华为防火墙服务器映射,华为ensp防火墙nat配置实例

在内外网边界，由于流量有出入两个方向，NAT技术包括源地址转换和目的地址转换两种，一般源地址转换主要用于解决内部局域网计算机接入互联网的情况； 目标地址转换主要用于解析互联网用户访问局域网服务的场景，目标地址通常称为服务器地址映射。

华为支持的源地址转换方法包括：

NAT no-pat :类似于思科的动态转换。 只转换源IP地址，不转换端口。 多对多转换，无法节约公共IP地址。 适用于实际使用量少、主要连接互联网用户少、公共地址充分的场合。 与网络地址和端口转换(napt ) Cisco的PAT转换一样，napt同时转换消息的源地址和源端口。 转换后的地址不是外网接口IP地址，而是属于多对多或多对一转换，可以节约IP地址，使用场景更多的外部接口地址(Easy-IP )，由于转换方式非常简单，所以区别在于，通过外接口寻址方式转换的地址只是放置在NAT设备外网接口上的IP地址，是多对一转换，可以节约IP地址。 主要是在其他公共网络地址不可用、内部互联网用户非常多的情况下，适合直接将外部网接口本身的IP地址作为转换目标。 通过确保一个智能转换(Smart NAT )公共地址进行NAPT转换，其他公共地址用于NAT No-PAT转换。 主要是平时互联网用户较少，申请的公共地址基本上可以满足这些少量

NAT策略不同于安全策略，安全策略是针对经过的数据流傲规则检查，匹配的数据包或者转发，或者丢弃，安全策略决定了流量能否通过防火墙。而NAT策略对经过的数据流做规则检查，匹配的数据包或者做地址转换，或者不做地址转换，NAT策略决定了哪些流量需要NAT转换。

（1）防火墙收到报文后，首先检查报文是否匹配 Server－map中的条目，如果是，则根据表项转换报文的目标地址，然后进行步骤（3）处理；否则进行步骤（2）处理。

（2）查找是否存在目标NAT的相关配置，如果是，并且符合NAT条件，则转换目标地址后进行步骤（3）处理；否则直接进行步骤（3）处理。

（3）根据报文的目标地址查找路由表，如果存在目标路由，则进行步骤（4）处理；否则丢弃报文。

（4）依次匹配安全策略中的规则，如果策略允许报文通过，则进行步骤（5）处理；否则丢弃报文。

（5）查找是否存在源NAT的相关配置及是否符合NAT条件，如果是．则转换源地址后进行步骤（6）处理；否则直接进行步骤（6）处理。

（6）在发送报文之前创建会话，后续和返回的报文可以直接匹配会话表转发。

（7）防火墙发送报文。

因为防火墙处理报文的顺序是目标地址转換 → 安全策略→源地址转换，所以在NAT环境中，安全策略的源地址应该是源地址转换之前的地址，目标地址应该是目标地址转换之后的地址。

每个安全区域都必须有一个安全级别,该安全级别是唯一的,用1~100的数字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的: Local I区域的安全级别是100,Trust区域的安全级别是85,DMZ区域的安全级别是50, Untrust区域的安全级别是5。

级别确定之后,安全区域就被分成了三六九等,高低有别。报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向( Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向( Outbound)

local 本地安全区域：安全级别100，防火墙本身为local区域。

trust 信任区域：安全级别85，该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。

untrust  非信任区域：安全级别5，该区域代表的是不受信任的网络,通常用来定义 Internet等不安全的网络。

dmz 隔离区域：安全基本50，该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。（DMZ( Demilitarized Zone)是一个军事术语,是介于严格的军事管制区和松散的公共区城之间的管制区域。防火墙引用了这一术语,指代一个受信任程度处于内部网络和外部网络之间的安全区城。）

[SRG]int g0/0/1

[SRG-GigabitEthernet0/0/1]ip add 192.168.10.1 24

[SRG-GigabitEthernet0/0/1]int g0/0/2

[SRG-GigabitEthernet0/0/2]ip add 192.168.20.1 24

[SRG-GigabitEthernet0/0/2]int g0/0/3

[SRG-GigabitEthernet0/0/3]ip add 1.1.1.1 24

[SRG-GigabitEthernet0/0/3]quit

[SRG]firewall zone trust

[SRG-zone-trust]add int g0/0/1     //将接口加入到trust区域

[SRG-zone-trust]firewall zone dmz

[SRG-zone-dmz]add int g0/0/2       //将接口加入到dmz区域

[SRG-zone-dmz]firewall zone untrust

[SRG-zone-untrust]add int g0/0/3    //将接口加入到untrust区域

[SRG-zone-untrust]quit

区域访问规则

[SRG]firewall p d p interzone trust untrust direction outbound

[SRG]firewall p d p interzone trust dmz dir out

[SRG]firewall p d p interzone dmz untrust dir out

[SRG]ip route-s 0.0.0.0 0.0.0.0 1.1.1.2

1、设置trust到untrust区域的NAT策略：

[SRG]nat-policy interzone trust untrust outbound

策略ID号：

[SRG-nat-policy-interzone-trust-untrust-outbound]policy 1

设置源地址：

[SRG-nat-policy-interzone-trust-untrust-outbound-1]policy source any

启用原地址转换功能：

[SRG-nat-policy-interzone-trust-untrust-outbound-1]action source-nat

设置转换类型为easy-ip，指定转换目标接口：

[SRG-nat-policy-interzone-trust-untrust-outbound-1]easy-ip GigabitEthernet0/0/3

[SRG-nat-policy-interzone-trust-untrust-outbound-1]quit

[SRG-nat-policy-interzone-trust-untrust-outbound]quit

[SRG]policy interzone trust untrust outbound

[SRG-policy-interzone-trust-untrust-outbound]policy 1      //配置第一个规则并指定规则名

[SRG-policy-interzone-trust-untrust-outbound-1]policy source 192.168.10.2 0     //指定条件

[SRG-policy-interzone-trust-untrust-outbound-1]policy destination any

[SRG-policy-interzone-trust-untrust-outbound-1]action permit    //指定动作

[SRG-policy-interzone-trust-untrust-outbound-1]quit

（允许192.168.10.2主机访问所有）

[SRG-policy-interzone-trust-untrust-outbound]policy 2

[SRG-policy-interzone-trust-untrust-outbound-2]policy source 192.168.10.3 0

[SRG-policy-interzone-trust-untrust-outbound-2]policy destination 2.1.1.2 0

[SRG-policy-interzone-trust-untrust-outbound-2]action deny

[SRG-policy-interzone-trust-untrust-outbound-2]quit

[SRG-policy-interzone-trust-untrust-outbound]quit

（拒绝192.168.10.3主机 访问2.1.1.2）

[SRG]firewall packet-filter default permit all

[SRG]nat server protocol tcp global interface g0/0/3 8080 inside 192.168.20.2 80

192.168.10.2主机  可以访问dmz区域的http服务 可以访问ftp服务 可以ping通所有区域主机 因为reust区域安全级最高

 192.168.10.3主机不可以访问外网但是可以访问dmz区域 因为刚才给他设置了规则

 外网2.1.1.3主机 

 可以访问http服务 但是得访问转换后的地址以及端口号  但是ping不通内网和dmz区域