天清汉马USG系列 NAT配置指南 V

天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司http://www.venustech.com.cni天清汉马USG一体化安全网关NAT配置指南(V3.0)北京启明星辰信息安全技术有限公司BeijingVenustechCybervisionCo.,Ltd.二零零九年九月天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司http://www.venustech.com.cnii版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。本手册的版权归启明星辰公司所有。未得到启明星辰公司书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。User’sManualCopyrightandDisclaimerCopyrightCopyrightVenusInfoTechInc.Allrightsreserved.ThecopyrightofthisdocumentisownedbyVenusInfoTechInc.WithoutthepriorwrittenpermissionobtainedfromVenusInfoTechInc.,thisdocumentshallnotbereproducedandexcerptedinanyformorbyanymeans,storedinaretrievalsystem,modified,distributedandtranslatedintootherlanguages,appliedforacommercialpurposeinwholeorinpart.DisclaimerThisdocumentandtheinformationcontainedhereinisprovidedonan“ASIS”basis.VenusInfoTechInc.maymakeimprovementorchangesinthisdocument,atanytimeandwithoutnoticeandasitseesfit.TheinformationinthisdocumentwaspreparedbyVenusInfoTechInc.withreasonablecareandisbelievedtobeaccurate.However,VenusInfoTechInc.shallnotassumeresponsibilityforlossesordamagesresultingfromanyomissions,inaccuracies,orerrorscontainedherein.天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司http://www.venustech.com.cni目录1版本信息.....................................................................................................................................12技术简介.....................................................................................................................................13常见组网与配置.................................................................................................................23.1源NAT转换..............................................................................................................23.1.1多对一.................................................................................................................23.1.1.1.建立内部地址对象............................................................................23.1.1.2.建立NAT项..................................................................................33.1.1.3.建立相关安全策略............................................................................33.1.2多对多.................................................................................................................43.1.2.1.建立内部地址对象............................................................................43.1.2.2.建立NAT地址池..............................................................................53.1.2.3.建立NAT表项..................................................................................53.1.2.4.建立相关安全策略............................................................................53.1.2.5.