防火墙地址转换教案

地址转换在一般情况下，企业拥有的公有合法IP地址十分有限。所以，在企业内网中，一般使用私有IP地址。为了解决通过私有IP地址访问公网（Internet）的问题，和隐藏内部网络拓扑及真实IP的需要，地址转换技术（NetworkAddressTranslation,NAT）经常会被应用到位于网络出口的路由设备，如防火墙上。基于地址对象的源地址转换网络卫士防火墙的防火墙模块的源地址转换策略支持基于地址资源的源地址转换，可转换的地址资源包括单个主机、主机地址范围和子网，对源地址可以进行的转换方式有：将源地址固定映射为某一合法IP地址和将源地址动态映射某一网段或某一地址范围的地址。基本需求网络卫士防火墙的接口Eth0连接企业内网，内网为/24，Eth0的IP地址为；Eth1连接外网，Eth1的IP地址为。企业可用的公网IP地址范围为-0，网络拓扑结构的示意图如下所示。图20基于地址资源的源地址转换示意图配置要点定义内网地址资源，可定义的地址资源包括主机地址资源、范围地址资源、子网地址资源、区域和VLAN。定义要转换的公网地址资源。定义源地址转换策略。WebUI配置步骤1）选择资源管理>区域，点击“添加”，定义区域资源。设置内网区域area_eth0与属性eth0绑定且禁止访问。外网区域area_eth1与属性eth1绑定且允许访问。2）定义内部地址资源，选择资源管理>地址，并选择相应页签，点击“添加”可以定义主机地址资源、地址范围资源和子网地址资源。a）定义NAT主机资源：选择“子网”页签，点击“添加”。b）定义NAT地址池：选择“范围”页签，点击“添加”。3）定义NAT地址转换策略。选择防火墙>地址转换，点击右上角“添加”，进入NAT规则配置界面，如下图所示，选择“源转换”选项设定源地址转换策略。点击“源”页签，添加NAT规则的源，内部地址资源：子网100.X。如下图所示。b）点击“目的”页签添加NAT规则的目的，外网区域：area_eth1。c）设置源地址转换为地址池中地址的转换规则，设置为范围地址资源nat-pool。也可以设置转换为固定地址对象的转换规则。配置完成。需要注意的是，系统默认情况下，在源地址转换同时也会转换源端口。只有在上图中选择“源端口不作转换”时，数据包在经过防火墙时不改变源端口。CLI配置步骤1）定义区域资源#defineareaaddnamearea_eth1accessonattributeeth1#defineareaaddnamearea_eth0accessoffattributeeth02）定义内网地址资源#definesubnetaddname子网100.xipaddrmask3）定义NAT地址池资源#definerangeaddnamenat-poolip1ip204）定义NAT地址转换规则在地址池中动态选择转换后的IP#natpolicyaddsrcareaarea_eth0orig_src子网100.xdstareaarea-eth1trans_srcnat-poolenableyes注意事项系统默认情况下，在源地址转换同时也会转换源端口。基于属性的源地址转换基本需求当使用网络卫士防火墙的某一接口拨号接入ADSL，或者将某一接口作为DHCP客户端时，此时，接口连接外网并且由ISP或DHCP服务器动态分配IP地址，即接口IP地址不固定。当内网用户需要通过此接口访问外网时，可以对接口进行属性绑定，在定义地址转换规则时将转换后地址设定为这些属性的名称。地址转换时系统会自动将内网地址转换为属性所绑定的接口的当前地址。图21基于属性的源地址转换示意图本例中网络卫士防火墙的Eth1连接外网，为DHCP客户端，需要DHCP服务器动态分配IP地址。Eth0的IP地址为，连接内网/24。内网用户通过Eth1访问外网。配置要点定义区域资源。定义属性资源。为接口绑定属性。定义基于属性的源地址转换策略。WebUI配置步骤1）定义区域资源area_eth0、area_eth1。选择资源管理>区域，点击“添加”。设置完成后界面如下图2）定义属性资源，选择资源管理>属性，点击“添加新属性”。