原創(chuàng)不易，如果您喜歡安全運(yùn)維系列文章硫眨，歡迎關(guān)注、評(píng)論撩笆，期待與您一起成長(zhǎng)

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展捺球，接入互聯(lián)網(wǎng)的設(shè)備也迅速增加，入網(wǎng)數(shù)量超過了IP地址的梳理夕冲，這就出現(xiàn)了IP地址不夠用的情況氮兵。因此，除了必備的公網(wǎng)業(yè)務(wù)歹鱼，各組織和單位都構(gòu)建了自己的局域網(wǎng)泣栈，局域網(wǎng)內(nèi)使用內(nèi)網(wǎng)地址，需要與外網(wǎng)交互時(shí)則將內(nèi)網(wǎng)地址轉(zhuǎn)換為外網(wǎng)地址弥姻。這種將內(nèi)網(wǎng)地址轉(zhuǎn)換為外網(wǎng)地址的技術(shù)就是NAT（Network Address Translation南片，網(wǎng)絡(luò)地址轉(zhuǎn)換），本文基于實(shí)際工作需要對(duì)NAT映射的相關(guān)配置進(jìn)行介紹庭敦。

NAT映射示意圖

1疼进、NAT映射適用場(chǎng)景

做NAT映射有兩種適用場(chǎng)景：一是內(nèi)網(wǎng)終端訪問公網(wǎng)IP地址時(shí)需要將內(nèi)網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，稱之為源NAT映射秧廉；二是為內(nèi)網(wǎng)服務(wù)器分配公網(wǎng)地址伞广，以為外部用戶提供服務(wù)，稱之為目的NAT映射疼电。這兩種場(chǎng)景在實(shí)際工作中都會(huì)用到嚼锄，安全運(yùn)維人員需要熟練操作這兩種映射方式。

2蔽豺、NAT映射的普遍原理

NAT映射的普遍實(shí)現(xiàn)原理是端口映射区丑，按照源NAT和目的NAT介紹如下：

（1）源NAT：內(nèi)網(wǎng)終端訪問公網(wǎng)應(yīng)用時(shí)，其數(shù)據(jù)包是從某一個(gè)具體端口出去的，同樣的一個(gè)公網(wǎng)地址也有若干個(gè)服務(wù)端口（65535）沧侥，那么就可以從公網(wǎng)的端口中選擇一個(gè)并將其與內(nèi)網(wǎng)終端的數(shù)據(jù)包出口綁定（即映射）可霎。比如，內(nèi)網(wǎng)10.153.11.12:10000可以對(duì)應(yīng)公網(wǎng)211.120.135.6:10000正什，內(nèi)網(wǎng)10.153.11.13:1888可以對(duì)應(yīng)公網(wǎng)211.120.135.6:1888啥纸。

（2）目的NAT：內(nèi)部服務(wù)器為外部用戶提供的服務(wù)也是以端口的形式存在，如主機(jī)10.153.11.12的WWW服務(wù)對(duì)應(yīng)的端口號(hào)80婴氮，則可以將其映射為211.120.135.6，端口號(hào)為80或8080或8888盾致。這樣主经，外網(wǎng)用戶只需要訪問211.120.135.6:8888即可訪問10.153.11.12的www服務(wù)。

如下命令將內(nèi)網(wǎng)地址10.153.11.12映射成公網(wǎng)地址211.120.135.6：

nat server global 211.120.135.6 inside 10.153.11.12

考慮到服務(wù)端口和協(xié)議類型庭惜，如下命令將內(nèi)網(wǎng)10.153.11.12的www服務(wù)（80端口）映射為公網(wǎng)的211.120.135.6的8888端口罩驻，協(xié)議為TCP：

nat server protocol tcp global 211.120.135.6 8888 inside 10.153.11.12 80

上述命令中，global表示公網(wǎng)地址护赊，inside表示內(nèi)網(wǎng)地址惠遏，更詳細(xì)的命令涵義可以通過問號(hào)？進(jìn)行查詢骏啰。

