Huawei社ファイアウォールNATポリシー

はじめに：NAT技術は、今日のIPアドレス資源の枯渇を解決するために使用される技術が、また、IPv4からIPv6への移行技術、NAT技術を使用してネットワーク環境の大半であります

まず、理論的

1.NAT分類

1）NO-PAT NAT

• ダイナミックNAT無PAT変換シスコのように、多くのポートが変換されていない、それがパブリックIPアドレスの終了ではありません
• 主にインターネットユーザーのニーズに、より少ないを使用して実用的なアプリケーションシナリオ比較的小さく、およびパブリックIPアドレスとシナリオの十分な数であります

2）Naft

• NAPT（ネットワークアドレスとポート変換、ネットワークアドレスとポート変換）
  • シスコのPAT変換と同様に、NAPT、すなわち、パケットの送信元アドレス、送信元ポートおよび変換を変換します。アドレス変換は、外部ネットワークインタフェースのIPアドレスではない
    パブリックネットワークIPアドレス、多くの利用シナリオを保存することができますし、多くのまたは多くの変換属します。

3）簡単-IP

• インターフェイスアドレス（簡単-IP）：その変換方法は非常に簡単ですが、また簡単-IPとして知られています
• NAPTとと同じでは、送信元IPアドレス、送信元ポートおよび変換を変換します。IPアドレスは、多くの変換に所属するインタフェースアドレス差が変換インタフェースアドレスへの唯一の方法は、NATデバイスの外部ネットワークに構成された、IPアドレスを保存することができます

4）NATサーバー

• 主に内部サーバのために使用される静的-1リリースには、インターネットにサービスを提供する必要があります

5）スマートNAT

• スマートNAT（インテリジェント変換）パブリックネットワーク用に予約さNAPTアドレスによって変換され、NAT無PAT変換を実行するための他のパブリックネットワークアドレス、アプローチは、一般的に使用されていません

6）トリプルNAT

• 三重NAT送信元IPアドレス、送信元ポート、及び変換、固定されたパブリックIPアドレスとポートに送信元IPアドレスと送信元ポートに関連するプロトコルタイプは、一般的にいくつかの特別なアプリケーションがNATを実現することができないという問題を解決するために
• 主にLANのP2Pアプリケーションにアクセスする外部ユーザーの数に使用されます

ブラックホールルーティング2。

• パブリックIPをマッピングしながら、具体的なNAT変換は、ネットワーク接続、インターネットを解決するために、何らかの方法で、おそらく、それがどのように生成するか、NATの変換をループし、無効なARPを生成される場合があり
• それはインターネットを介して公衆IPのマッピングをアクセスするには、この時間だったのであれば、それは両方のケースを生成します
• 詳細にそれを言うだけでなく、多くの問題が、これらの二つの問題を解決するためにはブラックホールルートを設定するだけであるために（交通イニシアチブアドレスから空のインタフェースヌル0インターネットアクセスマッピングに割り当てられます）

1）環境問題へのループと無効なARP送信元アドレス変換を解決する方法

• NATサーバー（粗製のパン）

  • NATサーバは、送信元アドレス192.168.10.5として、変換の一種である送信元アドレスのアドレスを示し、ポート間の単純なマッピングを変換するマッピングを伴わない行う場合、変換アドレスは202.96.10.2でありますNATサーバー（粗製のパン）NATのこのタイプは、すべてのアクセス202.96.10.2のパケットはこのアドレス192.168.10.5に転送されます

• NATサーバー（ファイン）

  • NATサーバーは、変換は、具体的になど、ポートを対象とされた後に関係の一つのタイプは、アドレスマッピングと送信元アドレスを表し変換します、送信元アドレスが変換されたアドレスが202.96.10.2で、192.168.10.5でNATを実行しますNATのサーバー（罰金）は、もしアクセス202.96.10.2 Webトラフィック（80/443ポート）、必ずしもそこにこのアドレス192.168.10.5に転送するFTPトラフィック（ポート21）のアクセス202.96.10.2かもしれませんが、または、このアドレス192.168.10.5に転送、我々はNATサーバー（罰金）がNATのポートに基づいていると言うことができます
    