3）通过CLI界面为接口eth1绑定属性#networkinterfaceeth1attributeaddDHCP4）定义源地址转换策略，选择防火墙>地址转换，点击“添加”，进入NAT规则配置界面，如下图所示，选择“源转换”选项设定源地址转换策略。a）点击“源”页签，选择源区域：area_eth0。b）点击“目的”页签添加NAT规则的目的区域：area_eth1。c）设置转换地址，源地址转换为：DHCP[属性]。配置完成。以上配置完成后，用户还需要在eth1口启动DHCP客户端的功能，具体操作请参见防火墙作为DHCP客户端的相关案例。CLI配置步骤1）定义区域资源#defineareaaddnamearea_eth0accessonattributeeth0#defineareaaddnamearea_eth1accessonattributeeth12）定义属性资源。#networkattributeaddnameDHCP3）为接口绑定属性#networkinterfaceeth1attributeaddDHCP4）定义源地址转换策略#natpolicyaddsrcareaarea_eth0dstareaarea_eth1trans_srcDHCPenableyes注意事项1）网络卫士防火墙的内网用户当通过ADSL访问外网时，必须手工配置源地址转换策略。2）未做接口绑定的属性资源不能作为地址转换规则的转换后地址。3）Eth1作为DHCP客户端的配置方法请参见配置案例“DHCP客户端”。基于IP地址的目的地址转换基本需求由于来自INTERNET的对政府、企业的网络攻击日益频繁，因此需要对内网中向外网提供访问服务的关键设备进行有效保护。采用目的地址NAT可以有效地将内部网络地址对外隐藏。图22基于IP地址的目的地址转换示意图图中：公网Internet用户需要通过防火墙访问WEB服务器，为了隐藏服务器在内网中的真实地址，使用公网地址01作为用户的访问地址。配置要点定义区域资源：area_eth1。定义WEB服务器真实地址对应地址资源。定义WEB服务器的公网虚拟IP地址资源。定义地址转换策略。WebUI配置步骤1）选择资源管理>区域，点击“添加”，定义区域资源。设置内网区域area_eth0与属性eth0绑定且禁止访问。外网区域area_eth1与属性eth1绑定且允许访问2)定义WEB服务器的内网真实地址资源。选择资源管理>地址，选择“主机”页签，点击“添加”，系统出现添加主机资源的页面，如下图所示。3）定义WEB服务器的公网IP地址资源选择资源管理>地址，选择“主机”页签，点击“添加”，系统出现添加主机资源的页面，如下图所示。4）定义目的地址转换策略在导航菜单选择防火墙>地址转换，进入地址转换规则列表界面，点击“添加”进入NAT规则配置界面，如下图所示，选择“目的转换”选项设定目的地址转换策略。a）选择“源”页签，打开“高级”属性设置按钮，添加NAT规则的源，在“选择源AREA”中选择源区域为area_eth1。b）选择“目的”页签添加NAT规则的目的，WEB服务器的公网IP地址资源：MAP_IP。c）选择“服务”页签，选择服务HTTP（TCP：80）。d）设置目的地址转换规则。定义目的地址转换为固定地址的转换规则：设置转换后的地址为WEB_server如下图所示。“启用规则”处选择启用，此为默认选项。“目的地址转换为”中选择WEB_server。“目的端口转换为”由于内网WEB服务器用标准的80端口向外网提供WEB服务，因此选择“不作转换”设置完成后，点击“确定”按钮，完成目的NAT规则设置。CLI配置步骤1）设置区域area_eth1，定义缺省属性为允许访问：#defineareaaddnamearea_eth1accessonattributeeth1设置区域area_eth0，定义缺省属性为禁止访问：#defineareaaddnamearea_eth0accessoffattributeeth02）定义WEB服务器真实地址资源：#definehostaddnameWEB_serveripaddr3）定义WEB服务器公网地址资源#definehostaddnameMAP_IPipaddr014）设置地址转换规则#natpolicyaddsrcareaarea_eth1orig_dstMAP_IPorig_servicehttptrans_dstWEB_server注意事项1）定义地址转换策略在“目的”处，不能指定目的区域或目的VLAN。