收藏
下载资源 优惠套餐

信息安全技术(HCIA-Security)-第七次课-网络地址转换技术介绍课件.pptx

上传人(卖家):三亚风情 文档编号:3348381 上传时间:2022-08-22 格式:PPTX 页数:31 大小:397.80KB
下载 相关 举报
信息安全技术(HCIA-Security)-第七次课-网络地址转换技术介绍课件.pptx_第1页
第1页 / 共31页
信息安全技术(HCIA-Security)-第七次课-网络地址转换技术介绍课件.pptx_第2页
第2页 / 共31页
信息安全技术(HCIA-Security)-第七次课-网络地址转换技术介绍课件.pptx_第3页
第3页 / 共31页
信息安全技术(HCIA-Security)-第七次课-网络地址转换技术介绍课件.pptx_第4页
第4页 / 共31页
信息安全技术(HCIA-Security)-第七次课-网络地址转换技术介绍课件.pptx_第5页
第5页 / 共31页
点击查看更多>>
资源描述

1、网络地址转换技术第1页目标l学完本课程后,您将能够:p 了解NAT的应用场景p 掌握NAT的技术原理p 掌握防火墙的NAT配置第2页目录1.网络地址转换原理网络地址转换原理2.源NAT技术3.服务器映射4.NAT应用场景第3页NAT产生背景lIPv4地址日渐枯竭;lIPv6技术不能立即大面积替换;l各种延长IPv4寿命的技术不断出现,NAT就是其中之一。第4页NAT的优点与缺点l优点:p实现IP地址复用,节约宝贵的地址资源。p地址转换过程对用户透明。p对内网用户提供隐私保护。p可实现对内部服务器的负载均衡。l缺点:p网络监控难度加大。p限制某些具体应用。第5页NAT技术的基本原理lNAT技术通

2、过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网。内网用户10.1.1.1FTP Server123.3.2.3将私网源地址替换为公网地址将公网目的地址替换为私网地址目的IP:123.3.2.1源IP:123.3.2.3目的IP:123.3.2.3源源IP:123.3.2.1目的目的IP:10.1.1.1源IP:123.3.2.3目的IP:123.3.2.3源IP:10.1.1.1第6页NAT分类源NATl地址池方式l出接口地址方式(Easy IP)服务器映射l静态映射(NAT server)第7页目录1.网络地址转换原理2.源源NAT技

3、术技术3.服务器映射4.NAT应用场景第8页源NAT地址池方式(1)l不带端口转换的地址池方式。l此种方式为一对一的IP地址的转换,端口不进行转换。192.168.1.1192.168.1.2192.168.1.3192.168.1.4155.133.87.1155.133.87.2155.133.87.3丢弃丢弃Untrust转换转换Trust源源 9.9.9.9 目的1.1.1.1源源192.168.0.11 目的1.1.1.1第9页源NAT地址池方式(2)l带端口转换的地址池方式。l将不同的内部地址映射到同一公有地址的不同端口号上,实现多对一地址转换。192.168.1.1192.168

4、.1.2192.168.1.3155.133.87.1:7111155.133.87.1:7112155.133.87.1:7113Untrust转换转换Trust源源192.168.0.11 源端口源端口X 目的1.1.1.1源源 2.2.2.2源端口源端口Y目的1.1.1.1第10页Easy IPl出接口地址方式(Easy IP)。192.168.1.1192.168.1.2192.168.1.3155.133.87.1:7111155.133.87.1:7112155.133.87.1:7113源源192.168.0.11 目的1.1.1.1源源155.133.87.1 目的1.1.1.

5、1Untrust转换转换Trust第11页NAT ALGl NAT ALG(Application Level Gateway,应用级网关)是特定的应用协议的转换代理,可以完成应用层数据中携带的地址及端口号信息的转换。以太网首部以太网首部IP首部首部TCP首部首部应用数据应用数据以太网尾部以太网尾部NAT可以转换的部分可以转换的部分第12页NAT ALG实现原理lFTP主动模式下的NAT ALG应用。私网私网公网公网Host192.168.1.2NAT ALG192.168.1.2 8.8.8.11FTP Server8.8.8.1Host与FTP Server之间建立控制连接发送PORT报文

6、(192.168.1.2,1084)ALG处理PORT报文载荷已被转换(8.8.8.11,12487)FTP Server向Host发起数据连接(8.8.8.1,3004 8.8.8.11,12487)FTP Server向Host发起数据连接(8.8.8.1,3004 192.168.1.2,1084)在已经建立的数据连接上进行数据传输第13页目录1.网络地址转换原理2.源NAT技术3.服务器服务器映射映射4.NAT应用场景第14页NAT Server-内部服务器l内部服务器(Nat Server)功能是使用一个公网地址来代表内部服务器对外地址。l在防火墙上,专门为内部的服务器配置一个对外的

