《【网络安全】【使用防火墙实现安全NAT】》.pdf

网络安全实验教程 使用防火墙实现安全NAT 【实验名称】 使用防火墙实现安全NAT 【实验目的】 利用防火墙的安全NAT 功能实现网络地址转换及访问控制 【背景描述】 某企业网络的出口使用了一台防火墙作为接入Internet 的设备，并且内部网络使用私有 IP 地址（RFC 1918）。现在需要使用防火墙的安全NAT 功能使内部网络中使用私有地址的 主机访问Internet 资源，并且还需要进行访问控制，只允许必要的流量通过防火墙。 企业内部网络使用的私有地址段为 /24、/24、/24。公司领导 使用的子网为 /24，设计部使用的子网为 /24，其他员工使用的子网为 /24。并且公司在公网上有一台IP 地址为 的外部FTP 服务器。 现在需要在防火墙上进行访问控制，使经理的主机可以访问 Internet 中的Web 服务器 和公司的外部 FTP 服务器，并能够使用邮件客户端（SMTP/POP3 ）收发邮件；设计部的 主机可以访问Internet 中的Web 服务器和公司的外部FTP 服务器；其他员工的主机只能访 问公司的外部FTP 服务器。 【需求分析】 企业网络需要将使用私有编址的内部网络能够访问 Internet，并且对内部网络到达 Internet 的流量进行限制，防火墙的安全NAT 功能可以同时满足这两个需求。 【实验拓扑】 66 第二章 防火墙安全技术实验 【实验设备】 防火墙连接到Internet 的链路 防火墙 1 台 路由器 1 台 PC 3 台 FTP 服务器 1 台 【预备知识】 网络基础知识 防火墙基础知识 【实验原理】 实现安全的NAT 地址转换是防火墙的基本功能，防火墙的安全NAT 规则可以根据数据 包的源IP 地址、目的IP 地址、服务（端口号）等对通过防火墙的报文进行检测，并进行必 要的地址转换。 【实验步骤】 第一步：配置防火墙接口的IP 地址 进入防火墙的配置页面：网络配置— 接口IP，单击 按钮为接口添加IP 地址。 67 网络安全实验教程 为防火墙的LAN 接口配置IP 地址及子网掩码。 为防火墙的WAN 接口配置IP 地址及子网掩码。 接口配置IP 地址后的状态。 68 第二章 防火墙安全技术实验 第二步：配置针对经理的主机的安全NAT 规则 进入防火墙配置页面：安全策略— 安全规则，单击页面上方的 按钮添加 NAT 规则。 添加允许经理的主机访问Internet 中Web 服务器的NAT 规则。 添加允许经理的主机进行DNS 域名解析的NAT 规则。 69 网络安全实验教程 添加允许经理的主机访问公司外部FTP 服务器的NAT 规则。 添加允许经理的主机使用邮件客户端发送邮件（SMTP ）的NAT 规则。 70 第二章 防火墙安全技术实验 添加允许经理的主机使用邮件客户端接收邮件（POP3）的NAT 规则。 第三步：配置针对设计部的主机的安全NAT 规则 添加允许设计部的主机访问Internet 中Web 服务器的NAT 规则。 71 网络安全实验教程 添加允许设计部的主机进行DNS 域名解析的NAT 规则。 添加允许设计部的主机访问公司外部FTP 服务器的NAT 规则。 72 第二章 防火墙安全技术实验 第四步：配置针对其他员工的主机的安全NAT 规则 添加允许其他员工的主机访问公司外部FTP 服务器的NAT 规则。 第五步：查看配置的访问规则 73 网络安全实验教程 第六步：验证测试 经理的主机可以访问Internet 中的Web 服务器和公司的外部FTP 服务器，并能够 使用邮件客户端（SMTP/POP3 ）收发邮件。 设计部的主机可以访问Internet 中的Web 服务器和公司的外部FTP 服务器。 其他员工的主机只能访问公司的外部FTP 服务器。 【注意事项】 防火墙的NAT 规则是按照顺序进行匹配的，如果数据流匹配到某条规则后，将不 再进行后续规则的匹配。 默认情况下，防火墙拒绝所有未明确允许的数据流通过，并且不对其进行地址转换。 本实验中没有给出防火墙路由的配置，需要根据实际网络情况在防火墙上配置到达 Internet （通常是默认路由）和内部网络的路由。 本实验中没有给出内部网络中路由器的配置，为了实现网络的互通，需要在路由器 上配置地址和相关路由信息。 74