2）如果WEB服务器提供WEB服务使用的不是标准的80端口，而是自定义的端口号，则定义地址转换策略时，在“目的端口转换为”处应填写服务器的真实应用端口。具体配置方法请参见“基于端口的目的NAT转换”配置案例。基于端口的目的地址转换基本需求采用目的地址NAT可以有效地将内部网络地址对外隐藏，但有些时候服务器开放的应用端口与用户访问时使用的端口（一般为默认端口）可能不同，需要进行端口的地址转换。图23基于端口的目的地址转换示意图如上图，公网Internet用户通过公网地址99:80访问WEB服务器，WEB服务器真实地址为：，提供HTTP服务的端口为8080。配置要点需要配置如下选项：定义区域资源。定义WEB服务器真实地址。定义WEB服务器访问地址。定义WEB服务器真实端口。定义地址转换策略。WebUI配置步骤1）定义区域资源选择资源管理>区域，点击“添加”，分别设置接口Eth0对应的区域为E0，区域权限为“禁止”；接口Eth1对应的区域为E1，设置区域的访问权限为“允许”。2）定义WEB服务器真实地址选择资源管理>地址，并选择“主机”页签，点击“添加”，系统出现添加主机地址资源的页面，如下图所示。3）定义WEB服务器公网访问地址选择资源管理>地址，并选择“主机”页签，点击“添加”，系统出现添加主机地址资源的页面，如下图所示。4）定义服务端口由于WEB服务器提供服务的端口是：8080，不是默认端口，在设置NAT转换规则时需要写明该服务端口。设置自定义服务端口的过程如下：点击资源管理>服务，并选择“自定义服务”页签，进入自定义服务页面。点击右侧“添加”按钮，如图所示。选择类型：TCP，设置名称：Web_port，服务器实际使用的端口：8080。完成后点击“确定”。5）定义端口地址转换策略定义地址转换策略过程如下：选择防火墙>地址转换，进入地址转换规则列表界面，点击“添加”进入NAT规则配置界面，如下图所示，选择“目的转换”选项设定目的地址转换策略。a）点击“源”页签，添加NAT规则的源，在“选择源AREA”中选择E1。b）选择“目的”页签添加NAT规则的目的，WEB服务器的公网IP地址对象：MAP_IP。注意此处目的VLAN和目的AREA均不选。c）选择“服务”页签，选择服务HTTP（TCP：80）。d）在“目的地址转换为”中选择WEB_server[主机]；在“目的端口转换为”中选择Web_port[TCP:8080]。设置完成后，点击“确定”按钮，完成NAT规则添加。CLI配置步骤1）设置E1和E0区域#defineareaaddnameE1accessonattributeeth1#defineareaaddnameE0accessoffattributeeth02）定义WEB服务器真实地址#definehostaddnameWEB_serveripaddr3)定义WEB服务器访问地址#definehostaddnameMAP_IPipaddr994)定义服务端口#defineserviceaddnameWeb_portprotocol6port8080说明：“6”是TCP协议的协议码5)设置地址转换规则#natpolicyaddsrcareaE1orig_dstMAP_IPorig_servicehttptrans_dstWeb_servertrans_serviceWeb_port注意事项1)公网用户访问WEB服务器时使用的是默认端口80，WEB服务器提供服务的端口是8080，因此必须进行目的地址的端口转换。2)如果希望防火墙对访问内容进行深度过滤，需要对应用端口进行绑定操作。因为服务器使用了非标准的端口8080，防火墙不会对报文进行处理，导致不能正确检验数据包。3)在定义目的地址转换规则时，注意不能定义目的AREA和目的VLAN。0C14LI配置步骤1）设置区域E0。#defineareaaddnameE0