《计算机网络安全防护技术（第二版）》 课件 第2章-任务2.4 安全区域间通过NAT访问

第2章

防火墙技术与入侵防御技术任务2.4安全区域间通过NAT访问编著：

秦燊劳翠金

计算机网络中的防火墙可以将不安全的网络与需要保护的网络隔离开，并根据安全策略控制进出网络的数据和信息。如果把防火墙看作门卫，入侵检测或入侵防御系统（IDS或IPS）则可看作监视器，它可以时刻监视网络中是否有异常流量并及时阻断，进一步保护网络的安全。

本章以思科ASAv为例，介绍防火墙的基本操作与应用，以及简单IDS功能。本章案例拓扑如图2-0-1所示。图2-0-1防火墙技术实验拓扑图

为了提高企业网络的安全性，引入了ASAv，并将网络划分成受信任的内网区域、对外提供服务的DMZ区域，不受信任的外网区域。其中OA、ERP、财务系统等仅供内部用户使用的服务器放在受信息的企业内网中，对外提供服务的WEB服务器放在停火区（DMZ区域）中，内网用户通过PAT动态地址转换隐藏内部地址、访问DMZ区域中的服务器和外网的服务器，DMZ区域的服务器通过NAT静态地址转换供外网访问。内网用户使用外网ISP提供的DNS服务。通过开启IDS功能监控和阻断网络中的异常流量。为实现这些功能，需要对ASAv进行以下基本配置：1.配置接口，ping通ASAv。ping能到达防火墙，但不能穿越防火墙。2.配置图形界面配置管理ASAv、配置远程管理接入、配置主机名、域名、密码。3.配置各设备的路由表。4.配置NAT。（1）使内网用户能访问外网的网站；（2）使内网用户能访问DMZ区域的网站；（3）使外网用户能访问DMZ区域的网站。5.配置ACL和Policy-map。（1）控制内网-的主机只能访问域名末尾是的网站；（2）禁止内网的所有主机访问域名末尾是的网站。6.配置ASAv的入侵检测功能。任务2.4安全区域间通过NAT访问

NAT是一种网络地址转换技术，分为静态NAT、动态NAT、PAT等。静态NAT可实现内部地址与外部地址的一对一转换，可用于服务器对外提供服务，同时对外隐藏内部地址。PAT（PortAddressTranslation）也称为NAPT（NetworkAddressPortTranslation），可实现内网多台主机共用一个外部地址访问其它区域，不同主机的区分通过分配不同的端口号来实现，对其他区域隐藏主机的内部地址，避免来自其它区域的攻击。下面首先介绍如何在防火墙上配置PAT，实现内网访问停火区（DMZ）的WEB服务、外网的WEB服务和外网的DNS服务。然后介绍如何配置静态NAT，实现外网用户访问停火区（DMZ）的WEB服务。具体任务如下：1.在DMZ区域的win2003服务器上安装WEB服务（IIS）。通过配置IIS，创建一个网站，为该网站新建首页。2.在防火墙上配置PAT，实现内网主机对停火区（DMZ）的WEB服务的访问，对停火区隐藏主机的内部地址。3.在外网的win2003服务器上安装DNS服务和WEB服务（IIS）。通过配置DNS服务，实现对域名和的解释，让它们都指向外网的WEB服务器。通过配置IIS，创建两个网站，分别是和，为这两个网站新建首页。4.在防火墙上配置PAT，实现内网主机对外网两个网站和的访问，访问时对外隐藏主机的内部地址。5.在防火墙上配置静态NAT，实现外网对停火区（DMZ）的WEB服务的访问，访问的地址是经过NAT转换后的停火区WEB服务器的外部地址，对外隐藏WEB服务器的内部地址。具体配置如下：一、在停火区（DMZ）架设WEB服务器1.在DMZ区域的win2003服务器上安装WEB服务（IIS）。配置IIS，先停用默认网站，再创建一个新网站，为该网站新建首页。2.在服务器的浏览器上输入“/”测试，网站可正常访问。二、内网通过网络地址转换（NAT）实现对DMZ服务器的访问在防火墙上配置PAT，实现内网主机对停火区（DMZ）的WEB服务的访问，并隐藏主机的内部地址。1.通过图形界面为防火墙配置PAT的方法如下：（1）如图2-4-1所示，在网络管理员的win7电脑上，登录进入ASAv的ASDM图形配置界面，找到Configuation>Firewall>NATRules，点击“Add”按钮。在弹出的对话框中，OriginalPacket栏的SourceInterface选择“Inside”，DestinationInterface选择“DMZ”，TranslatedPacket栏的SourceNATType选“DynamicPAT(Hide)”，SourceAddress选“DMZ”，点击“OK”按钮，点击“Apply”按钮。图2-4-1图形界面中为防火墙配置PAT2.与图形界面配置PAT相同功能的命令如下：objectnetworkinside_dmzrange0010objectnetworkinside_1subnetnat(Inside,DMZ)dynamicpat-poolinside_dmz3.内网访问停火区（DMZ）所需的路由配置（1）内网路由器的路由表中没有DMZ的网段信息，可通过给内网路由器配置默认路由，下一跳指向防火墙，由防火墙负责进一步的转发。命令如下：R_Inside(config)#iproute54（2）之前的配置已经使防火墙的路由表认识了内网、外网和停火区（DMZ）的所有网段，防火墙无需再作路由配置。（3）内网电脑的地址到达停火区时，已经被转换成停火区网段的地址，所以停火区路由器的路由表无需认识内网地址，也无需再作路由配置。4.在内网电脑的浏览器中，输入进行测试，结果是内网可以访问DMZ区域的网站。三、在外网的win2003服务器上安装DNS服务和WEB服务（IIS）。通过配置DNS服务，实现对域名和的解释，让它们都指向外网的WEB服务器。通过配置IIS，创建两个网站，分别是和，为这两个网站新建首页。在服务器自身的浏览器中，输入进行测试，结果是可以访问网站。输入进行测试，结果是可以访问网站。四、在防火墙上配置PAT，实现内网主机对外网两个网站和的访问，访问时对外隐藏主机的内部地址。方法可参看图2-4-1所示用PAT实现的对DMZ服务器的访问。同样也可以通过命令实现，具体命令如下：objectnetworkinside_dmzrange0010objectnetworkinside_2subnetnat(Inside,Outside)dynamicinterface因为沿途设备的路由表已经具备所需路由条目，所以在内网电脑的浏览器中，输入进行测试，结果是内网可以访问外网的网站。在内网电脑的浏览器中，输入进行测试，结果是内网可以访问外网的网站。五、在防火墙上配置静态NAT，实现外网对停火区（DMZ）的WEB服务的访问，访问时访问的是停火区（DMZ）的WEB服务器经过NAT转换后的外部地址，而隐藏了WEB服务器的内部地址。1.通过图形界面为防火墙配置静态NAT的方法，请读者参考前例实现。2.通过命令配置的方法，可在ASAv防火墙上，输入以下命令实现：objectnetworkDMZ_Serverhostnat(DMZ,Outside)static3.通过在ASAv防火墙上配置ACL，允许外网访问停火区的WEB服务，命令如下：access-listOutside_DMZextendedpermittcpanyobjectDMZ_Servereqwwwaccess-groupOutside_DMZininterfaceOutside4.沿途设备所需的路由配置，思路如下：（1）停火区（DMZ）路由器的路由表中没有外网的网段信息，可通过给停火区（DMZ）路由器配置默认路由，下一跳指向防火墙，由防火墙负责进一步的转发。命令如下：R_DMZ(config)#iproute54