3.Severマップテーブル

• 接続された外部ネットワークのアクセスネットワークが、場合ステートフル、メッセージを記録するために使用されるセッションテーブルと呼ばれるテーブルを有しているファイアウォール
  の外部ネットワークは、記録セッションテーブルに返されたデータと一致する場合、リターンが直接放出に関連します

1）差分

• セッションテーブルには、接続状態を含め、接続情報を記録します
• ERVERマップテーブルは、接続情報が現在のではなく、得られた現在の接続情報のパケットを解析することにより、記録
  情報は、ファイアウォールを介して後続のデータストリームの問題を解決するために使用されます。サーバー・マップ・テーブルの役割は、雨の日を介して将来の問題を解決するために理解することができる
  最初から三方ハンドシェーク、データの転送を完了するために、その過程で、ポートが発生することが、そのようなマルチポートプロトコルとしてFTPなど変更やその他の問題、
  サーバーは、まさにこの問題を解決する地図
• しかし、また、NATのようにしてファイアウォールを通過するデータトラフィックがある場合に、あるNATでのサーバー・マップ・テーブルを、必要と
  サーバー・マップ・テーブルは、その後の流れは、NATを表示することができないのでこと、送信元アドレスとアドレス変換との対応関係を記録戦略は、
  直接サーバー・マップマッチングテーブルに効率的なNAT変換を実現しています。アドレス変換を介してユーザのインターネットアクセスした場合、
  あなたはまた、サーバー・マップ・テーブルを一致させることができ、それによって、ネットワーク実際のホストに効率的に転送したデータは、（セキュリティポリシーが可能に保証しなければなりません）

2）構成

• 手動設定なしでサーバー・マップ・テーブル、自動生成され
• NATではなく、すべてのテーブルのは、サーバー・マップ・テーブルを生成することができ、以下のように、私は単にまとめ
  
• 特定のクラス内のファイアウォールの設定後NATファイアウォールサーバマップ、デフォルトサーバ・マップ生成の2つのエントリに発生した場合、
  各エントリは、以下のように、順方向および逆エントリ（リバース）であります

[USG6000V1]display firewall server-map 
 Current Total Server-map : 2
 正向 Type: Nat Server,  ANY -> 202.96.1.10:445[192.168.1.4:445],  Zone:---,  protocol:tcp
 Vpn: public -> public

反向 Type: Nat Server Reverse,  192.168.1.4[202.96.1.10] -> ANY,  Zone:---,  protocol:tcp
 Vpn: public -> public,  counter: 1

• この時点で、サーバー・マップ・テーブルの役割があります
  • 前方のエントリ：インターネットユーザーのためのキャリーポート情報は、サーバー・マップ変換テーブルによって、宛先アドレスに直接内部ネットワークサーバーにアクセスすることができます。
  • 逆エントリ（リバース）：ポート情報を運ばない、と宛先アドレスは、サーバーがインターネットにアクセスするために使用することができるように、任意です。

パケットの4.NAT処理フロー

• それらのちょうどタスク処理の一連のプロセスを経るために、最終的なニーズにレシートから送信されたメッセージ、およびNATのファイアウォールのインターフェイス。NATパケット処理プロセスの理解がATを設定するには、非常に大きな助けを持っているので、NATルーティング設定とセキュリティポリシーが、影響を受けます。以下に示すようなフローを処理パケットに対してNAT
  

• パケットファイアウォールの処理の順序は、セキュリティポリシーの送信元アドレスは、送信元アドレス変換の前に対処すべきセキュリティポリシーのターゲットアドレス変換→→ソースアドレス変換、そうNAT環境、宛先アドレスすべきであるので、上の図からわかるようにこれは、アドレス変換後の目標アドレスであります

