信息安全技术（HCIA-Security）（微课版）（第2版） 课件 第7、8章 网络地址转换NAT技术、防火墙双机热备技术

网络地址转换技术网络空间是亿万民众共同的精神家园。网络空间天朗气清、生态良好，符合人民利益;网络空间乌烟瘴气、生态恶化，不符合人民利益。谁都不愿生活在充满虚假、诈骗、攻击、谩骂、恐怖、色情、暴力的网络空间。文字学习雪人计划，中国互联网崛起拓展主题爱国主义、科技强国、技能强国学完本课程后，您将能够:了解NAT的应用场景掌握NAT的技术原理掌握防火墙的NAT配置网络地址转换原理源NAT技术服务器映射NAT应用场景NAT产生背景IPv4地址日渐枯竭；IPv6技术不能立即大面积替换；各种延长IPv4寿命的技术不断出现，NAT就是其中之一。NAT的优点与缺点优点：实现IP地址复用，节约宝贵的地址资源。地址转换过程对用户透明。对内网用户提供隐私保护。可实现对内部服务器的负载均衡。缺点：网络监控难度加大。限制某些具体应用。NAT技术的基本原理NAT技术通过对IP报文头中的源地址或目的地址进行转换，可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网。内网用户FTPServer将私网源地址替换为公网地址将公网目的地址替换为私网地址目的IP：源IP：目的IP：源IP：目的IP：源IP：目的IP：源IP：NAT分类源NAT地址池方式出接口地址方式（EasyIP）服务器映射静态映射（NATserver）网络地址转换原理源NAT技术服务器映射NAT应用场景源NAT地址池方式(1)不带端口转换的地址池方式。此种方式为一对一的IP地址的转换，端口不进行转换。丢弃Untrust转换Trust源

目的源1目的源NAT地址池方式(2)带端口转换的地址池方式。将不同的内部地址映射到同一公有地址的不同端口号上，实现多对一地址转换。：7111：7112：7113Untrust转换Trust源1源端口X

目的源源端口Y目的EasyIP出接口地址方式(EasyIP)。：7111：7112：7113源1目的源

目的Untrust转换TrustNATALG

NAT

ALG（ApplicationLevelGateway，应用级网关）是特定的应用协议的转换代理，可以完成应用层数据中携带的地址及端口号信息的转换。以太网首部IP首部TCP首部应用数据以太网尾部NAT可以转换的部分﹖NATALG实现原理FTP主动模式下的NATALG应用。私网公网HostNATALG

