如何为目的NAT开放安全策略 |
您所在的位置:网站首页 › asg21 › 如何为目的NAT开放安全策略 |
根据配置方式的不同,目的NAT可以分为基于NAT策略的目的NAT、基于ACL的目的NAT和NAT Server。 基于NAT策略的目的NAT目的NAT策略的匹配条件都是转换前的原始数据包特征;而安全策略的匹配条件中,目的IP地址和服务是NAT转换之后的地址和端口。另外,目的NAT策略不能指定目的安全区域。 两个策略的匹配条件和动作的对应关系如表10-3所示。 表10-3 目的NAT策略和安全策略的对应关系对比项 目的NAT策略 安全策略 源安全区域 流量的源安全区域,通常为公网所在安全区域 流量的源安全区域,通常为公网所在安全区域 目的安全区域 NA 流量的目的安全区域,即对外提供服务的设备所在的安全区域 源地址 流量的源IP地址 流量的源IP地址 目的地址 流量的目的IP地址(转换前的地址) 流量的目的IP地址(转换后的地址) 服务 流量的服务类型(转换前的服务或端口) 流量的服务类型(转换后的端口) 动作 指定目的地址池(即转换后地址)和转换后的端口 允许/permit 以企业内部服务器10.1.1.1对外提供Web服务为例,对外开放的服务地址为192.0.2.1。对应的目的NAT策略和安全策略配置如下。 表10-4 目的NAT策略及安全策略配置示例目的NAT策略 安全策略 nat-policy rule name DNAT_for_HTTP_Server source-zone untrust destination-address 192.0.2.1 mask 32 service http action destination-nat static address-to-port address-group HTTP_Server 8080 destination-nat address-group HTTP_Server 1 section 10.1.1.1 10.1.1.1 security-policy rule name Policy_for_HTTP source-zone untrust destination-zone dmz destination-address 10.1.1.1 32 //转换后的IP地址,跟NAT地址池一致 service protocol tcp source-port 0 to 65535 destination-port 8080 //转换后的端口,跟NAT策略的动作中指定的目的端口一致 action permit 基于ACL的目的NAT基于ACL的目的NAT以ACL来定义需要转换目的地址和端口的流量,并在流量的源安全区域中关联ACL与转换后的地址和端口。因此,ACL和安全区域相当于NAT策略中的匹配条件。 以目的NAT转换[192.0.2.1:80-->203.0.113.1:8080]为例,其配置如下。 acl number 3000 rule 5 permit tcp destination 192.0.2.1 0 destination-port eq 80 //指定需要转换的业务流 # firewall zone trust //进入业务流的源安全区域 destination-nat 3000 address 203.0.113.1 port 8080 //对来自trust区域、符合ACL3000的业务流,指定转换后的IP地址和端口相应的安全策略配置如下。 security-policy rule name Policy_for_ACL3000 source-zone trust destination-zone untrust destination-address 203.0.113.1 32 //转换后的IP地址 service protocol tcp source-port 0 to 65535 destination-port 8080 //转换后的端口 action permit NAT ServerNAT Server使用1条命令指定了地址转换的所有信息。同样以企业内部服务器10.1.1.1对外提供Web服务为例,对外开放的服务地址为192.0.2.1,NAT Server配置如下。 nat server Web_Server zone untrust protocol tcp global 192.0.2.1 80 inside 10.1.1.1 8080 unr-route其中,zone untrust表示只有来自此安全区域的用户可以访问Web服务,global 192.0.2.1 80指定转换前的公网地址和端口,inside 10.1.1.1 8080指定转换后的私网地址和端口。 相应的安全策略配置如下。security-policy rule name Policy_for_WebServer source-zone untrust //由zone untrust指定 destination-zone dmz destination-address 10.1.1.1 32 //转换后的IP地址,由inside 10.1.1.1 8080指定 service protocol tcp source-port 0 to 65535 destination-port 8080 //转换后的端口,由inside 10.1.1.1 8080指定 action permit对于NAT Server,你也可以使用public-ip destination match enable命令来开启公网IP地址/端口匹配功能。防火墙将使用服务器的公网IP地址/端口来匹配安全策略的目的地址。 此时,安全策略配置如下。 security-policy rule name Policy_for_WebServer source-zone untrust //由zone untrust指定 destination-zone dmz destination-address 192.0.2.1 32 //转换前的IP地址,global 192.0.2.1 80指定 service protocol tcp source-port 0 to 65535 destination-port 80 //转换前的端口,由global 192.0.2.1 80指定 action permit |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |