FAQ--防火墙双向NAT的应用示例

发布时间:  2015-12-06 浏览次数:  238 下载次数:  0
问题描述

防火墙隔离客户端和服务器,需求隐藏服务器真实IP,同时对源IP转换且做精细化的包过滤策略。


解决方案

关键配置:
ip service-set e1 type object  //定义服务集
service 0 protocol tcp source-port 0 to 65535 destination-port 80

nat server 0 protocol tcp global 172.1.1.2 www inside 21.1.1.1 www  //服务器映射
nat server 1 protocol tcp global 21.1.1.1 www inside 1.1.1.1 www  //使访问21.1.1.1:80的流量引入路由黑洞

ip route-static 0.0.0.0 0.0.0.0 22.1.1.1
ip route-static 1.1.1.1 255.255.255.255 NULL0  //黑洞路由

policy interzone trust untrust inbound  //包过滤
policy 1
  action permit
  policy service service-set e1
  policy source 172.1.1.1 0
  policy destination 21.1.1.1 0

nat-policy interzone trust untrust inbound   //源NAT
policy 1
  action source-nat
  policy source 172.1.1.1 0
  easy-ip GigabitEthernet0/0/1

因为client做源NAT转换,为了防止client直接通过21.1.1.1:80访问服务器,需要配置黑洞路由,使访问21.1.1.1:80的流量引入黑洞,
避免直接通过私网地址访问服务器。

防火墙的首包报文简化处理流程:查server-map表----路由----包过滤策略----源NAT----创建会话。

client主动访问172.1.1.2:80匹配server-map表,数据包IP头部的目的地址变为21.1.1.1,查路由表匹配默认路由,
同时检查包过滤策略匹配成功,此时client能访问服务器,对应会话信息如下。

<FW1>display  firewall session table  verbose
10:04:32  2015/12/06
Current Total Sessions : 1
  http  VPN:public --> public
  Zone: untrust--> trust  TTL: 00:00:10  Left: 00:00:05
  Interface: GigabitEthernet0/0/1  NextHop: 22.1.1.1  MAC: 4c-1f-cc-f8-7a-8f
  <--packets:5 bytes:515   -->packets:7 bytes:443
  172.1.1.1:2049[22.1.1.254:2048]-->172.1.1.2:80[21.1.1.1:80]

client主动访问21.1.1.1:80匹配server-map表,此时数据IP头部的目的地址变为1.1.1.1,查找路由表匹配黑洞路由,
此时数据包被丢弃,访问不成功,对应无会话信息。

<FW1>display  firewall session table  verbose
10:06:10  2015/12/06
Current Total Sessions : 0



END