通过配置源NAT策略和服务器静态映射功能,实现私网用户使用公网地址访问内部服务器。
某公司在网络边界处部署了NGFW作为安全网关。为了使私网Web服务器和FTP服务器能够对外提供服务,需要在NGFW上配置服务器静态映射功能。另外,和两台服务器同在一个安全区域,并且IP地址同在一个网段的PC也需要访问这两台服务器。由于公司希望PC可以使用公网地址访问内部服务器,因此还需要在NGFW上配置源NAT功能。
除了公网接口的IP地址外,公司还向ISP申请了两个公网IP地址,其中1.1.1.10作为内网服务器对外提供服务的地址,1.1.1.11作为PC地址转换后的公网地址。网络环境如图1所示,其中Router是ISP提供的接入网关。
图1 静态映射+源NAT策略组网图 
数据 | 说明 | ||
GigabitEthernet 1/0/1 | IP地址:1.1.1.1/24 安全区域:Untrust | 实际配置时需要按照ISP的要求进行配置。 | |
GigabitEthernet 1/0/2 | IP地址:10.2.0.1/24 安全区域:DMZ | 内网服务器需要将10.2.0.1配置为默认网关。 | |
服务器映射 | 名称:policy_nat_web 公网地址:1.1.1.10 私网地址:10.2.0.7 公网端口:8080 私网端口:80 | 通过该映射,使用外网用户能够访问1.1.1.10,且端口号为8080的流量能够送给内网的Web服务器。 Web服务器的私网地址为10.2.0.7,私网端口号为80。 | |
名称:policy_nat_ftp 公网地址:1.1.1.10 私网地址:10.2.0.8 公网端口:21 私网端口:21 | 通过该映射,使用外网用户能够访问1.1.1.10,且端口号为21的流量能够送给内网的FTP服务器。 FTP服务器的私网地址为10.2.0.8,私网端口号为21。 | ||
源NAT策略 | 名称:policy_nat_1 允许访问公网地址的私网地址:10.2.0.6 NAT地址池地址:1.1.1.11 | - | |
路由 | 缺省路由 | 目的地址:0.0.0.0 下一跳:1.1.1.254 | 为了内网服务器对外提供的服务流量可以正常转发至ISP的路由器,可以在NGFW上配置去往Internet的缺省路由。 |
黑洞路由 | 目的地址:1.1.1.10~1.1.1.11 下一跳:NULL 0 | 为了避免外网用户访问公网地址但没有匹配到Server-Map的报文,或者外网主动访问地址池地址,在NGFW和Router之间形成路由环路。 | |
1. 配置接口IP地址和安全区域,完成网络基本参数配置。
2. 配置安全策略,允许外部网络用户访问内部服务器。
3. 配置服务器映射功能,创建两条静态映射,分别映射内网Web服务器和FTP服务器。
4. 配置源NAT策略使PC可以访问服务器的公网地址。
5. 在NGFW上配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
6. 在NGFW上配置黑洞路由,避免NGFW与Router之间产生路由环路。
7. 在Router上配置到服务器映射的公网地址的静态路由。
1. 配置接口IP地址和安全区域,完成网络基本参数配置。
a. 选择“网络 > 接口”。
b. 单击GE1/0/1,按如下参数配置。
安全区域 | untrust |
IPv4 | |
IP地址 | 1.1.1.1/24 |
c. 单击“确定”。
d. 参考上述步骤按如下参数配置GE1/0/2接口。
安全区域 | dmz |
IPv4 | |
IP地址 | 10.2.0.1/24 |
2. 配置安全策略,允许外部网络用户访问内部服务器。
a. 选择“策略 > 安全策略”。
b. 单击“新建”,按如下参数配置。
名称 | policy_sec_1 |
源安全区域 | untrust |
目的安全区域 | dmz |
源地址/地区 | any |
目的地址/地区 | 10.2.0.0/24 |
动作 | 允许 |
c. 单击“确定”。
d. 单击“确定”。
3. 配置服务器映射功能,创建两条静态映射,分别映射内网Web服务器和FTP服务器。
a. 选择“策略 > NAT策略 > 服务器映射”。
b. 单击“新建”,按如下参数创建名称为“policy_nat_web”的静态映射策略,用于映射内网Web服务器。
c. 单击“确定”。
d. 参考上述步骤,按如下参数创建名称为“policy_nat_ftp”的静态映射策略,用于映射内网FTP服务器。
4. 配置源NAT策略使PC可以访问服务器的公网地址。