注意事项............................................................................................63.2目的地址转换.............................................................................................................63.2.1目的端口转换....................................................................................................73.2.1.1.建立地址对象....................................................................................73.2.1.2.建立NAT地址池..............................................................................83.2.1.3.建立NAT表项..................................................................................83.2.1.4.建立相关安全策略............................................................................93.2.1.5.注意事项..........................................................................................103.2.2目的地址转换..................................................................................................103.2.2.1.建立地址对象..................................................................................103.2.2.2.建立NAT地址池............................................................................113.2.2.3.建立NAT表项................................................................................113.2.2.4.建立相关安全策略..........................................................................123.2.2.5.注意事项..........................................................................................133.2.3静态NAT转换................................................................................................133.2.3.1.建立内部服务器地址......................................................................133.2.3.2.建立NAT表项................................................................................133.2.3.3.建立相关安全策略..........................................................................143.2.3.4.注意事项..........................................................................................144特殊网络拓扑解决方案...........................................................................................................154.1常见DNAT应用方案一.........................................................................................154.2常见DNAT应用方案二.........................................................................................165与其他相关模块配合使用.......................................................................................................165.1NAT与IPSEC隧道共同使用................................................................................165.1.1注意事项...........................................................................................................175.2源NAT与L2TP（L2TP+IPSEC）........................................................................175.2.1注意事项...........................................................................................................175.3目的NAT与L2TP..................................................................................................185.3.1注意事项...........................................................................................................185.4目的NAT与L2TP+IPSEC.....