返回
网络地址翻译方法总结和实验

网络地址翻译方法总结和实验

ID:15386313

大小:620.50 KB

页数:33页

时间:2018-08-03

网络地址翻译方法总结和实验_第1页
网络地址翻译方法总结和实验_第2页
网络地址翻译方法总结和实验_第3页
网络地址翻译方法总结和实验_第4页
网络地址翻译方法总结和实验_第5页
资源描述:

《网络地址翻译方法总结和实验》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网络地址翻译方法总结和实验目录一、前言1二、Netscreen防火墙各种地址翻译方法的特点总结1三、地址翻译方法实验51.Netscreen防火墙的地址翻译实验环境52.Netscreen防火墙的策略地址翻译实验63.1由外向内的地址翻译63.2由内向外的地址翻译153.Netscreen防火墙的接口地址翻译实验204.1MIP地址翻译204.2VIP地址翻译234.将MIP和VIP用策略地址翻译替代实验265.1MIP地址翻译的替代265.2VIP地址翻译的替代30正文一、前言企业网络需要和上下级单位及各种合作伙伴进行互联,其中需要涉及到在

2、边界网关防火墙处进行地址翻译和路由,由于许多企业内部应用程序对地址和端口进行了绑定,外部合作伙伴对网络地址和端口的要求也是多种多样,并且网络不断改造调整,造成了地址翻译和路由要求异常复杂多变。希望通过本文对Netscreen防火墙的各种地址翻译功能进行归纳总结,帮助企业网管人员理解如何将Netscreen的各种地址翻译功能和企业网络的具体实践有效结合,提出适合企业网络管理的地址翻译解决方案。二、Netscreen防火墙各种地址翻译方法的特点总结Netscreen防火墙的地址翻译主要包括五类:lNAT-src33lNAT-dstlMappedI

3、P(MIP)lVirtualIP(VIP)lUntrust口的源地址翻译这五类地址翻译可以从两个角度分类:一、是源地址翻译还是目的地址翻译?lNAT-src和Untrust口的源地址翻译是源地址翻译。lNAT-dst和VIP是目的地址翻译。lMIP是双向地址翻译。二、是基于策略的地址翻译还是基于接口的地址翻译?lNAT-src和NAT-dst是基于策略的地址翻译。lUntrust口的源地址翻译、MIP和VIP是基于接口的地址翻译。也就是说,NAT-src和NAT-dst是在制订的防火墙Policy的基础之上,即规定了源地址、目的地址、源端口、

4、目的端口等之后,对符合这条策略的信息流进行NAT-src和NAT-dst方式的地址和端口翻译。而另外三种地址翻译都是和接口进行了绑定,而和Policy策略无关。因此,这几种地址翻译方法总结来说具有以下应用特点:lNAT-src和NAT-dst可以完全覆盖另外三种地址翻译方法,也就是说另外三种地址翻译方法可以完全翻译成具有相同效果的NAT-src和NAT-dst,反之则不行。lNAT-src和NAT-dst由于是基于Policy进行地址翻译,具有更好的信息流控制粒度。lNAT-src和NAT-dst可以在任意两个安全域(zone)之间进行设置。

5、lNAT-src和NAT-dst33可以在一条Policy中同时设置执行,对源和目的地址同时翻译,但是仅仅是单向的地址翻译。l单向翻译可以提供更好的控制与安全性能。lUntrust口的源地址翻译只能在Untrust口实现。尽管可以将绑定到任意第3层区段的接口的操作模式定义为NAT,但是,安全设备只对通过该接口传递到Untrust区段的信息流执行NAT。对于通往Untrust区段之外的其它任意区段的信息流,ScreenOS不执行NAT。还要注意,ScreenOS允许您将Untrust区段接口设置为NAT模式,但是这样做并不会激活任何NAT操作。

6、lVIP只能在Untrust口实现。lMIP和VIP一般需要与所配置的接口处于同一网段,但是为Untrust区段中接口定义的MIP例外。该MIP可以在不同于Untrust区段接口IP地址的子网中。但是,如果真是这样,就必须在外部路由器上添加一条路由,指向Untrust区段接口,以便内向信息流能到达MIP。此外,必须在与MIP相关的防火墙上定义一个静态路由。另外这几种策略发生冲突重叠时具有以下规律:l入口接口处于“路由”或NAT模式时,可以使用基于策略的NAT-src。如果配置策略以应用NAT-src,且入口接口处于NAT模式下,则基于策略的N

7、AT-src设置会覆盖基于接口的NAT。l不支持同时将基于策略的NAT-dst与MIP、VIP配合使用。如果您配置了MIP或VIP,安全设备会在应用了基于策略的NAT-dst的任何信息流上应用MIP或VIP。换言之,如果安全设备偶然将MIP和VIP应用于同一信息流,则MIP和VIP将禁用基于策略的NAT-dst。l应该避免将接口IP地址、MIP、VIP、DIP设置重复,否则会不可设置或引起冲突。通过实际调查,可以发现很多网管人员习惯于使用MIP、VIP和33Untrust口的源地址翻译来进行地址翻译,这主要是因为:l这三种地址翻译方法是目前大

8、多数防火墙普遍采用的地址翻译方法,网管人员不需要学习就已经掌握。l一对一的静态地址映射便于理解,也是目前大多数防火墙普遍采用的地址翻译方法。l如果从其它防火墙迁移到

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。