Day1-7-目的NAT配置指导(FW)

1.1.1.3配置概览应用防火墙典型配置案例公开1.1.1目的NAT配置指导1.1.1.1功能简介出于安全考虑，大部分私网主机通常并不希望被公网用户访问。但在某些实际应用中，需要给公网用户提供一个访问私网服务器的机会。而在源NAT方式下，由于由公网用户发起的访问无法动态建立NAT表项，因此公网用户无法访问私网主机。目的NAT（映射内部服务器）方式就可以解决这个问题——通过目的NAT配置“公网IP地址＋端口号”与“私网IP地址＋端口号”间的映射关系，NAT设备可以将公网地址“反向”转换成私网地址。1.1.1.2网络拓扑某互联网主机，通过Internet网络访问某企业内网的一台对外提供服务的服务器（WebServer），通过部署在企业网出口的一台防火墙做目的NAT转换，防火墙出接口IP（地址）+Port（端口）映射企业内网的服务器。②Src:20.0.0.25:XXXXDst:172.16.0.5:8080①Src:20.0.0.25:XXXXDst:20.0.0.5:8888Internet20.0.0.1Gige0_2172.16.0.1/24Gige0_320.0.0.5/24172.16.0.5/24GW:172.16.0.120.0.0.25/24GW:20.0.0.1③Src:172.16.0.5:8080Dst:20.0.0.25:XXXX④Src:20.0.0.5:8888Dst:20.0.0.25:XXXX第1页序号配置功能配置目的1组网配置配置物理接口的参数信息，用于设备管理及业务转发2安全域将设备接口（物理/逻辑）加入到指定安全域，根据域优先级进行安全隔离，实现数据访问控制3静态路由数据报文根据手工配置的目的网段信息，进行路由转发4地址池将可用的公网地址添加到地址池中，在源NAT策略引用后，内应用防火墙典型配置案例公开1.1.1.4详细配置(1)访问：基本网络管理接口管理组网配置，配置接口参数(2)访问：基本网络管理网络对象安全域，配置安全域(3)访问：基本网络管理单播IPv4路由静态路由（配置静态路由），配置静态路由第2页网主机可将源IP地址转换为地址池IP访问互联网5目的NAT互联网主机访问内网服务器，设备将数据报文的目的IP地址转换为内网服务器地址6包过滤策略通过配置安全域、地址对象/组、服务对象/组、生效时间等参数，对指定数据报文进行“通过”、“丢包”及“高级安全业务”的处理7会话日志通过记录NAT日志，可查询NAT前、后的地址及端口信息，便于溯源查询；通过记录会话日志，可查询防火墙设备所建立的会话信息，便于问题排查及数据分析应用防火墙典型配置案例公开(4)访问：基本防火墙NAT（地址池），配置NAT地址池(5)访问：基本防火墙NAT（目的NAT），配置目的NAT说明：目的NAT可对公网IP及服务（端口）、内网IP地址及服务（端口）进行精细化配置，若无特殊需求，使用默认配置即可；当高级配置参数为“缺省配置”，即与公网IP的服务端口一致。注意：如果防火墙部署在VRRP环境下，须开启“关联VRRP”，以确保备防火墙设备的目的NAT功能为禁用状态，且其地址池中的地址不发送ARP报文。(6)访问：基本防火墙包过滤策略（配置包过滤策略），配置包过滤策略。说明：报文匹配包过滤策略的顺序是从上往下依次匹配，可添加Untrust至Trust全部放行策略，也可根据地址、服务、生效时间等选项进行精细化控制。注意：如果在包过滤策略中对目的地址进行精细化控制，此地址应为服务器私网IP。第3页应用防火墙典型配置案例公开(7)访问：基本防火墙会话管理（会话日志配置），配置NAT/会话日志说明：1、Syslog日志类型适用于Syslog服务器，流日志类型（报文内容加密）适用于UMC服务器，以上配置基于UMC统一管理中心；2、负载分担方式是根据权重设置分担比例，将包过滤日志发送到多台日志服务器，全部发送方式是将所有包过滤日志发送到指定服务器；3、日志源IP为设备本地接口地址（物理/逻辑），且可达日志服务器；日志源端口为大于1024且不与设备本地端口冲突。1.1.1.5功能验证外网Host主机（20.0.0.25）可访问公司内网Server服务器（172.16.0.5），并在防火墙会话列表中查询到目的NAT转换过程（WebServer真实开放的端口号为8080，对外网映射的端口号为8888）在使用UMC情况下，可查询会话日志第4页1.1.1.6常见问题应用防火墙典型配置案例公开----------------------------------------------【常见问题1】----------------------------------------------场景1：运营商封堵80端口当前工信息部要求国内多家ISP运营商封堵80端口，若需要使用80端口的服务需要首先向工信部备案然后再申请开通80端口相关服务。在项目实施过程中会遇到从外网登录设备的WEB管理页面（80端口）或映射内网服务器的WEB服务，但是不能打开的情况，经过在设备上查看会话、抓包等对报文进行分析后，确定是运营商封堵所致。解决方案：在运营商申请开通该IP地址（段）的80端口服务。