• メッセージは、通常、同一のネットワークデバイスに、変換エントリが存在するだけ、即ち、変換（NAT NATサーバ型変換以外の）ソースアドレス、または宛先アドレス変換（NAT NATサーバ型変換のいずれか）。送信元アドレスと宛先アドレスが同じネットワークデバイス上に存在しない翻訳

• NATは、パケット処理の流れを次の

  • 1.ファイアウォールがそうであれば、ターゲットアドレスエントリは、ステップ（3）プロセスをパケットに変換し、パケットがサーバ・マップ内のエントリと一致するかどうかパケット、これは、最初に確認を受信した後、それ以外の場合、ステップ（2）処理。
  • ステップ2がある場合、対物NAT構成が、存在するか否かを検索し、NAT条件に沿って、変換先アドレス（3）を処理し、そうでなければ、直接ステップ（3）の処理を行います。
  • 目標ルート、ステップ（4）の処理がある場合、パケットルーティングテーブルのターゲット・アドレスを探す3、そうでない場合、パケットをドロップします。
  • セキュリティポリシーの4オーダーマッチングルール、ポリシーがパケット、ステップ（5）の処理を許可する場合、そうでない場合、パケットは破棄されます。
  • 条件が存在する5.検索NAT NATコンフィギュレーションのソースかどうかどうか、もしそうであれば、処理変換ステップ（6）の後に、送信元アドレス、そうでなければ、そのままステップ（6）のプロセス。
  • 6.メッセージを送信する前に、セッションを作成し、パケットの後の返品は直接セッションテーブルに一致する転送することができます。
  • 7.ファイアウォールは、パケットを送信します。

• ファイアウォールのハンドルのパケットの宛先アドレスの順序は、セキュリティポリシー→→ソースアドレス変換、そうNAT環境、ソースアドレス変換の前に対処すべきセキュリティポリシーのソースアドレスを変換しているため、宛先アドレスは、宛先アドレス変換のアドレスでなければなりません

5.FTP伝送

1）アクティブモード

• 服务器主动发起数据连接。首先客户端向服务器的21端口建立FTP管理连接
  控制连接源端口是1万以上的端口目标端口：21
  客户端以PORT命令告诉服务器“我打开了某个端口”你来连我。
  这个时候服务器以源端口20目标端口“我打开了某个端口”向客户机请求并建立连接

2.被动模式

• 假设客户端有防火墙
  • 客户机主动发起数据连接。首先客户端想服务器的21端口建立FTP管理连接
  • 客户端有防火墙，这个时候服务器连接客户机是连不起来的，因为客户端有防火墙，需要被动模式
    服务端以PASV命令告诉客户端，于是客户端向服务端进行建立数据连接

二、实验

1.实验环境

• 实验软件：eNSP软件
• 实验设备：
  • 一台USG6000V防火墙
  • 一台路由器、一台三层交换机
  • 三台PC机
  • 一台FTP服务器，一台WEB服务器
  • 一台client客户端

2.拓扑图

3.需求

• 1、ISP为公司分配的公网地址为100.2.2.8/29。
• 2、技术部属于trust区域，通过Easy-ip访问Internet。
• 3、行政部属于trust区域，通过NAPT访问internet（使用100.2.2.12/29）。
• 4、财务部属于trust区域，通过no-pat访问internet（使用100.2.2.10/29-100.2.2.11/29）
• 5、DMZ区域中的两台服务器配置NAT-Server发布,分别提供FTP服务及web服务（使用100.2.2.9/29）
• 6、防护墙的GE1/0/0属于UNtrust区域。