7、公网地址来代表私网地址。对于外网用户来说,防火墙上配置的外网地址就是服务器的地址。DMZuntrust192.168.1.1202.202.1.1公网地址真正的地址WWW服务器外网用户转换转换源IP地址 目的192.168.1.1源IP地址 目的202.202.1.1第15页NAT Server与Server Map表(1)l配置NAT Server时,设备会自动生成Server-map表项,用于存放Global地址与Inside地址的映射关系。l举例:server map表项IP协议承载的协议类型转换后的公网地址内部server实际地址NGFWnat server server1 proto

8、col tcp global 202.202.1.1 inside 192.168.1.1Type:Nat Server,ANY-202.202.1.1:21192.168.1.1:21,Zone:-,protocol:tcp Vpn:public-public Type:Nat Server Reverse,192.168.1.1202.202.1.1-ANY,Zone:-,protocol:tcp Vpn:public-public,counter:1 第16页NAT Server与Server Map表(2)l指定no-reverse参数后,设备生成的Server-map表只有正方向。l

9、举例:server map表项NGFWnat server server1 protocol tcp global 202.202.1.1 inside 192.168.1.1 no-reverseType:Nat Server,ANY-202.202.1.1192.168.1.1,Zone:-,protocol:tcpVpn:public-public第17页目录1.网络地址转换原理2.源NAT技术3.服务器映射4.NAT应用应用场景场景第18页NAT典型应用场景配置举例l应用场景分析p源应用pNAT Server应用DMZ 区域Untrust 区域Trust区域192.168.1/2420

10、2.169.10.1/29192.168.20.1/24第19页防火墙源NAT配置(WEB)l配置NAT 地址池。第20页防火墙源NAT配置(WEB)l配置源NAT策略。在本例中是为了实现trust区域的用户访问untrust区域internet的资源,因此源安全区域为trust,目的安全区域为untrust。选择配置的地址池第21页防火墙NAT Server配置(WEB)l配置内部Web和FTP服务器。外部地址和内部地址,外部地址为供外部用户访问的公网IP地址,内部地址为局域网服务器地址。第22页防火墙NAT Server配置(WEB)l配置域间安全转发策略。lHTTP 服务器配置类似。第2

11、3页防火墙源NAT配置(CLI)l配置域间访问规则。l指定源地址为192.168.0.0网段。(具体配置步骤省略)l配置地址池。l配置源NAT策略。NGFW nat address-group 1NGFW-nat-address-group-1 section 202.169.10.2 202.169.10.6NGFW nat-policy NGFW-policy-nat rule name nat1NGFW-policy-nat-rule-nat1 source-zone trustNGFW-policy-nat-rule-nat1 destination-zone untrustNGFW-

12、policy-nat-rule-nat1 source-address 192.168.0.0 24NGFW-policy-nat-rule-nat1 action nat address-group 1 第24页防火墙NAT Server配置(CLI)l配置内部Web和FTP服务器。l配置域间包过滤规则。USG nat server wwwserver protocol tcp global 202.169.10.1 80 inside 192.168.20.2 8080USG nat server ftpserver protocol tcp global 202.169.10.1 ftp

13、 inside 192.168.20.3 ftpUSG security-policyUSG-policy-security rule name p1USG-policy-security-rule-p1 source-zone untrust USG-policy-security-rule-p1 destination-zone dmz USG-policy-security-rule-p1 destination-address 192.168.20.2 32 USG-policy-security-rule-p1 service httpUSG-policy-security-rule

14、-p1 action permitUSG-policy-security rule name p2USG-policy-security-rule-p2 source-zone untrustUSG-policy-security-rule-p2 destination-zone dmzUSG-policy-security-rule-p2 destination-address 192.168.20.3 32USG-policy-security-rule-p2 service ftpUSG-policy-security-rule-p2 action permit第25页双向NAT技术l双

15、向NAT两种应用场景:pNAT Server+源NATp域内NAT第26页域间双向NATl为了简化配置服务器至公网的路由,可在NAT Server基础上,增加源NAT配置。DMZUntrust192.168.1.1源NAT私网IP地址Internet用户内网服务器202.20.1.5192.168.1.5真正IP地址对外公网地址2.2.2.5第27页域内双向NATl防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址。l防火墙将FTP服务器回应报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址。Trust域192.168.1.1192.168.1.5服务器公网地址202.202.1.1用户公网地址202.202.1.5内网用户服务器第28页思考题1.以下哪些选项是NAT技术产生的原因()A.IP地址资源不足 B.保护内网服务器真实的IP地址 C.某些特定的业务需要 D.便于对设备进行管理 第29页本章总结lNAT的技术原理lNAT几种应用方式l防火墙NAT典型场景配置第30页谢谢

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 办公、行业 > 各类PPT课件(模板)
版权提示 | 免责声明

1,本文(信息安全技术(HCIA-Security)-第七次课-网络地址转换技术介绍课件.pptx)为本站会员(三亚风情)主动上传,163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。
2,用户下载本文档,所消耗的文币(积分)将全额增加到上传者的账号。
3, 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(发送邮件至3464097650@qq.com或直接QQ联系客服),我们立即给予删除!


侵权处理QQ:3464097650--上传资料QQ:3464097650

【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。


163文库-Www.163Wenku.Com |网站地图|