a. 配置NAT地址池。
i. 选择“策略 > NAT策略 > 源NAT > NAT地址池”。
ii. 单击“新建”,按如下参数配置。
iii. 单击“确定”。
b. 配置源NAT策略,实现PC访问公网地址时自动进行源地址转换。
i. 选择“策略 > NAT策略 > 源NAT策略”。
ii. 单击“新建”,按如下参数配置。
iii.单击“确定”。
5. 在NGFW上配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
a. 选择“网路 > 路由 > 静态路由”。
b. 单击“新建”,按如下参数配置。
目的地址/掩码 | 0.0.0.0/0.0.0.0 |
下一跳 | 1.1.1.254 |
c. 单击“确定”。
6. 在NGFW上配置黑洞路由,避免NGFW与Router之间产生路由环路。
a. 在“静态路由”页面继续单击“新建”,按如下参数配置。
目的地址 | 1.1.1.10 |
掩码 | 255.255.255.255 |
出接口 | Null0 |
b. 单击“应用”。参考上述步骤为1.1.1.11配置黑洞路由。
7. 配置NAT ALG,使服务器可以正常提供FTP服务。
a. 选择“策略 > ASPF配置”。
b. 选中“FTP”,单击“应用”。
说明:
缺省情况下,FTP协议已开启NAT ALG功能。
8. 在Router上配置到服务器映射的公网地址(1.1.1.10)的静态路由,下一跳为1.1.1.1,使得去服务器的流量能够送往NGFW。
通常需要联系ISP的网络管理员来配置此静态路由。
1. 配置完成后,外网用户能够正常访问内网服务器提供的服务,表示服务器映射配置成功。
2. 配置完成后,PC能够正常访问内网服务器提供的服务,表示源NAT策略配置成功。
3. 如果想查看命中NAT策略的命中情况,可以选择“策略 > NAT策略 > 源NAT”,在源NAT策略列表中查看NAT策略的命中次数。
4. 如果想查看服务器映射和源NAT过程中地址和端口的转换信息,可以选择“监控 > 会话表”,通过搜索找到目的地址为1.1.1.10的表项,查看详细的转换信息。
上图中蓝框部分为经过转换后的源地址和源端口,源地址为地址池中的地址;红框部分为经过服务器映射后的目的地址和目的端口。
NGFW的配置脚本:
#
sysname NGFW
#
nat server policy_nat_web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www no-reverse
nat server policy_nat_ftp protocol tcp global 1.1.1.10 ftp inside 10.2.0.8 ftp no-reverse
#
interface GigabitEthernet1/0/1
ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 10.2.0.1 255.255.255.0
#
interface NULL0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/2
#
firewall interzone dmz untrust
detect ftp
#
nat address-group addressgroup1
section 0 1.1.1.11 1.1.1.11
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
ip route-static 1.1.1.10 255.255.255.255 NULL0
ip route-static 1.1.1.11 255.255.255.255 NULL0
#
security-policy
rule name policy_sec_1
source-zone untrust
destination-zone dmz
destination-address 10.2.0.0 24
action permit
#
nat-policy
rule name policy_nat_1
source-zone dmz
destination-zone dmz
source-address 10.2.0.6 32
action nat address-group addressgroup1
#
return
#以下配置为一次性操作,不保存在配置文件中
nat-mode pat
021-62279227
发送邮件
