响应式网站建设模板,文化馆 网站 设计,网络运营商ip地址,网站建设与管理自考双向NAT技术#xff1a;经过防火墙的2报文源IP地址和目的IP地址都同时被转换#xff0c;外网发送报文给内网服务器#xff0c;先转换目的IP地址#xff0c;然后符合安全策略后#xff0c;在替换源IP地址#xff0c;然后将记录写入防火墙会话表#xff0c;并发送出报文经过防火墙的2报文源IP地址和目的IP地址都同时被转换外网发送报文给内网服务器先转换目的IP地址然后符合安全策略后在替换源IP地址然后将记录写入防火墙会话表并发送出报文回送的报文匹配到会话表后改回地址然后发出
NAT ALG与NAT server介绍:
NAT ALG应用级网关application level gateway:可以完成应用层数据的IP地址和端口转换对多通道协议进行应用层报文信息的解析与转换将报文载荷中地址和端口号进行处理
比如FTP数据连接的建立由控制连接的载荷字段信息决定需要ALG处理、
aspf是根据应用层IP地址和端口号创建相应的server-map表实现包过滤
ip首部源IP地址和目的IP地址各32位TCP首部源IP地址和目的IP地址各16位
NAT ALG实现原理 NAT server:静态映射转换报文目的IP地址
因为当2外网访问内网时候自身IP地址不确定只有内网目的主机的确定
配置NAT Server成功后设备自动生成server-map表项存放转换前后地址映射关系
当外网用户首次访问内网目的主机防火墙先在server-map表查找向然后转化目的地址自身建立一个会话表记录之后发到目的主机。目的主机回送的报文经过防火墙时候查找会话表完成转换回去目的地址逆转换后序外网用户继续发送时候经过防火墙直接根据会话表记录即可
如图服务器位于私网 防火墙加入安全区域
防火墙中
firewall zone DMZ
add interface GigabitEthernet 0/0/0
quit
firewall zone untrust
add interface GigabitEthernet 1/0/0
quit
security-policy
rule name policy1
source-zone untrust配置安全策略
destination-address 10.2.0.0 24
action permit
quit
destination-nat address-group group1
section 10.2.0.7 10.2.0.8
quit
配置NAT server:进入防火墙中
nat server policy-ftp protocol tcp global1.1.1.10 ftp inside10.2.0.8 unr-route
开启FTP的NAT ALG功能
firewall interzone dmz untrust
detect ftp
quit
配置缺省路由
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
如果NAT SERVER de1global地址与公网接口地址不在同网段配置黑洞路由如果相同则不需要
