网络地址翻译方法总结和实验.doc

PAGE PAGE 1 网络地址翻译方法总结和实验 目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc143428281 一、 前言 PAGEREF _Toc143428281 \h 1 HYPERLINK \l _Toc143428282 二、 Netscreen防火墙各种地址翻译方法的特点总结 PAGEREF _Toc143428282 \h 1 HYPERLINK \l _Toc143428283 三、 地址翻译方法实验 PAGEREF _Toc143428283 \h 5 HYPERLINK \l _Toc143428284 １. Netscreen防火墙的地址翻译实验环境 PAGEREF _Toc143428284 \h 5 HYPERLINK \l _Toc143428285 ２. Netscreen防火墙的策略地址翻译实验 PAGEREF _Toc143428285 \h 6 HYPERLINK \l _Toc143428286 3.1 由外向内的地址翻译 PAGEREF _Toc143428286 \h 6 HYPERLINK \l _Toc143428287 3.2 由内向外的地址翻译 PAGEREF _Toc143428287 \h 15 HYPERLINK \l _Toc143428288 ３. Netscreen防火墙的接口地址翻译实验 PAGEREF _Toc143428288 \h 20 HYPERLINK \l _Toc143428289 4.1 MIP地址翻译 PAGEREF _Toc143428289 \h 20 HYPERLINK \l _Toc143428290 4.2 VIP地址翻译 PAGEREF _Toc143428290 \h 23 HYPERLINK \l _Toc143428291 ４. 将MIP和VIP用策略地址翻译替代实验 PAGEREF _Toc143428291 \h 26 HYPERLINK \l _Toc143428292 5.1 MIP地址翻译的替代 PAGEREF _Toc143428292 \h 26 HYPERLINK \l _Toc143428293 5.2 VIP地址翻译的替代 PAGEREF _Toc143428293 \h 30 正文 前言 企业网络需要和上下级单位及各种合作伙伴进行互联，其中需要涉及到在边界网关防火墙处进行地址翻译和路由，由于许多企业内部应用程序对地址和端口进行了绑定，外部合作伙伴对网络地址和端口的要求也是多种多样，并且网络不断改造调整，造成了地址翻译和路由要求异常复杂多变。 希望通过本文对Netscreen防火墙的各种地址翻译功能进行归纳总结，帮助企业网管人员理解如何将Netscreen的各种地址翻译功能和企业网络的具体实践有效结合，提出适合企业网络管理的地址翻译解决方案。 Netscreen防火墙各种地址翻译方法的特点总结 Netscreen防火墙的地址翻译主要包括五类： NAT-src NAT-dst Mapped IP (MIP) Virtual IP (VIP) Untrust口的源地址翻译 这五类地址翻译可以从两个角度分类： 是源地址翻译还是目的地址翻译？ NAT-src和Untrust口的源地址翻译是源地址翻译。 NAT-dst和VIP是目的地址翻译。 MIP是双向地址翻译。 是基于策略的地址翻译还是基于接口的地址翻译？ NAT-src和NAT-dst是基于策略的地址翻译。 Untrust口的源地址翻译、MIP和VIP是基于接口的地址翻译。 也就是说，NAT-src和NAT-dst是在制订的防火墙Policy的基础之上，即规定了源地址、目的地址、源端口、目的端口等之后，对符合这条策略的信息流进行NAT-src和NAT-dst方式的地址和端口翻译。而另外三种地址翻译都是和接口进行了绑定，而和Policy策略无关。 因此，这几种地址翻译方法总结来说具有以下应用特点： NAT-src和NAT-dst可以完全覆盖另外三种地址翻译方法，也就是说另外三种地址翻译方法可以完全翻译成具有相同效果的NAT-src和NAT-dst，反之则不行。 NAT-src和NAT-dst由于是基于Policy进行地址翻译，具有更好的信息流控制粒度。 NAT-src和NAT-dst可以在任意两个安全域（zone）之间进行设置。 NAT-src和NAT-dst可以在一条Policy中同时设置执行，对源和目的地址同时翻译，但是仅仅是单向的地址翻译。 单向翻译可以提供更好的控制与安全性能。 Untrust口的源地址翻译只