4.详细配置

1）IP地址

• 将所有PC机和server服务器以及client客户端配上ip地址，点击应用保存即可
  
  
• 其他配置都相同，接着进入R1以及防火墙FW1配置IP
• 防火墙配置IP，登录方式可查看上一篇博客华为防火墙理论与管理

[USG6000V1]dis cu
2020-02-13 05:17:57.580 
!Software Version V500R005C10SPC300
#
sysname USG6000V1
#
。。。。省略部分内容
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 100.1.1.2 255.255.255.252
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/3
 undo shutdown
 ip address 192.168.2.1 255.255.255.0
#
interface GigabitEthernet1/0/4
 undo shutdown
 ip address 192.168.3.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 100.1.1.1
#
return

• R1配置

[R1]dis cu
#
sysname R1
#
interface GigabitEthernet0/0/0
 ip address 100.1.1.1 255.255.255.252
#
interface GigabitEthernet0/0/1
 ip address 200.1.1.1 255.255.255.0
#
ip route-static 100.2.2.8 255.255.255.248 100.1.1.2    
 //该地址为汇总后的地址
#
return

2）server服务器和client客户端配置

sever-ftp服务器配置

• 添加一个系统目录后点击启动
  

server-http服务器配置

• 创建一个html文件夹后点击配置，随后点击启动
  

client客户端配置

• 在ftpclient以及httpclient上配置ip 100.2.2.9
  

3）配置防火墙NAT

技术部的防火墙NAT

• 技术部属于trust区域，通过Easy-ip访问Internet
• 先将接口添加到对应区域

[USG6000V1]firewall zone trust           //trust区域
[USG6000V1-zone-trust]add in g1/0/4	
[USG6000V1-zone-trust]add in g1/0/3
[USG6000V1-zone-trust]add in g1/0/2
[USG6000V1-zone-trust]quit
[USG6000V1]firewall zone dmz	        //dmz区域
[USG6000V1-zone-dmz]add in g1/0/1
[USG6000V1-zone-dmz]quit
[USG6000V1]firewall zone untrust       	//untrust区域
[USG6000V1-zone-untrust]add in g1/0/0

• 配置安全策略

[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name aqcl	//定义安全策略名字
[USG6000V1-policy-security-rule-aqcl]source-zone trust        		//源区域为trust
[USG6000V1-policy-security-rule-aqcl]destination-zone untrust    //目标区域为untrust
[USG6000V1-policy-security-rule-aqcl]action permit    //动作为允许

• 配置NAT策略

[USG6000V1]nat-policy 
[USG6000V1-policy-nat]rule name natcl    	 定义NAT策略名字
[USG6000V1-policy-nat-rule-natcl]source-address 192.168.3.0 24 		//定义源地址
[USG6000V1-policy-nat-rule-natcl]source-zone trust   		//定义源区域
[USG6000V1-policy-nat-rule-natcl]destination-zone untrust    	//定义目标区域
[USG6000V1-policy-nat-rule-natcl]action nat easy-ip    	//配置出接口方式

• 现在就可以使用PC1（技术部主机） ping外网的200.1.1.2（client客户端）进行验证了，在ping的过程中查看会话表（时间长了该会话表将没有任何内容），可以看到具体的转换条目
  

[USG6000V1]dis firewall session table     //使用dis firewall session table命令查看
2020-02-13 05:48:14.820 
 Current Total Sessions : 4
 icmp  VPN: public --> public  192.168.3.2:62177[100.1.1.2:2051] --> 200.1.1.2:2
048
 icmp  VPN: public --> public  192.168.3.2:61921[100.1.1.2:2050] --> 200.1.1.2:2
048
 icmp  VPN: public --> public  192.168.3.2:62689[100.1.1.2:2053] --> 200.1.1.2:2
048
 icmp  VPN: public --> public  192.168.3.2:62433[100.1.1.2:2052] --> 200.1.1.2:2
048
[USG6000V1]

