网络地址翻译方法总结和实验.doc

网络地址翻译方法总结和实验 目录 TOC \o "1-3" \h \z \u 一、 前言 1 二、 Netscreen防火墙各种地址翻译方法的特点总结 1 三、 地址翻译方法实验 5 １. Netscreen防火墙的地址翻译实验环境 5 ２. Netscreen防火墙的策略地址翻译实验 6 3.1 由外向内的地址翻译 6 3.2 由内向外的地址翻译 15 ３. Netscreen防火墙的接口地址翻译实验 20 4.1 MIP地址翻译 20 4.2 VIP地址翻译 23 ４. 将MIP和VIP用策略地址翻译替代实验 26 5.1 MIP地址翻译的替代 26 5.2 VIP地址翻译的替代 30 正文 前言 企业网络需要和上下级单位及各种合作伙伴进行互联，其中需要涉及到在边界网关防火墙处进行地址翻译和路由，由于许多企业内部应用程序对地址和端口进行了绑定，外部合作伙伴对网络地址和端口的要求也是多种多样，并且网络不断改造调整，造成了地址翻译和路由要求异常复杂多变。 希望通过本文对Netscreen防火墙的各种地址翻译功能进行归纳总结，帮助企业网管人员理解如何将Netscreen的各种地址翻译功能和企业网络的具体实践有效结合，提出适合企业网络管理的地址翻译解决方案。 Netscreen防火墙各种地址翻译方法的特点总结 Netscreen防火墙的地址翻译主要包括五类： NAT-src NAT-dst Mapped IP (MIP) Virtual IP (VIP) Untrust口的源地址翻译 这五类地址翻译可以从两个角度分类： 是源地址翻译还是目的地址翻译？ NAT-src和Untrust口的源地址翻译是源地址翻译。 NAT-dst和VIP是目的地址翻译。 MIP是双向地址翻译。 是基于策略的地址翻译还是基于接口的地址翻译？ NAT-src和NAT-dst是基于策略的地址翻译。 Untrust口的源地址翻译、MIP和VIP是基于接口的地址翻译。 也就是说，NAT-src和NAT-dst是在制订的防火墙Policy的基础之上，即规定了源地址、目的地址、源端口、目的端口等之后，对符合这条策略的信息流进行NAT-src和NAT-dst方式的地址和端口翻译。而另外三种地址翻译都是和接口进行了绑定，而和Policy策略无关。 因此，这几种地址翻译方法总结来说具有以下应用特点： NAT-src和NAT-dst可以完全覆盖另外三种地址翻译方法，也就是说另外三种地址翻译方法可以完全翻译成具有相同效果的NAT-src和NAT-dst，反之则不行。 NAT-src和NAT-dst由于是基于Policy进行地址翻译，具有更好的信息流控制粒度。 NAT-src和NAT-dst可以在任意两个安全域（zone）之间进行设置。 NAT-src和NAT-dst可以在一条Policy中同时设置执行，对源和目的地址同时翻译，但是仅仅是单向的地址翻译。 单向翻译可以提供更好的控制与安全性能。 Untrust口的源地址翻译只能在Untrust口实现。尽管可以将绑定到任意第 3 层区段的接口的操作模式定义为 NAT，但是，安全设备只对通过该接口传递到 Untrust 区段的信息流执行 NAT。对于通往 Untrust 区段之外的其它任意区段的信息流，ScreenOS 不执行 NAT。还要注意，ScreenOS 允许您将 Untrust 区段接口设置为 NAT 模式，但是这样做并不会激活任何 NAT 操作。 VIP只能在Untrust口实现。 MIP和VIP一般需要与所配置的接口处于同一网段，但是为 Untrust 区段中接口定义的 MIP 例外。该 MIP 可以在不同于 Untrust 区段接口IP 地址的子网中。但是，如果真是这样，就必须在外部路由器上添加一条路由，指向 Untrust 区段接口，以便内向信息流能到达 MIP。此外，必须在与 MIP 相关的防火墙上定义一个静态路由。 另外这几种策略发生冲突重叠时具有以下规律： 入口接口处于“路由”或 NAT 模式时，可以使用基于策略的 NAT-src。如果配置策略以应用 NAT-src，且入口接口处于 NAT 模式下，则基于策略的 NAT-src 设置会覆盖基于接口的 NAT。 不支持同时将基于策略的 NAT-dst 与 MIP、VIP 配合使用。如果您配置了 MIP 或 VIP，安全设备会在应用了基于策略的 NAT-dst 的任何信息流上应用MIP 或 VIP。换言之，如果安全设备偶然将 MIP 和 VIP 应用于同一信息流，则MIP 和 VIP 将禁用基于策略的 NAT-dst。 应该避免将接口IP地址、MIP、VIP、DIP设置重复，