................................................................................18天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司http://www.venustech.com.cnii5.4.1注意事项...........................................................................................................185.5源NAT与SSLVPN...............................................................................................185.5.1注意事项...........................................................................................................195.6目的NAT与SSLVPN...........................................................................................195.6.1注意事项...........................................................................................................196备注...........................................................................................................................................19天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第1页http://www.venustech.com.cn1版本信息2技术简介NAT即网络地址转换，最初是由RFC1631（目前已由RFC3022替代）定义，用于私有地址向公有地址的转换，以解决公有IP地址短缺的问。后来随着NAT技术的发展及应用的不断深入，NAT更被证明是一项非常有用的技术，可用于多种用途，如：提供了单向隔离，具有很好的安全特性；可用于目标地址的映射，使公有地址可访问配置私有地址的服务器；另外还可用于服务器的负载均衡和地址复用等。NAT分为源NAT和目的NAT。源NAT是基于源地址的NAT，可细分为动态NAT、PAT和静态NAT。动态NAT和PAT是一种单向的针对源地址的映射，主要用于内网访问外网，减少公有地址的数目，隐藏内部地址。动态NAT指动态地将源地址转换映射到一个相对较小的地址池中，对于同一个源IP，不同的连接可能映射到地址池中不同的地址；PAT是指将所有源地址都映射到同一个地址上，通过端口的映射实现不同连接的区分，实现公网地址的共享。静态NAT是一种一对一的双向地址映射，主要用于内部服务器向外提供服务的情况。在这种情况下，内部服务器可以主动访问外部，外部也可以主动访问这台服务器，相当于在内、外网之间建立了一条双向通道。基于目标地址的NAT，称为目的NAT，可分为目标地址映射、目标端口映射、服务器负载均衡等。基于目标地址的NAT也称为反向NAT或地址映射。目的NAT是一种单向的针对目标地址的映射，主要用于内部服务器向外部提供服务的情况，它与静态NAT的区别在于它是单向的。外部可以主动访问内部，内部却不可以主动访问外部。另外，可使用目的NAT实现负载均衡的功能，即可手册版本V3.0产品版本V2.6.3.0发布状态发布发布时间2009年09月05日备注信息无天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第2页http://www.venustech.com.cn以将一个目标地址转换为多个内部服务器地址。也可以通过端口的映射将不同的端口映射到不同的机器上。3常见组网方案与配置3.1源NAT转换最常见的NAT配置，由于IP资源有限，为满足多个内部网络用户同时访问外部网络的需要，通常使用源NAT转换。源NAT转换分为两种：多个内部地址共同使用一个外部地址（即多对一）或多个内部地址使用多个外部地址（多对多）。拓扑11113.1.1多对一配置步骤（公网地址配置在WAN口ge3上）：3.1.1.1.建立内部地址对象单击“对象管理”菜单，选择建立“地址对象”，单击“新建”按钮。为需要转化的内部地址建立地址对象，点击“提交”以使配置生效。天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第3页http://www.venustech.com.cn3.1.1.2.建立NAT表项单击“网络管理”菜单，选择“NAT”，选择“源地址转换”，单击“新建”按钮，在源地址下拉框中选择刚才建立的地址对象“内部地址”，在目标地址下拉框中选择“any”，选择服务为“any”，设置数据的出接口为“ge3”，设置转换后源地址为“出接口地址”。如果需要对NAT转换的信息进行日志，则选中“Syslog日志”选择框。点击“提交”以使配置生效。3.1.1.3.建立相关安全策略单击“防火墙”菜单，选择“安全策略”，单击“新建”按钮，在源接口中选择用户内网接口“ge0”，地址名选择刚才建立的地址对象“内部地址”，目的接口选择用户外网接口“ge3”，选择服务为“any”，设置时间表为“always”，设置动作为“允许”。点击“提交”以使配置生效。此时“内部地址”中定义的天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第4页http://www.venustech.com.cn用户可以访问ge3相连的公网的资源，在进行访问时，所有的内部地址都被转换成出接口ge3的地址。3.1.2多对多配置步骤（公网地址配置在WAN口ge3上）：3.1.2.1.建立内部地址对象单击“对象管理”菜单，选择建立“地址对象”，单击“新建”按钮。为需要转化的内部地址建立地址对象。点击“提交”以使配置生效。天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第5页http://www.venustech.com.cn3.1.2.2.