Netscreen 4.0操作手册
4 NAT模式及Route模式
4.1 NAT模式
NAT(网络地址转换)是一种将一个地址域(如专用Intranet)映射到另一个地址域(如Internet)的标准方法。NAT允许一个机构专用Intranet中的主机透明地连接到公共域中的主机,无需内部主机拥有合法的(以及越来越缺乏的)Internet地址。
广义的NAT包括NAT(Network Address Translation)和PAT(Port Address Translation)两种技术。其中传统的NAT是一种一对一地址转换的技术,它将一个公网地址与一个私有地址对应起来;而PAT是一种多对一地址转换的技术,它将一个公网地址同时供多个私有地址使用,利用TCP和UDP的端口号区分开各个连接。
Netscreen的NAT操作可以通过两种方式实现,基于接口的NAT和基于策略的NAT。
对于两种不同方式的NAT设置,下面用一个例子来说明。
实例:建立内部网络到外部网络的NAT,假设内部网络使用172.16.20.x/24这段地址,trust接口设置为172.16.20.10,untrust接口配置成209.122.30.10,接口网关是209.122.30.250。
广州市新科新信息技术有限公司 第35页
Netscreen 4.0操作手册
4.1.1 基于端口的NAT
将防火墙Trust接口设置成NAT模式,此时所有从Trust口进入数据包都会被进行PAT操作,包头地址会被替换为数据包输出所使用端口的IP,也就是说,如果数据包从DMZ接口输出,则被强制转换成DMZ接口地址。此模式只能建立从Trust接口到DMZ或Untrust接口的NAT。
设置流程: 1. 2. 3. 4.
设置Trust Interface的IP和模式为NAT,设置Untrust Interface的IP 把Interface配置给对应的Zone 把Zone配置给对应的Vrouter 建立基于对应Zone的策略
本例中:(本例用的是Netscreen 5XT或100系列为例子,对于多个端口的设备,可把Trust对应E1,DMZ对应E2,Untrust对应E3)
1.
将Trust Interface的IP地址设为172.16.20.10,掩码255.255.255.0,模式选为NAT。
广州市新科新信息技术有限公司 第36页
Netscreen 4.0操作手册
2.
将Untrust Interface设为209.122.30.10,掩码255.255.255.0,网关设为209.122.30.250。
3. 将Trust Interface配置给Trust Zone,Untrust Interface配置给Untrust Zone。
4. 把Trust Zone和Untrust Zone都配置给trust-vr这个Vrouter。
建立由Trust Zone 到Untrust Zone的policy,可以选择建立地址对象(请参考Oject对象章节)或直接指定源地址和目标地址,然后选择服务(请参考2.3.7设置Policy章节)
4.1.2 基于策略的NAT
将防火墙Trust接口设置为Route模式,在系统策略(Policy)中指定采用NAT操作。这种NAT实现方式可以根据源、目标地址和使用的协议等条件来定义一个数据流,然后对不同的数据流选择采用不同的操作方式,比如做不做NAT,是使用NAT还是PAT等。同时此模式可以建立任意两个接口间的NAT,如从Untrust接口到Trust接口的NAT,从DMZ区到Untrust口的NAT等。因此基于策略的NAT比基于接口的NAT具有更大的灵活性。
广州市新科新信息技术有限公司 第37页
Netscreen 4.0操作手册
设置流程: 1. 2. 3. 4.
设置Trust Interface的IP和模式为Route,设置Untrust Interface的IP 把Interface配置给对应的Zone 把Zone配置给对应的Vrouter
建立基于对应Zone的Policy,并且在Advanced的选项中选择NAT,
然后在后面的方框中可以选择是否Fix-port(是否转换端口),是否使用DIP(是否使用动态IP转换,可以预先在端口设置一段IP地址给DIP,当选择使用DIP并选择这段地址时,Netscreen设备会随机在这段地址中选择转换的IP)
本例中:(本例用的是Netscreen 5XT或100系列为例子,对于多个端口的设备,可把Trust对应E1,DMZ对应E2,Untrust对应E3) 1.
将Trust Interface的IP地址设为172.16.20.10,掩码255.255.255.0,模式选为Route。 2.
将Untrust Interface设为209.122.30.10,掩码255.255.255.0,网关设为209.122.30.250。 3. 4.
将Trust Interface配置给Trust Zone,Untrust Interface配置给Untrust Zone。 把Trust Zone和Untrust Zone都配置给trust-vr这个Vrouter。
广州市新科新信息技术有限公司 第38页
Netscreen 4.0操作手册
建立由Trust Zone 到Untrust Zone的policy,可以选择建立地址对象(请参考Oject对象章节)或直接指定源地址和目标地址,然后选择服务(请参考2.3.7设置Policy章节),最后在advanced的选项中选择NAT。
4.2 Route模式
Route模式就是在Netscreen设备中不进行IP地址及端口的转换,只是设立Trust端口到Untrust端口的路由。设置过程与基于策略的NAT差不多,只是在策略中不要勾选NAT选项。
设置流程: 1. 2. 3. 4.
设置Trust Interface的IP和模式为Route,设置Untrust Interface的IP 把Interface配置给对应的Zone 把Zone配置给对应的Vrouter
建立基于对应Zone的Policy,不要勾选Advanced中的NAT选项。
4.3 MIP和VIP
对于一个内部网络通过NAT连接外网的网络环境,如果在内部网络的服务器需要被外部访问,则需要建立一条由外到内的通道。
由于内部网络通常处于NAT设备之后,外部主机无法建立直接的连接。Netscreen提供了两种解决方案,MIP(Mapped IP)和VIP(Virtual IP)。 4.3.1 MIP
MIP方式实现的功能其实就是静态的NAT,它将防火墙外接口的一个外部地址与一个内部地址对应起来,做一对一的NAT。
广州市新科新信息技术有限公司 第39页