服務(wù)器防火墻的基本配置：NAT介紹規(guī)則配置

發(fā)布時(shí)間：2022-07-18 作者：admin

分享到： QQ空間新浪微博騰訊微博人人網(wǎng) 微信

簡述：關(guān)于防火墻防火墻，其實(shí)就是用于實(shí)現(xiàn)Linux下訪問控制的功能的，它分為硬件和軟件防火墻兩種。無論是在哪個(gè)網(wǎng)絡(luò)中，防火墻工作的地方一定是在網(wǎng)絡(luò)的邊緣。而我們的任務(wù)就是需要去定義到底防火墻如何工作，這就是防火墻的策略、規(guī)則，以達(dá)到讓它對(duì)出入網(wǎng)絡(luò)

關(guān)于防火墻

防火墻實(shí)際上是用來實(shí)現(xiàn)的Linux下訪問控制功能分為硬件和軟件防火墻兩種。無論在哪個(gè)網(wǎng)絡(luò)中，防火墻都必須在網(wǎng)絡(luò)的邊緣工作。我們的任務(wù)是定義如何工作防火墻，這是防火墻的策略和規(guī)則，使其進(jìn)出網(wǎng)絡(luò)IP、檢測數(shù)據(jù)。

目前市面上常見的防火墻有三四層，叫網(wǎng)層防火墻，七層防火墻，其實(shí)是代理網(wǎng)關(guān)。對(duì)于TCP/IP就七層模型而言，我們知道第三層是網(wǎng)絡(luò)層，三層防火墻將在這一層檢測源地址和目標(biāo)地址。但對(duì)于七層防火墻，無論您的源端口或目標(biāo)端口、源地址或目標(biāo)地址是什么，都會(huì)檢查您的一切。因此，七層防火墻在設(shè)計(jì)原理上更安全，但效率更低。因此，市場上常見的防火墻方案是兩者的結(jié)合。

NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）簡稱為NAT，是將IP在數(shù)據(jù)包頭中IP地址轉(zhuǎn)換為另一個(gè)IP地址。當(dāng)IP當(dāng)數(shù)據(jù)包通過設(shè)備時(shí)，設(shè)備會(huì)通過設(shè)備IP數(shù)據(jù)包的源IP地址和/或目的IP轉(zhuǎn)換地址。在實(shí)際應(yīng)用中，NAT主要用于私有網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)訪問私有網(wǎng)絡(luò)。

要設(shè)置服務(wù)器防火墻，需要使用規(guī)則，每個(gè)規(guī)則指定在包中匹配什么，對(duì)包進(jìn)行什么操作。

NAT基本轉(zhuǎn)換過程

設(shè)備執(zhí)行NAT在公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)的連接處。下圖描述了NAT基本轉(zhuǎn)換過程：

如上圖所示，設(shè)備位于私有網(wǎng)絡(luò)與公共網(wǎng)絡(luò)的連接處。當(dāng)內(nèi)部PC（10.1.1.2)外部服務(wù)器(202).1.1.2）發(fā)送一個(gè)IP包時(shí)，IP包將通過設(shè)備。檢查包頭內(nèi)容，發(fā)現(xiàn)設(shè)備IP包發(fā)送到公共網(wǎng)絡(luò)，然后它會(huì)IP包1的源地址10.1.1.2換成一個(gè)Internet202年上選路公共地址.1.1.1，并將該IP該包被發(fā)送到外部服務(wù)器，該設(shè)備還記錄在網(wǎng)絡(luò)地址轉(zhuǎn)換表中。內(nèi)部提供外部服務(wù)器PC發(fā)送IP包1的應(yīng)答報(bào)告(其初始目的地為202.1.1.1)到達(dá)設(shè)備后，設(shè)備再次查看包頭內(nèi)容，然后查找當(dāng)前網(wǎng)絡(luò)地址轉(zhuǎn)換表的記錄，使用內(nèi)部PC的私有地址10.1.1.替換目的地地址。在此過程中，設(shè)備是正確的PC和Server來說是透明的。對(duì)于外部服務(wù)器，它認(rèn)為內(nèi)部PC的地址就是202.1.1.1，并不知道10.1.1.2這個(gè)地址。因此，NAT“隱藏”企業(yè)私有網(wǎng)絡(luò)。

設(shè)備的NAT功能

設(shè)備的NAT內(nèi)部網(wǎng)絡(luò)主機(jī)的功能將是內(nèi)部網(wǎng)絡(luò)主機(jī)的功能IP用設(shè)備外部網(wǎng)絡(luò)的地址和端口代替地址和端口，并將設(shè)備的外部網(wǎng)絡(luò)地址和端口轉(zhuǎn)換為內(nèi)部網(wǎng)絡(luò)主機(jī)IP地址和端口。也就是說“私有地址端口”與“公有地址端口”之間的轉(zhuǎn)換。

通過創(chuàng)建和執(zhí)行設(shè)備NAT規(guī)則來實(shí)現(xiàn)NAT功能。NAT有兩種規(guī)則，即源頭NAT規(guī)則（SNATRule）和目的NAT規(guī)則（DNATRule）。SNAT轉(zhuǎn)換源IP隱藏內(nèi)部的地址IP地址或共享有限IP地址；DNAT轉(zhuǎn)換目的IP地址通常是受設(shè)備保護(hù)的內(nèi)部服務(wù)器(如WWW服務(wù)器或者SMTP服務(wù)器）的IP地址轉(zhuǎn)換為公網(wǎng)IP地址。

結(jié)語

以上是防火墻NAT介紹！

騰佑科技Web防火墻(云WAF）是基于AI一站式發(fā)動(dòng)機(jī)Web業(yè)務(wù)運(yùn)營風(fēng)險(xiǎn)防護(hù)方案幫助用戶應(yīng)對(duì)網(wǎng)站入侵、漏洞利用、掛馬、篡改、后門、爬蟲Bot，域名劫持等安全問題組織網(wǎng)站和Web保駕護(hù)航業(yè)務(wù)安全運(yùn)行。詳見騰佑科技客服400-996-8756。

點(diǎn)擊展開全文

騰佑科技（m.mubashirfilms.com）成立于2009年，總部位于河南鄭州，是一家集互聯(lián)網(wǎng)基礎(chǔ)設(shè)施及軟硬件于一體化的高新技術(shù)企業(yè)，具有IDC/ISP/ICP/云牌照、雙軟等資質(zhì)，并擁有多個(gè)國家版權(quán)局認(rèn)證。公司自成立以來，一直致力于發(fā)展互聯(lián)網(wǎng)IDC數(shù)據(jù)中心DataCenter、云計(jì)算Cloud、大數(shù)據(jù)BigDate、人工智能AI、內(nèi)容加速CDN、互聯(lián)網(wǎng)安全、軟件定制開發(fā)等產(chǎn)品服務(wù)及行業(yè)客戶技術(shù)一體化智能解決方案；2018年成為百度智能云AI河南服務(wù)中心。

售前咨詢熱線：400-996-8756

備案提交：0371-89913068

售后客服：0371-89913000