05第五章 反向NAT

第五章 反向NAT
1 简介
反向NAT功能可以在隐藏内部服务器IP的情况下，对外提供提供公共服务的功能。

某些情况下，用户可能在DMZ区对外提供公开服务，但出于安全性或合法地址紧张的原因，用户会考虑使用保留地址，同时对有关服务进行访问控制。

这时，网御的反向NAT功能为用户提供了一个最佳选择。

2 功能特点
网御防火墙的反向NAT提供了许多灵活的方式，供用户自由的配置网络安全服务。

包括：
IP映射的反向NAT方式该方式可以直接将内部的服务器IP地址映射成为对外的IP 地址，外界的用户对它进行访问时不会知道它的内部IP地址，；
端口映射的反向NAT方式该方式除了可以将内部的IP地址映射为对外的IP外，还可以将其服务端口重定向为另一个指定的服务端口；
用户可选的负载均衡功能在IP映射方式下除了可以将内部的IP地址映射为对外的IP 外，还可以启用负载均衡功能、通过防火墙提供服务器集群服务；
针对H.323协议的优化利用网御防火墙特有的动态包过滤技术，在保证最大化安全的基础上，支持对H.323协议的反向NAT通信；
提供可选的用户认证功能反向NAT功能的访问控制保留了网御用户认证模块，必要时用户可以启用该功能以增强安全性；
3实例和配置
3.1典型拓扑
下图是一个较为典型的应用拓扑图，该环境中利用网御防火墙设置了一个安全服务区，该服务器内放置了多台服务器，同时提供给内部用户使用和外部用户使用。

内部网用户使用的是10.10.×.×保留地址，内部服务器使用的是192.168.×.×保留地址，与此同时，这些服务器需要有公开的合法IP供外部用户访问（假设在本例中要求对外提供的合法IP是202.200.40.122）。

我们可以利用网御2000的反向NAT来实现这些功能。

图 5.1 反向NAT 的典型使用拓扑
3.2 基本配置
这里，我们以www 服务的配置为例，讲解如上环境下反向NAT 的配置的使用。

加
了1
内部用户
10.10.50.0/255.255.255.0
首先，管理员需要给防火墙添加合适的地址（假设在前面的操作中已经给防火墙添0.50.10.254和192.168.1.254），在这里就需要给防火墙添加一个合法的IP 地址（将被用来映射成服务器对外的地址），方法：在“系统设置” “基本参数”里防火墙IP 一项中，点击“添加”即可。

然后，管理员需要给防火墙添加反向NAT 的映射规则，方法：在“安全策略” “反向NAT ”里点击“添加”，然后界面提示管理员选择映射方式（IP 映射或端口映射），在本例中，由于提供的服务端口是固定的、可用的合法IP 又只有一个，所以可以选择“端口映射”，进入端口映射配置界面后，管理员必须输入的参数包括：服务器对外的IP 、协议类型、对外端口号、服务器内部IP 、端口号等等。

其中服务器对外的IP 是以下拉框的形式由管理员选择，本例中可以选择202.200.40.122，协议类型此处应为TCP ，端口号为80（也可以为其它值，如8080等），内部IP 地址就是服务器的真实地址，如192.168.1.1，端口号就是80
（www 服务）。

这样就可以把内部的一个服务192.168.1.1:80映射为对外的202.200.40.122:80，对于外部用户而言，直接访问http:// 202.200.40.122就可以了。

如果此处设置的对外端口是8080，则外部用户在访问时需要添加端口号，如：http:// 202.200.40.122:8080。

要注意的是，此页的配置还有其它选项，如“访问控制”、“用户认证”等。

“用户认证”功能即添加完毕，在本例中，可用类似方法添加3.3 IP 映射和端口映射
我们注意到，在前面配置反向NAT 规则时，映射方式可以选择“端口映射或IP 映射”，在如址/端口对，如在上例中对外的IP ，如我们也可以将1映射方式。

3.4 负载均衡
在IP 映射方式下，网御防火墙都提供了可选的服务器集群负载均衡功能。

用户可以利用该群（如对外提供WWW 、FTP 服务Least Connections ）、启用后，所被允许的每个用户在访问时都必须结合网御2000防火墙的认证程序认证，认证通过后才可以继续访问。

