防火墙NAT

一、根据以下问题总结当天课程：

1.防火墙支持那些NAT技术，主要应用场景是什么？

防火墙NAT技术简介：

NAT是一种地址转换技术，可以将IPv4报文头种的地址转换为另一个地址。通常情况下，利用NAT技术将IPV4报文头中的私网地址转换为公网地址，可以实现位于私网的多个用户使用少量的公司地址同时访问Internet。用于解决公网地址短缺的问题。

NAT类型：

根据转化方式的不同，NAT可以分为三类：

1.源NAT：源NAT在NAT转换时，仅对报文中的源地址进行转换，主要应用于私网用户访问公网的场景。

有：NO-PAT,NAPT,Easy_ip,smart_nat,三元组NAT。

2.目的NAT ：目的NAT在NAT转换时，仅对报文中的目的地址和目的端口号进行转换，主要应用于公网用户访问私网服务的场景。

有：NAT-Server,SLB

3.双向NAT：指转换过程中同时转换报文的源信息和目的信息，双向NAT主要应用在同时有外网用户访问内部服务器和私网用户访问内部服务器的场景

域间双向NAT

好处：转完之后，当回包的时候不需要外网路由，只需要内网路由就可以

用于解决内网服务器没有外网路由的问题

注意点：

• NAT策略：把握住转换前数据包源目地址是什么以及转换后源目地址是什么
• 安全策略：把握住在没有做NAT数据应该放行的参数，就是做完NAT后应该放行的参数。

域内双向NAT：

主要用于当内网PC以公网形式访问内网服务器时。

私网用户与内部服务器在同一安全区域同一网段时，私网用户希望像外网用户一样，通过公网地址来访问内部服务器的场景。

目的：由于私网用户与死亡服务器被划分到同一个网络中，为了提高内部网络的安全性使私网服务器的回应报文也经过防火墙，就需要配置域内NAT。

2.当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

存在问题：路由回流

路由回流：当用路由器防火墙等设备将内网服务器发布到公网上时，外网用户能够访问内部服务器但内网用户无法访问内网服务器，这就是内网回流。

造成路由回流的原因：出口设备路由器或防火墙做了NAT/PAT(也被称为源地址转换)和端口映射(也被称为目标地址转换)造成的。

解决方案：域内双向NAT(具体查看后面实验)

3、防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

双机热备：防火墙部署在网络出口位置时，为了防止发生故障影响业务，部署两台防火墙组成双机热备，两台防火墙的型号、类型、数量都要相同。

存在问题：

• 当主防火墙坏掉，自动选择备用，但不会进入会话表，因为会话表是由首保机制建立解决方案： 关闭流量监测，使用非首包建立会话表。
• 当防火墙的线路有一条断开，并不会切换到另外一台防火墙。解决：备份组

4.防火墙支持哪些接口模式，一般使用在那些场景？

• 部署透明模式(L2)：适用于用户不希望改变现有网络规划和配置的场景
• 部署路由模式(L3)：适用于需要防火墙提供路由和NAT功能的场景
• 部署混合模式(L1)：适用于防火墙在网络中即有二层接口，又有三层接口的场景
• 部署旁路模式(Tap)：适用于用户希望试用防火墙的监控、统计、入侵防御等功能，暂时不将防火墙直连在网络里

5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网，你觉得会是什么原因？

• 流量包往返信息不一致导致，应该查看防火墙流量信息，解决方法：使往返流量包信息一致。

相关实验：

实验拓扑结构：

域间双向NAT实验

1.做NAT策略

2、新建源转换池

3、新建安全策略

4、启动服务器的HTTP服务，在客户端做测试

域内双向NAT实验

1、将内网的路由器换成服务器，服务器IP为：172.16.2.3/24

2、新建NAT策略：

转换后的源地址：100.1.1.200

转换后的目的地址：172.16.2.3

3、新建安全策略

** 双机热备实验 **

1、修改拓扑结构，加入第二台防火墙

2、给第二台防火墙配置IP

3、先配置防火墙1的链路聚合

4、进入第二台防火墙，配置接口IP

5、在第二台防火墙上添加安全策略

配置安全策略

6、配置双机热备

7、将防火墙1作为主进行配置

配置双机热备

可以配置接口监控

8、配置完成后在备份机上进行一致性检测，并同步配置

9、在主防火墙上查看

配置成功

10、测试能否切换

断开一条链路，查看主防火墙是否切换