华为防火墙nat内外互访(华为防火墙多出口NAT设置)

[db:作者]

比来，该公司将外联区的防火墙从已退役10年的Juniper Netscreen更换为华为的USG系列他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。在这里，不能不佩服网屏系列防火墙的稳定性他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。之前公司有几套netscreen系列防火墙，10年来只重启过两次，没有任何题目他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。那些年我以为是无敌好用的防火墙产物他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。不幸的是，它在被Juniper收买后已经成为历史，在我们公司也将很快成为历史他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
让我们言归正传他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。此次实施防火墙更换的收集地区是外联地区，也就是专门对接第三方合作伙伴的地区他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。由于我们是金融机构，与金融行业合作伙伴毗连的理论凡是需要双向NAT，即一个拜候请求的源地址和目标地址需要转换他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。我们的方式是将NAT功用放在防火墙上他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。究竟，路由器等其他装备没有防火墙那末强的NAT才能他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
在换成华为USG防火墙之前，并不完全清楚它的处置机制他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。究竟每个厂商的处置机制都纷歧样他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。但还是要搞清楚NAT转发的进程，以便在今后的运维中快速排查故障他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。以下是查阅官网文件后的了解他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
外联地区的收集拓扑首先诠释了为什么金融机构凡是需要为外联拜候停止双向NAT他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。凡是，专线用于两个机构之间的对接他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。例如，当我们倡议拜候对方的请求时，我们的源办事器IP地址将被用作源NAT，以将我们的办事器IP映照到另一个IP他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。目标是隐藏内部实在IP，从平安角度斟酌他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。此外，另一台办事器的IP将在内部用作目标NAT他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。内部源办事器倡议的请求是拜候映照的IP，而不是对方的实在IP他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。首要目标是对方的IP网段能够与内部网段抵触他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。是以，在将内部地址引入内部收集之前，可以经过将此IP地址转换为内部计划的网段来避免这个题目他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。同时可以清楚的晓得这个请求的方针地址在内部下于外网他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
以下是外展地区的简化拓扑他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。我还将按照下面的模拟收集来诠释全部请求和NAT处置进程他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
NAT转换关系
华为USG系列NAT处置流程下图是来自华为官网手册的NAT处置流程他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
1)当请求的流量进入USG防火墙的进口接口时，防火墙会查找目标NAT转换表，婚配请求的目标地址能否需要转换；
2)假如射中翻译条目，则翻译目标地址，未射中间接发送到下一个进程；
3)查找路由表，假如射中路由表条目，则发送给下一个进程，不婚配则抛弃路由表；
4)接下来，它将被发送到平安战略停止检查他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。假如检查到婚配平安战略的permit条目，则开释给下一个进程，否则抛弃该请求(平安战略需要设置流量流的初始源IP地址和终极目标IP地址)；
5)婚配源NAT转换表，假如婚配到，则对源地址停止转换并建立会话表，否则不停止转换间接建立会话表；
6)流量从出口发出他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
模拟转发流程按照以上华为USG系列防火墙的NAT处置流程，以及内部地区模拟情况的拓扑结构，我们来看看双向NAT后的全部转发流程他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
我来罗列一下华为USG防火墙的首要设置:
Ip路由-静态172 . 16 . 0 . 10 255 . 255 . 255 . 255 1.1.1.2描写ext _ route//按照处置流程，内部地址的路由需要写成实在IP  IP路由-静态10 . 0 . 0 . 0 255 . 255 . 255 . 0 2.1.1.2描写int _ route//内部DMZ网段路由#//源-目标地转换可以写成NAT战略 NAT转换的地址池需要提早界说 NAT-policy 法则称号dmz _ ext _ 01 源区dmz 源地址地址-set 10.0.0.10/32 目标地址地址-set 192 . 168 . 200 . 10/32行动源-nat地址-组Pool_192.168.100.10[/h
全部请求和NAT转换进程以下:
内部办事器倡议的请求
到达防火墙停止目标地NAT转换，婚配平安战略并查找路由表他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
转换源NAT，并将流量发送给合作伙伴他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
假如是反过来，对偏向内部办事器倡议请求他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。实在全部进程都是一样的，这里就不赘述了他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
以上总结是外联地区组网和双向NAT接入的梳理他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。本文对华为装备NAT处置流程的描写和了解若有不正确之处，请斧正他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。