<------>1FTPServerHost与FTPServer之间建立控制连接发送PORT报文（,1084）ALG处理PORT报文载荷已被转换（1,

12487）FTPServer向Host发起数据连接（,

30041,12487）FTPServer向Host发起数据连接（,

3004,1084）在已经建立的数据连接上进行数据传输网络地址转换原理源NAT技术服务器映射NAT应用场景NATServer-内部服务器内部服务器(NatServer)功能是使用一个公网地址来代表内部服务器对外地址。在防火墙上，专门为内部的服务器配置一个对外的公网地址来代表私网地址。对于外网用户来说，防火墙上配置的外网地址就是服务器的地址。DMZuntrust公网地址真正的地址WWW服务器外网用户转换源IP地址目的源IP地址目的NATServer与ServerMap表(1)配置NATServer时，设备会自动生成Server-map表项，用于存放Global地址与Inside地址的映射关系。举例：servermap表项IP协议承载的协议类型转换后的公网地址内部server实际地址[NGFW]natserverserver1protocoltcpglobalinsideType：NatServer,ANY->:21[:21],Zone:---,protocol:tcpVpn:public-->publicType：NatServerReverse,[]->ANY,Zone:---，protocol:tcpVpn:public-->public,counter:1NATServer与ServerMap表(2)指定no-reverse参数后，设备生成的Server-map表只有正方向。举例：servermap表项[NGFW]natserverserver1protocoltcpglobalinsideno-reverseType:NatServer,ANY->[],Zone:---,protocol:tcpVpn:public->public网络地址转换原理源NAT技术服务器映射NAT应用场景NAT典型应用场景配置举例应用场景分析源应用NATServer应用DMZ区域Untrust区域Trust区域192.168.０.1/24/29/24防火墙源NAT配置(WEB)配置NAT地址池。防火墙源NAT配置(WEB)配置源NAT策略。在本例中是为了实现trust区域的用户访问untrust区域internet的资源，因此源安全区域为trust，目的安全区域为untrust。选择配置的地址池防火墙NATServer配置(WEB)配置内部Web和FTP服务器。外部地址和内部地址，外部地址为供外部用户访问的公网IP地址，内部地址为局域网服务器地址。防火墙NATServer配置(WEB)配置域间安全转发策略。HTTP服务器配置类似。防火墙源NAT配置(CLI)配置域间访问规则。指定源地址为网段。（具体配置步骤省略）配置地址池。配置源NAT策略。[NGFW]nataddress-group1[NGFW-nat-address-group-1]section[NGFW]nat-policy[NGFW-policy-nat]rulenamenat1[NGFW-policy-nat-rule-nat1]source-zonetrust[NGFW-policy-nat-rule-nat1]destination-zoneuntrust[NGFW-policy-nat-rule-nat1]source-address24[NGFW-policy-nat-rule-nat1]actionnataddress-group1防火墙NATServer配置(CLI)配置内部Web和FTP服务器。配置域间包过滤规则。[USG]natserverwwwserverprotocoltcpglobal80inside8080[USG]natserverftpserverprotocoltcpglobalftpinsideftp[USG]security-policy[USG-policy-security]rulenamep1[USG-policy-security-rule-p1]source-zoneuntrust[USG-policy-security-rule-p1]destination-zonedmz[USG-policy-security-rule-p1]destination-address32[USG-policy-security-rule-p1]servicehttp[USG-policy-security-rule-p1]actionpermit[USG-policy-security]rulenamep2[USG-policy-security-rule-p2]source-zoneuntrust[USG-policy-security-rule-p2]destination-zonedmz[USG-policy-security-rule-p2]destination-address32[USG-policy-security-rule-p2]serviceftp[USG-policy-security-rule-p2]actionpermit双向NAT技术双向NAT两种应用场景:NATServer+源NAT域内NAT域间双向NAT为了简化配置服务器至公网的路由，可在NATServer基础上，增加源NAT配置。DMZUntrust源NAT私网IP地址Internet用户内网服务器真正IP地址对外公网地址域内双向NAT防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址，源地址转换成用户对外公布的IP地址。防火墙将FTP服务器回应报文的源地址转换成对外公布的地址，目的地址转换成用户的内网IP地址。Trust域服务器公网地址用户公网地址内网用户服务器以下哪些选项是NAT技术产生的原因()IP地址资源不足保护内网服务器真实的IP地址某些特定的业务需要便于对设备进行管理NAT的技术原理NAT几种应用方式防火墙NAT典型场景配置防火墙双机热备技术网上网下要同心聚力、齐抓共管,形成共同防范社会风险、共同构筑同心圆的良好局面。要维护网络空间安全及网络数据的完整性、安全性、可靠性，提高维护网络空间安全能力。文字学习北斗导航：未来世界的眼睛拓展主题爱国主义、科技强国、技能强国学完本课程后，您将能够:掌握双机热备技术原理掌握双机热备基础配置双机热备技术原理双机热备基本组网与配置双机热备技术产生的原因传统的组网方式如图所示，内部用户和外部用户的交互报文全部通过FirewallA。如果FirewallA出现故障，内部网络中所有以FirewallA作为默认网关的主机与外部网络之间的通讯将中断，通讯可靠性无法保证。FirewallA/24PC服务器内部网络/24路由器冗余部署方案路由器组网中通过VRRP协议实现设备冗余：RouterAMasterRouterBBackupRouterCBackup备份组VirtualIPAddressPC服务器内部网络/24VRRP在多区域防火墙组网中的应用为防火墙上多个区域提供双机备份功能时，需要在每一台防火墙上配置多个VRRP备份组。DMZTrustUntrustUSGA/24MasterUSGBBackup/24备份组1VirtualIPAddress备份组2VirtualIPAddress备份组3VirtualIPAddressVRRP在防火墙应用中存在的缺陷传统VRRP方式无法实现主、备用防火墙状态的一致性。USGAMasterUSGBBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)会话表项Server(5)(6)(8)实际连线报文流径(9)VRRP用于防火墙多区域备份为了保证所有VRRP备份组切换的一致性，在VRRP的基础上进行了扩展，推出了VGMP（VRRPGroupManagementProtocol）来弥补此局限。DMZTrustUntrustUSGA/24vUSGB/24备份组2备份组3备份组1VGMP管理组VGMP管理组helloackVGMP基本原理当防火墙上的VGMP为Active/Standby状态时，组内所有VRRP备份组的状态统一为Active/Standby状态。状态为Active的VGMP也会定期向对端发送HELLO报文，通知Standby端本身的运行状态（包括优先级、VRRP成员状态等）。DMZTrustUntrustUSGA/24USGB/24备份组2备份组3备份组1VGMPActiveVGMPStandbyhelloackVGMP组管理状态一致性管理VGMP管理组控制所有的VRRP备份组统一切换。抢占管理当原来出现故障的主设备故障恢复时，其优先级也会恢复，此时可以重新将自己的状态抢占为主。HRP基本概念HRP（HuaweiRedundancyProtocol）协议，用来实现防火墙双机之间动态状态数据和关键配置命令的备份。VRRP组1VRRP组2VRRP组3①②③④⑤UntrustTrustDMZ会话表⑥FWAFWBHRP心跳接口两台FW之间备份的数据是通过心跳口发送和接收的，是通过心跳链路（备份通道）传输的。心跳口必须是状态独立且具有IP地址的接口，可以是一个物理接口（GE接口），也可以是为了增加带宽，由多个物理接口捆绑而成的一个逻辑接口Eth-Trunk。心跳接口的状态HRP心跳接口共有五种状态：InvalidDownPeerdownReadyrunning双机热备的备份方式设备重启后主备FW的配置自动同步会话快速备份自动备份手工批量备份双机热备技术原理双机热备基本组网与配置双机热备基本组网上下行业务接口工作在三层模式，连接二层设备时，需要在上下行的业务接口上配置VRRP备份组，使VGMP管理组能够通过VRRP备份组监测三层业务接口。USG_AMasterUSG_BBackup备份组1VirtualIPAddress/24G1/0/1/24PC1:0/24UntrustTrustG1/0/3/24G1/0/6/24G1/0/6/24G1/0/1/24G1/0/3/24备份组2VirtualIPAddress/24PC2:0/24VRRP备份组配置命令-CLI接口视图下配置VRRP：执行此命令时，指定active或standby参数后，即将该VRRP组加入了VGMP管理组的Active或Standby管理组。每个普通物理接口（GigabitEthernet接口）下最多配置255个VRRP组。vrrpvridvirtual-router-IDvirtual-ipvirtual-address[ip-mask|ip-mask-length]{active|standby}HRP配置命令-CLI指定心跳口启用HRP备份功能启用允许配置备用设备的功能启用命令与状态信息的自动备份启用会话快速备份hrpinterfaceinterface-typeinterface-number[remote{ip-address|ipv6-address}]hrpenablehrpstandbyconfigenablehrpauto-sync[config|connection-status]hrpmirrorsessionenableVRRP配置举例-CLIUSG_A关于VRRP组1配置：USG_B关于VRRP组1的配置：[USG_A]interfaceGigabitEthernet1/0/1[USG_A-GigabitEthernet1/0/1]ipaddress24[USG_A-GigabitEthernet1/0/1]vrrpvrid1virtual-ipactive[USG_B]interfaceGigabitEthernet1/0/1[USG_B-GigabitEthernet1/0/1]ipaddress24[USG_B-GigabitEthernet1/0/1]vrrpvrid1virtual-ipstandbyHRP配置举例-CLIUSG_A关于HRP配置：[USG_A]hrpenable[USG_A]hrpmirrorsessionenable[USG_A]hrpinterfaceGigabitEthernet1/0/6查看VRRP状态-CLI查看处于VRRP备份组中的接口状态信息：HRP_A<USG_A>displayvrrpinterfaceG1/0/3GigabitEthernet1/0/3|VirtualRouter2VRRPGroup:Activestate:ActiveVirtualIP:VirtualMAC:0000-5e00-0102PrimaryIP:PriorityRun:120PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0Adverti