• 注：Easy-ip类型的NAT不会产生server-map

行政部的防火墙NAT

• 配置行政部属于trust区域，通过NAPT访问internet（使用100.2.2.12/29）

• 由于在上面配置Easy-ip的NAT类型时，配置了安全策略，
  所以接下来trust区域访问untrust区域的流量就不用配置安全策略了

• 配置NAT地址组,地址组中的地址对应的是公网地址100.2.2.12/29

[USG6000V1]nat address-group napt    				//定义nat地址组名
[USG6000V1-address-group-napt]section 0 100.2.2.12   		//定义组中的地址
[USG6000V1-address-group-napt]mode pat   			//配置为NAPT方式
[USG6000V1-address-group-napt]quit

• 配置NAT策略

[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name napt   				//自定义nat策略的组名
[USG6000V1-policy-nat-rule-napt]source-address 192.168.2.0 24 	####定义需要转换的源地址
[USG6000V1-policy-nat-rule-napt]source-zone trust    		//定义源区域
[USG6000V1-policy-nat-rule-napt]destination-zone untrust     	//定义目标区域
[USG6000V1-policy-nat-rule-napt]action source-nat address-group napt  	//关联地址组

• NAPT的NAT类型要配置黑洞路由，所以要针对转换后的全局地址100.2.2.12/32配置黑洞路由

[USG6000V1] ip route-static 100.2.2.12 32 NULL 0   

• NAPT配置至此就完成了，可以自行验证，并查看会话表，查看是否转换为指定的地址

[USG6000V1]dis firewall session table
2020-02-13 07:58:11.940 
 Current Total Sessions : 5
 icmp  VPN: public --> public  192.168.2.2:26877[100.2.2.12:2067] --> 200.1.1.2:
2048
 icmp  VPN: public --> public  192.168.2.2:28413[100.2.2.12:2072] --> 200.1.1.2:
2048
 icmp  VPN: public --> public  192.168.2.2:27133[100.2.2.12:2068] --> 200.1.1.2:
2048
 icmp  VPN: public --> public  192.168.2.2:28669[100.2.2.12:2073] --> 200.1.1.2:
2048
 icmp  VPN: public --> public  192.168.2.2:30973[100.2.2.12:2079] --> 200.1.1.2:
2048

财务部的防火墙NAT

• 配置财务部属于trust区域，通过no-pat访问internet（使用100.2.2.10/29-100.2.2.11/29）

• 配置NAT地址组，地址组中的地址对应的是公网地址100.2.2.10–100.2.2.11

[USG6000V1]nat address-group natnopat 		 //定义nat地址组名
[USG6000V1-address-group-natnopat]section 0 100.2.2.10 100.2.2.11   //定义组中的地址
[USG6000V1-address-group-natnopat]mode no-pat local 	  //配置为NAT No-PAT方式
[USG6000V1-address-group-natnopat]quit

• 配置NAT策略

[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name nopat  			//自定义nat策略的组名
[USG6000V1-policy-nat-rule-nopat]source-address 192.168.1.0 24 		//定义需要转换的源地址
[USG6000V1-policy-nat-rule-nopat]source-zone trust   			//定义源区域
[USG6000V1-policy-nat-rule-nopat]destination-zone untrust 			//定义目标区域
[USG6000V1-policy-nat-rule-nopat]action source-nat address-group natnopat 		//关联地址组
[USG6000V1-policy-nat-rule-nopat]quit

• 针对转换后的全局地址（NAT地址组中的地址）配置黑洞路由

[USG6000V1]ip route-static 100.2.2.10 32 NULL 0
[USG6000V1]ip route-static 100.2.2.11 32 NULL 0

• 至此，NAT No-PAT配置完成了，可以自行验证，并且会产生server-map表
  

[USG6000V1]dis firewall session table     //查看会话表
2020-02-13 08:16:46.280 
 Current Total Sessions : 5
 icmp  VPN: public --> public  192.168.1.2:22017[100.2.2.10:22017] --> 200.1.1.2
:2048
 icmp  VPN: public --> public  192.168.1.2:22785[100.2.2.10:22785] --> 200.1.1.2
:2048
 icmp  VPN: public --> public  192.168.1.2:22529[100.2.2.10:22529] --> 200.1.1.2
:2048
 icmp  VPN: public --> public  192.168.1.2:23041[100.2.2.10:23041] --> 200.1.1.2
:2048
 icmp  VPN: public --> public  192.168.1.2:22273[100.2.2.10:22273] --> 200.1.1.2
:2048