建立NAT地址池单击“网络管理”菜单，选择NAT，选择“NAT地址池”，单击“新建”按钮，设置地址池名称为“外部地址池”，外部地址起始地址为“202.112.238.10”，结束地址为“202.112.238.11”，并根据需要勾选“轮询”。点击“提交”以使配置生效。3.1.2.3.建立NAT表项单击“网络管理”菜单，选择“NAT”，选择“源地址转换”，单击“新建”按钮，在源地址下拉框中选择刚才建立的地址对象“内部地址”，在目标地址下拉框中选择“any”，选择服务为“any”，设置数据的出接口为“ge3”，设置转换后源地址为“外部地址池”。如果需要对NAT转换的信息进行日志记录，则选中“Syslog日志”选择框。点击“提交”以使配置生效。天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第6页http://www.venustech.com.cn3.1.2.4.建立相关安全策略单击“防火墙”菜单，选择“安全策略”，单击“新建”按钮，在源接口中选择用户内网接口“ge0”，地址名选择刚才建立的地址对象“内部地址”，目的接口选择用户外网接口“ge3”，选择服务为“any”，设置时间表为“always”，设置动作为“允许”。点击“提交”以使配置生效。此时“内部地址”中定义的用户可以访问ge3相连的公网的资源，在进行访问时，内部地址都被转换成“外部地址池”中的地址。天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第7页http://www.venustech.com.cn3.1.2.5.注意事项在多对多的源NAT转换时，所配置的NAT地址池的轮询规则：�源NAT地址转换，在未配置轮询时，地址采用一对一优先的方式，即相同的源地址原则上尽量使用相同的地址池地址；如果配置了轮询，地址池地址会逐个分配，也就是说，同一个源地址会被分配到地址池中不同的地址。�在没有配置轮询的情况下，使用地址池地址是根据报文的源地址、目的地址算出一个偏移，结合地址池得出的转换的地址（有可能不是地址池的第一个地址）。3.2目的地址转换通常公司内部有服务器需要对外提供访问服务时，可采用目的地址转换，常见的目的地址转换类型有两种：基于端口的目的地址转换（当只有一个外部地址，又需要对外提供服务时通常采用此方式）和目的IP地址转换。拓扑22223.2.1目的端口转换配置步骤（公网地址配置在WAN口ge3上）：3.2.1.1.建立地址对象单击“对象管理”菜单，选择建立“地址对象”，单击“新建”按钮。1)建立内部服务器地址对象，如下图。配置完成后点击“提交”以使配置天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第8页http://www.venustech.com.cn生效。2)建立外部接口地址对象，如下图。配置完成后点击“提交”以使配置生效。3.2.1.2.建立NAT地址池单击“网络管理”菜单，选择“NAT”，选择“NAT地址池”，单击“新建”按钮，设置地址池名称为“内部WWW服务器”，起始地址为“192.168.100.100”，结束地址为“192.168.100.101”，并根据需要勾选“轮询”。点击“提交”以使配置生效。天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第9页http://www.venustech.com.cn3.2.1.3.建立NAT表项单击“网络管理”菜单，选择“NAT”，选择“目的地址转换”，单击“新建”按钮，在源地址下拉框中选择“any”，在目标地址下拉框中选择“外部接口地址”，选择服务为“http”，设置数据的入接口为“ge3”，设置转换后源地址为“内部WWW服务器”，设置转换后端口为“8080”。点击“提交”以使配置生效。3.2.1.4.建立相关安全策略单击“防火墙”菜单，选择“安全策略”，单击“新建”按钮，在源接口中选择用户外网接口“ge3”，地址名选择“any”，目的接口选择用户内网接口“ge0”，选择服务为“http”，设置时间表为“always”，设置动作为“允许”。点击“提交”以使配置生效。这样外网用户在访问“外部接口地址”的http服务时，实际访问的是“内部www服务器”，访问端口转换为8080。天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第10页http://www.venustech.com.cn3.2.1.5.注意事项�3.0版本目的NAT支持接口映射功能。可以解决目标地址为动态IP时需要不断重新配置DNAT规则的问题。由于我们的设备支持接口上配动态地址协议，如pppoe和dhcp等。当DNAT的入接口使用PPPOE拨号上网时，接口将获得动态IP地址，即每次连接后获得的IP地址是不一样的。�加入DNAT支持接口映射功能后，配置目标地址为“接口地址”，当接口IP变动后将自动修正已配置的NAT规则，不用每次IP改变后都要重新设定DNAT规则。3.2.2目的地址转换配置步骤（公网地址配置在WAN口ge3上）：3.2.2.1.建立地址对象单击“对象管理”菜单，选择建立“地址对象”，单击“新建”按钮。1)建立内部服务器地址对象，如下图。配置完成后点击“提交”以使配置生效。天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第11页http://www.venustech.com.cn2)建立外部映射IP地址对象，如下图。配置完成后点击“提交”以使配置生效。3.2.2.2.建立NAT地址池单击“网络管理”菜单，选择“NAT”，选择“NAT地址池”，单击“新建”按钮，设置地址池名称为“内部WWW服务器”，起始地址为“192.168.100.100”，结束地址为“192.168.100.101”，并根据需要勾选“轮询”。点击“提交”以使配置生效。天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第12页http://www.venustech.com.cn3.2.2.3.建立NAT表项单击“网络管理”菜单，选择“NAT”，选择“目的地址转换”，单击“新建”按钮，在源地址下拉框中选择“any”，在目标地址下拉框中选择“外部映射IP地址”，选择服务为“http”，设置数据的入接口为“ge3”，设置转换后源地址为“内部WWW服务器”。配置完成后点击“提交”以使配置生效。3.2.2.4.建立相关安全策略单击“防火墙”菜单，选择“安全策略”，单击“新建”按钮，在源接口中选择用户外网接口“ge3”，地址名选择“any”，目的接口选择用户内网接口“ge0”，选择服务为“http”，设置时间表为“always”，设置动作为“允许”。点击“提交”以使配置生效。