpglobal80inside8080[USG]natserverftpserverprotocoltcpglobalftpinsideftp[USG]security-policy[USG-policy-security]rulenamep1[USG-policy-security-rule-p1]source-zoneuntrust[USG-policy-security-rule-p1]destination-zonedmz[USG-policy-security-rule-p1]destination-address

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論