当前位置: 首页 > news >正文

华为NAT ALG技术的实现

双向NAT技术:经过防火墙的2报文源IP地址和目的IP地址都同时被转换,外网发送报文给内网服务器,先转换目的IP地址,然后符合安全策略后,在替换源IP地址,然后将记录写入防火墙会话表,并发送出报文;回送的报文匹配到会话表后,改回地址然后发出;

NAT ALG与NAT server介绍:

NAT ALG应用级网关application level gateway:可以完成应用层数据的IP地址和端口转换;对多通道协议进行应用层报文信息的解析与转换,将报文载荷中地址和端口号进行处理;

比如FTP数据连接的建立由控制连接的载荷字段信息决定,需要ALG处理;、

aspf是根据应用层IP地址和端口号创建相应的server-map表,实现包过滤;

ip首部源IP地址和目的IP地址各32位,TCP首部源IP地址和目的IP地址各16位;

NAT ALG实现原理:

952232e7f81447d6bfbdb26b53ecc5c5.png

NAT server:静态映射;转换报文目的IP地址;

因为当2外网访问内网时候,自身IP地址不确定,只有内网目的主机的确定;

配置NAT Server成功后,设备自动生成server-map表项,存放转换前后地址映射关系;

当外网用户首次访问内网目的主机,防火墙先在server-map表查找向,然后转化目的地址,自身建立一个会话表记录,之后发到目的主机。目的主机回送的报文经过防火墙时候查找会话表完成转换回去(目的地址逆转换),后序外网用户继续发送时候,经过防火墙直接根据会话表记录即可;

如图,服务器位于私网:

e28b856fc0e743fd8281a82b77b96038.png

防火墙加入安全区域:

防火墙中:

firewall zone DMZ

add interface GigabitEthernet 0/0/0

quit

firewall zone untrust

add interface GigabitEthernet 1/0/0

quit

security-policy

rule name policy1

source-zone untrust:配置安全策略

destination-address 10.2.0.0 24

action permit

quit

destination-nat address-group group1

section 10.2.0.7 10.2.0.8

quit

配置NAT server:进入防火墙中

nat server policy-ftp protocol tcp global1.1.1.10 ftp inside10.2.0.8 unr-route

开启FTP的NAT ALG功能:

firewall interzone dmz untrust

detect ftp

quit

配置缺省路由:

ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

如果NAT SERVER de1global地址与公网接口地址不在同网段,配置黑洞路由,如果相同则不需要;

 


http://www.mrgr.cn/news/36994.html

相关文章:

  • 鸿蒙开发(NEXT/API 12)【硬件(取消注册智慧出行连接状态的监听)】车载系统
  • 【Java】字符串处理 —— String、StringBuffer 与 StringBuilder
  • 找到你的工具!5款免费可视化报表工具对比分析
  • 什么是 Servlet? 它的主要用途是什么?
  • 行情叠加量化,占据市场先机!
  • WAF,全称Web Application Firewall,好用WAF推荐
  • UGUI动态元素大小的滑动无限列表
  • 哈希表(一)
  • 【Python语言初识(五)】
  • 828华为云征文|使用Flexus X实例安装宝塔面板教学
  • (二)Optional
  • 数据结构编程实践20讲(Python版)—02链表
  • Shell脚本基础——实训项目任务
  • 超详细的 pytest教程 之前后置方法和 fixture 机制
  • 【C++】入门基础知识-1
  • 如何从huggingface下载
  • 循环神经网络笔记
  • linux常用命令(cheng)
  • C++学习笔记(45)
  • C++(string字符串、函数)