“访问控制”功能默认是允许所有主机都可以访问，当用户不希望所有用户都可以访问时，可以改变设置，将被允许的IP 和子网输入即可，如172.160.1.0/255.255.255.0; 202.100.0.0/255.255.0.0。

设置完毕后，点击“确定”，一条反向NAT 规则ftp 、e-mail 服务器的反向NAT 映射规则。

所有规则添加完毕后，需要点击“规则生效”，这些规则才真正生效。

上的配置过程中，我们使用端口映射方式完成了该功能的配置，那么，在实际使用时，什么时候使用端口映射、什么时候选择IP 映射呢？他们有什么区别？
简而言之，端口映射可以将一组IP 地址/端口对映射为另一组IP 地，我们把192.168.1.1:80映射成了202.200.40.122:80，或者也可以进行端口重定向，比如，映射为202.200.40.122:8080。

该规则配置完毕后，外部用户可以访问http:// 202.200.40.122（或 http:// 202.200.40.122:8080），但却不能访问其它未经配置的端口。

端口映射的又一个优势是可以将多个服务器的不同服务都映射到一个对外的IP 上去，如上例中的192.168.1.1（www ）、192.168.1.2（ftp ）、192.168.1.3（e-mail/pop3）都可以映射到对外的IP202.200.40.122上去，在外部看来，相当于是一台虚拟的服务器开了多个服务。

IP 映射方式与端口映射不同，它可以直接将内部的IP 映射为92.168.1.1用IP 映射方式映射为202.200.40.122，这时，外部用户对202.200.40.122的所有访问都将被转移到192.168.1.1上去，只要192.168.1.1开放的服务，外部用户都可以通过访问202.200.40.122来访问它。

但是，这时不能提供端口重定向功能，并且，IP 地址必须一一对应，202.200.40.122被映射为192.168.1.1后，就不能被映射为其它的IP 地址。

用户可以在界面上配置IP 映射方式的端口开放范围。

用户可以根据自己的网络实际情况合理选用功能建立自己的服务器集群，以提高服务器负载能力。

还是以如上的拓扑为例，如果用户需要建立一个服务器集等）时，用户在进行反向NAT 配置时在“安全策略” “反向NAT ” “IP 映射规则”的设置中就可以“启用负载均衡”功能。

这里，界面将要求管理员输入负载均衡算法和内部服务器的IP 地址以及权重值。

这里服务器的内部IP 就是三个：192.168.1.1、192.168.1.2、192.168.1.3，端口开放范围根据实际需要而定，如对外提供WWW 服务时，就开放80即可（也可以是一段范围，如20:120，即开放从20到120的所有端口）。

防火墙提供的负载均衡算法有四种：轮循（Round Robin ）、最少连接（
权重所建立的连接最少重轮循算法，防火墙会按比率地将连接请求发给权重值较高的服务器； 接较法时，是不需要输入权重值的。

如果选用了权重轮循或权4 注意事项
网御防火墙的端口映射反向NAT 功能对H.323多媒体通信协议做了专门的优化开发，
户不要使用防火墙的
IP 映射方式中，请尽量避免使用防火墙的保留端口如9998/TCP 、
轮循（Weighted Round Robin ）、权重最少连接（Weighted Least Connections ）。

如果选中了轮循算法，防火墙会将连接请求均匀的分发给各台服务器；
如果选中了最少连接算法，防火墙会将连接请求分发给目前通过防火墙的服务器；
如果选中了权如果选中了权重最少连接算法，防火墙会将连接请求发给目前通过防火墙所建立的连少、而权重值较高的服务器；
当用户选用了轮循或最少连接算重最少连接的话，则必须给每个内部服务器赋予一个合适的权重值（1～65535）。

用户在选用协议类型中选择了H.323时，不需要输入端口信息；
在端口映射方式的反向NAT 中，配置服务器的对外端口时，请用保留端口7777/TCP 、8000/TCP 、8888/TCP 、8889/TCP 、9999/TCP ，这时可能会造成管理防火墙失败
在端口映射和9998/UDP(用户认证)、1812/UDP （RADIUS ）、161/UDP （集中管理）、514/UDP （日志服务器），或者说，请在保证防火墙没有启用这些功能时使用防火墙的保留端口。