3节吮、NAT地址池

如上面所述，每個(gè)單位所分配的公網(wǎng)地址是有限的判耕，我們將這樣一組有限的地址形象地看作一個(gè)水池透绩，水池里面存儲(chǔ)的不是水而是公網(wǎng)地址，這就是NAT地址池壁熄。對(duì)于源NAT映射帚豪，NAT地址池的概念特別重要，防火墻就是從地址池中隨機(jī)的選擇一個(gè)公網(wǎng)IP和端口并映射到內(nèi)網(wǎng)IP和端口上草丧。如下命令配置了一個(gè)包含8個(gè)公網(wǎng)地址的地址池：

nat address-group 1

mode pat

status active

section 0 211.120.135.1 211.120.135.8

上述命令中狸臣，mode pat表示NAT映射的方式是端口映射（P=Port），還有另外一種模式NO-PAT昌执，即非端口映射烛亦，也可稱為一對(duì)一IP地址轉(zhuǎn)換，即一個(gè)內(nèi)網(wǎng)IP地址對(duì)應(yīng)一個(gè)公網(wǎng)IP地址仙蚜。

4此洲、源NAT映射配置和安全策略配置

上面介紹了源NAT映射和NAT地址池的概念，如下命令演示了源NAT的配置方式委粉，其含義是10.153.11.12和10.153.11.13這兩個(gè)IP地址及10.153.12.2-10.153.12.188這186個(gè)地址可以從address-group1的NAT地址池中隨機(jī)選擇公網(wǎng)地址進(jìn)行映射呜师。

nat-policy interzone trust untrust outbound

policy 0

action source-nat

policy source 10.153.11.12 0

policy source 10.153.11.13 0

policy source range 10.153.12.2 10.153.12.188

address-group 1

上面配置了源NAT的NAT策略，即定義了內(nèi)網(wǎng)IP會(huì)被轉(zhuǎn)換為哪些公網(wǎng)IP地址（含端口）贾节。但是汁汗，防火墻還有一個(gè)重要功能就是進(jìn)行流量的控制衷畦，確定一個(gè)流量是否允許通過防火墻，且其判斷發(fā)生在NAT之前知牌。因此祈争，除了配置NAT策略外，還需要在此之前利用《安全運(yùn)維之華為防火墻策略配置》中的方法配置內(nèi)網(wǎng)IP地址的訪問策略角寸，即指明哪些內(nèi)網(wǎng)IP地址可以訪問哪些外網(wǎng)地址菩混。

policy interzone trust untrust outbound

policy 0

action permit

policy service service-set servicename

policy source 10.153.11.12 0

policy source 10.153.11.13 0

policy source range 10.153.12.2 10.153.12.188

policy destination 211.121.111.8 0

policy destination 211.121.150.88 0

policy destination 211.121.188.8 0

通過上面這些操作即可完成內(nèi)網(wǎng)IP地址訪問公網(wǎng)地址的源NAT映射配置。

5扁藕、目的NAT映射配置和安全策略

目的NAT映射的配置統(tǒng)一包括映射策略和安全策略兩個(gè)部分沮峡，映射策略的配置前面已經(jīng)舉例配置，即

nat server protocol tcp global 211.120.135.6 8888 inside 10.153.11.12 80

而其安全配置也與4中的安全策略配置類似：

policy interzone trust untrust inbound

action permit

policy destination 10.153.11.12 0

6亿柑、總結(jié)

NAT映射的主要目的是為了實(shí)現(xiàn)內(nèi)外網(wǎng)地址的互訪邢疙，包括源NAT和目的NAT兩種場(chǎng)景，主要的實(shí)現(xiàn)原理是端口映射望薄，其配置均包括安全策略配置和映射策略配置兩部分疟游，且安全策略要在映射策略之前。

感謝您花費(fèi)時(shí)間閱讀此文痕支，水平有限颁虐，但請(qǐng)見諒，歡迎關(guān)注評(píng)論“斯沃勒科教工作室”采转，期待與您一起學(xué)習(xí)聪廉、成長(zhǎng)。有興趣深入了解的同仁可以參見《強(qiáng)叔侃墻》故慈，絕對(duì)物超所值板熊，下文將介紹華為防火墻的用戶管理和安全管理。