这样外网用户在访问“外部映射IP地址”的http服务时，实际访问的是“内部www服务器”，访问端口则没有做转换。天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第13页http://www.venustech.com.cn3.2.2.5.注意事项�NAT地址池设置轮询后，并不是真正意义上的负载分担，当内部服务器之中的一台宕机后，NAT不会自动切换。3.2.3静态NAT转换配置步骤（公网地址配置在WAN口ge3上）：3.2.3.1.建立内部服务器地址单击“对象管理”菜单，选择建立“地址对象”，单击“新建”按钮。点击“提交”以使配置生效。天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第14页http://www.venustech.com.cn3.2.3.2.建立NAT表项单击“网络管理”菜单，选择“NAT”，选择“静态地址转换”，单击“新建”按钮，在外部地址中设置“202.112.238.100”，在内部地址中设置“192.168.100.100”，设置外部接口为“ge3”。点击“提交”以使配置生效。3.2.3.3.建立相关安全策略单击“防火墙”菜单，选择“安全策略”，单击“新建”按钮，在源接口中选择用户外网接口“ge3”，地址名选择“any”，目的接口选择用户内网接口“ge0”，选择服务为“http”，设置时间表为“always”，设置动作为“允许”。点击“提交”以使配置生效。天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第15页http://www.venustech.com.cn3.2.3.4.注意事项�静态NAT转换可以把内部网络内的主机地址永久的映射成外部网络中的某个合法地址（这样有可能带来一定的安全问题，建议如非必要，可以考虑使用目的NAT）。天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第16页http://www.venustech.com.cn4特殊网络拓扑解决方案4.1常见DNAT应用方案一拓扑3333配置思路：拓扑3中，WWW服务器设置在DMZ区，内部用户和外部用户必须通过其外部地址202.112.238.10来访问该服务器。此时，需要在外部接口配置的DNAT，当外部用户访问202.112.238.10的外部地址时，将其转换到10.0.0.10。同时，在内部接口也配置一条DNAT，当内部用户访问202.112.238.10时，将其目的地址转换到10.0.0.10。当然，还要配置相应的安全策略，允许内部、外部地址访问DMZ区的WWW服务器地址。天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第17页http://www.venustech.com.cn4.2常见DNAT应用方案二拓扑4444配置思路：拓扑4中，WWW服务器设置在内部网络中，内部用户和外部用户必须访问其外部地址202.112.238.10来访问该服务器。此情况中，外部用户的配置不变，即，在外部接口配置DNAT，使外部用户访问202.112.238.10的外部地址时，将其转换到192.168.100.10，同时配置允许外部用户访问内部网络WWW服务器的安全策略。内部用户访问202.112.238.10的配置稍微有点复杂，首先配置在内部接口上配置DNAT，使内部用户访问202.112.238.10的外部地址时，将其转换到192.168.100.10，其次在内部接口上再配置一条源NAT，将匹配192.168.100.100访问192.168.100.10的访问的源地址转换为内部接口地址。最后，配置一条从内部接口到内部接口的安全策略，允许192.168.100.100访问192.168.100.10。5与其他相关模块配合使用5.1NAT与IPSEC隧道共同使用拓扑5555天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第18页http://www.venustech.com.cn5.1.1注意事项�USG产品支持拓扑5的应用场景，需要注意的是，由于要涉及到IPSEC的NAT穿越问题，因此，总部的VPN网关上IPSEC对端地址应设置为动态地址。另外由于NAT穿越不支持AH算法，因此在配置VPN参数时，AH封装应选择NULL。5.2源NAT与L2TP（L2TP+IPSEC）拓扑66665.2.1注意事项�USG产品支持内部用户通过SNAT后的单纯L2TP访问以及L2TP+IPSEC模式访问。天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第19页http://www.venustech.com.cn5.3目的NAT与L2TP拓扑77775.3.1注意事项�无。USG产品支持将L2TP地址为私网地址，放置在NAT设备后，用户可以通过L2TP拨号访问DNAT映射的外部地址。5.4目的NAT与L2TP+IPSEC拓扑77775.4.1注意事项�USG产品不支持将L2TP地址为私网地址，放置在NAT设备后，在此类环境下，用户不能通过L2TP+IPSEC拨号访问DNAT映射后的外部地址。5.5源NAT与SSLVPN天清汉马USG－NAT配置指南北京启明星辰信息安全技术有限公司第20页http://www.venustech.com.cn拓扑88885.5.1注意事项�无。USG产品支持内部用户通过SNAT后访问SSLVPN地址。5.6目的NAT与SSLVPN拓扑99995.6.1注意事项�无。USG产品支持将SSLVPN接口设为私网地址，放置在NAT设备后，用户可以通过SSLVPN访问DNAT映射后的地址。6备注无。 版本信息 技术简介 常见组网方案与配置 源NAT转换 多对一 建立内部地址对象 建立NAT表项 建立相关安全策略 多对多 建立内部地址对象 建立NAT地址池 建立NAT表项 建立相关安全策略 注意事项 目的地址转换 目的端口转换 建立地址对象 建立NAT地址池 建立NAT表项 建立相关安全策略 注意事项 目的地址转换 建立地址对象 建立NAT地址池 建立NAT表项 建立相关安全策略 注意事项 静态NAT转换 建立内部服务器地址 建立NAT表项 建立相关安全策略 注意事项 特殊网络拓扑解决方案 常见DNAT应用方案一 常见DNAT应用方案二 与其他相关模块配合使用 NAT与IPSEC隧道共同使用 注意事项 源NAT与L2TP（L2TP+IPSEC） 注意事项 目的NAT与L2TP 注意事项 目的NAT与L2TP+IPSEC 注意事项 源NAT与SSLVPN 注意事项 目的NAT与SSLVPN 注意事项 备注