[USG6000V1]dis firewall server-map    //查看server-map表
2020-02-13 08:17:47.660 
 Current Total Server-map : 2
 Type: No-Pat Reverse, ANY -> 100.2.2.10[192.168.1.2],  Zone: untrust 
 Protocol: ANY, TTL:---, Left-Time:---,  Pool: 1, Section: 0
 Vpn: public

 Type: No-Pat,  192.168.1.2[100.2.2.10] -> ANY,  Zone: untrust 
 Protocol: ANY, TTL:360, Left-Time:311,  Pool: 1, Section: 0
 Vpn: public

配置DMZ区域中的两台服务器

• 配置DMZ区域中的两台服务器配置NAT-Server发布,分别提供FTP服务及web服务（使用100.2.2.9/29）
• 配置安全策略
• セキュリティポリシーの設定のために、それは問題でDMZ領域に、これはあなたがそれをDMZトラフィックにUNTRUSTの関連サービスをリリースしなければならないので、インターネットユーザーはこれらのサーバーにアクセスできるようにすることを、DMZのうち公開するサーバーではありませんので、アクセスは、信頼Untrustゾーンになる前に

[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name todmz  
[USG6000V1-policy-security-rule-todmz]source-zone untrust 
[USG6000V1-policy-security-rule-todmz]destination-zone dmz
[USG6000V1-policy-security-rule-todmz]destination-address 192.168.0.0 24
[USG6000V1-policy-security-rule-todmz]service ftp
[USG6000V1-policy-security-rule-todmz]service http
[USG6000V1-policy-security-rule-todmz]action permit 

• NATサーバーの構成

[USG6000V1]nat server ftp protocol tcp global 100.2.2.9 21 inside 192.168.0.2 21
[USG6000V1]nat server http protocol tcp global 100.2.2.9 80 inside 192.168.0.3 80

• 後でアクセスが迅速セッションとサーバー・マップ・テーブルを表示することができ、クライアントのCLIENT1を確認するために、外部ネットワークへのアクセスを使用してください
  （時間に老化の恐れのために、すべてのエントリは表示されません）、次のような結果が表示されます
  
• ビューの会話テーブルとサーバー・マップ・テーブル

[USG6000V1]dis firewall session table 
2020-02-13 08:46:51.680 
 Current Total Sessions : 3
 ftp  VPN: public --> public  200.1.1.2:2055 +-> 100.2.2.9:21[192.168.0.2:21]
 http  VPN: public --> public  200.1.1.2:2057 --> 100.2.2.9:80[192.168.0.3:80]
 ftp  VPN: public --> public  200.1.1.2:2053 +-> 100.2.2.9:21[192.168.0.2:21]

[USG6000V1]dis firewall server-map 
2020-02-13 08:48:09.740 
 Current Total Server-map : 4
 Type: Nat Server,  ANY -> 100.2.2.9:80[192.168.0.3:80],  Zone:---,  protocol:tc
p
 Vpn: public -> public

 Type: Nat Server,  ANY -> 100.2.2.9:21[192.168.0.2:21],  Zone:---,  protocol:tc
p
 Vpn: public -> public

 Type: Nat Server Reverse,  192.168.0.2[100.2.2.9] -> ANY,  Zone:---,  protocol:
tcp
 Vpn: public -> public,  counter: 1

 Type: Nat Server Reverse,  192.168.0.3[100.2.2.9] -> ANY,  Zone:---,  protocol:
tcp
 Vpn: public -> public,  counter: 1

• HTTPアクセス
  
• 結果は成功、実験の終わりを示し、