场景2：数据包来回路径不一致当PC访问目的NAT服务器20.0.0.1映射的内网服务器172.16.0.5时，请求的时候根据ISP2运营商路由表，将报文从RT2转发至企业出口FW设备；当数据报文返回时从FW设备转发至RT1设备。由于此数据转发来回路径不一致，建立不了NAT会话，导致数据传输失败，业务不能访问。第5页序号问题描述1外网用户无法通过目的NAT映射策略访问内网服务器2当主机与服务器同处内网时，内网主机无法通过公网映射地址访问服务器3当主机与服务器同处内网时，内网主机无法通过域名访问服务器FW设备路由表RT2设备路由表10.0.0.5应用防火墙典型配置案例公开NATPool:20.0.0.0-20.0.0.3Gige0_3Gige0_2172.16.0.1Gige0_010.0.0.6RT1ISP1Server:172.16.0.5FWGige0_430.0.0.5RT2ISP2PC:20.0.0.25Gige0_030.0.0.6解决方案：开启设备会话转发功能，会使数据在哪个接口进来再在哪个接口转发出去。----------------------------------------------【常见问题2】----------------------------------------------内网主机（172.16.0.5）无法通过公网映射地址（20.0.0.6，地址池地址）访问内网服务器（172.16.0.4）。172.16.0.5/24①GW:172.16.0.1InternetGige0_2172.16.0.1/24Gige0_320.0.0.5/24172.16.0.4/24GW:172.16.0.1阶段①无法建立完整会话，会话状态为“TCPSyn_sent”，访问失败。第6页目的网段掩码下一条出接口20.0.0.0255.255.255.25230.0.0.5Gige0_0……………………目的网段掩码下一条出接口0.0.0.00.0.0.010.0.0.6Gige0_3……………………应用防火墙典型配置案例公开防火墙出口源NAT配置：防火墙出口目的NAT配置：解决方案：防火墙内网接口添加源NAT和目的NAT。第7页应用防火墙典型配置案例公开④172.16.0.5/24①GW:172.16.0.1Internet②Gige0_2172.16.0.1/24Gige0_320.0.0.5/24③172.16.0.4/24GW:172.16.0.1阶段①，内网主机发起访问请求，Src：172.16.0.5，Dst：20.0.0.6；阶段②，由于防火墙内网接口已配置目的NAT策略，则数据报文目的地址转换为内网服务器地址，Src：172.16.0.5，Dst：172.16.0.4；根据目的地址在路由表进行查询，数据从防火墙内网接口发出，由于防火墙内网接口已配置源NAT策略，则数据报文源地址转换为出接口地址，Src：172.16.0.1，Dst：172.16.0.4；阶段③，内网服务器对请求报文进行应答，Src：172.16.0.4，Dst：172.16.0.1；阶段④，防火墙还原源、目的NAT会话，Src：20.0.0.6，Dst：172.16.0.5，建立完整会话，会话状态为“Established”，访问成功。----------------------------------------------【常见问题3】----------------------------------------------内网主机（172.16.0.5）无法通过域名（）访问内网服务器（172.16.0.4）。第8页应用防火墙典型配置案例公开DNS：A记录–20.0.0.6①172.16.0.5/24③②GW:172.16.0.1InternetGige0_2172.16.0.1/24Gige0_320.0.0.5/24DNSServer172.16.0.4/24GW:172.16.0.1阶段①，内网主机发起DNSReguest请求；阶段②，DNS服务器进行DNSReply应答“”；阶段③，内网主机根据DNS应答发起业务请求，Src：172.16.0.5，Dst：20.0.0.6，内网主机无法通过公网映射地址访问服务器，访问失败。解决方案：1、防火墙内网接口添加源、目的NAT，当内网服务器数量较多，需对每台服务器添加策略，不易维护；2、开启DNS_ALG功能，此方法为全局配置，推荐此方案；DNS：A记录–20.0.0.6172.16.0.5/24GW:172.16.0.1③Gige0_2①Gige0_3②Internet⑤④172.16.0.1/2420.0.0.5/24DNSServer172.16.0.4/24GW:172.16.0.1阶段①，内网主机发起DNSReguest请求；阶段②，DNS服务器进行DNSReply应答“”；阶段③，如果DNS应答地址（20.0.0.6）与防火墙某条目的NAT策略的公网地址第9页应用防火墙典型配置案例公开一致，则将该目的NAT的内网地址替换到DNS记录中，DNS_Reply应答报文变更为“”；阶段④，内网主机根据DNS应答发起业务请求，Src：172.16.0.5，Dst：172.16.0.4；阶段⑤，内网服务器对业务请求进行应答，Src：172.16.0.4，Dst：172.16.0.5，访问成功。第10页