防火墙是不是能同时进行私网IP的NAT和公网IP的转发？

Posted 2023-05-10

请问，防火墙连接内部网与外网，想问一下，防火墙的一个接口连接内部网，这个接口接收的数据既有私有IP，又有公有IP，防火墙能不能实现把私网IP进行NAT后，公网IP不做NAT，一起转发到外网中呢？
连接内网口的端口，进入的数据包可以是私有IP，也可以是公网IP。
防火墙从内网口，既接收私有IP，又接收公网IP，但只是想把私有IP进行NAT，公网IP不进行NAT，正常转发，但二者都是从同一个接口转发出去。
注：私有IP进行NAT后，转化成的公网IP，与NAT之前的那些公网IP，不属于同一个网段。

举例：防火墙有两个接口分别为A口（内网口），B口( 外网口)
从A口接收的数据有：
私有IP：(192.168.1.0/24;192.168.2.0/24;192.168.3.0/24;)
公网IP:(59.52.50.0/24;59.52.51.0/24)

现在想把通过A口接收的
私有IP：192.168.1.0/24 NAT为：59.52.52.1;
192.168.2.0/24 NAT为：59.52.52.2;
192.168.3.0/24 NAT为：59.52.52.3;
公网IP: 59.52.50.0/24 不做NAT
59.52.51.0/24 不做NAT

这些私有IP NAT后，公网IP不做NAT 都从防火墙接口B中转发出去 。

感谢楼下的回答哈。。非常感谢。
ISA2006软件防火墙，我没用过，我们单位是方正FG 8000 硬件防火墙，电信级防火墙，但我不知道能不能实现我说的功能。
倒数第二楼，为啥明确的说，从一个内网口为啥实现不了呢？我觉得还是可以的，防火墙先做NAT，然后再路由。我只不过不想把公网IP进行NAT

建议，lan口用两张网卡就容易解决了，一个私有IP的网卡上做NAT机制，另一个公有IP的网卡上做路由机制。
——————————————————————————————————————
如果不想加网卡的话有一种机制可以实现，
你是说一个网卡接口，那在这张网卡上添加这两个网段，然后开始配置ISA。
首先在网络选项里新建一个网络我们命名为A，这个网络就是内网，也就是lan口，这个选择lan适配器，而且选择里面的私有ip地址，而那个公网ip先不选。完成后，然后要再新建一个网络我们命名为B，但在建的时候不要选择适配器，要手动添加网段，也就是公网ip网段。做完之后在网络规则中再新建一个规则，（一般默认就有一个，也就是刚才的A网络的规则，里面的机制是NAT，已经满足了私有ip的NAT转换。）这个规则就是B到外网的规则，机制给他设成路由关系就好了，这样就满足了公有IP的路由转换功能，然后下面的各种规则我想你自己应该会吧！

————————————————————————————————————
！！！！也许我上面写的你没有看懂。不知道你用的什么防火墙，我说的是ISA2006软件防火墙，如果是软件防火墙的话可以实现。我没用过硬件防火墙。
你的内网不是A接口么，有公有IP和私有IP。就是想把私有IP对外做NAT转换，公有IP对外做路由。我上面回答的你再看看。也就是你在刚开始做ISA的时候ISA会让你设置内网的适配器，也就是网卡，这个你肯定选择的A网卡，但A网卡里有私有IP也有公有IP，选择完适配器后会出现你所配的网段(有私有IP，也有公有IP)，你先把公有IP给删了，然后再往下做，这个网络在ISA里默认的就是NAT功能。然后你再新建一个网络，这个网络在添加的时候也会让你选择适配器，你也肯定会选A网卡，选完后把里面的私有IP给删了，然后往下走，完成后在网络规则中新建一个网络规则，也就是内网到外网的规则，在这个网络规则里右键属性把NAT功能给改成路由功能就行了。后面的配置规则你应该会吧。 参考技术A 有点没看明白但是我用一般经验给你解答吧。。
比如1个公司有1条光缆进来 分配了5个ip。
你的意思是其中1个ip给内网用户做nat上网用。其他4个给服务器用对不？

一般这种是防火墙的典型应用 叫混杂模式。
就是说我们要使用3个防火墙网络端口。
1.2口做成网桥 网桥的ip就是你要给内网用户做nat那个ip 然后1口接外网线。2口接到服务器交换机口上。。

3口接到内网交换机口上。3口设置内网ip比如192.168.0.1 然后把内网通过网桥ip。nat出去内网就可以上网了。

由于1.2口做了网桥了。可以看做一个双口交换机。所以服务器区设置外网ip是可以直接访互联网的，互联网主机也可以直接访问服务器。如果想保护服务器。就要在防火墙中设置访问控制。我一般都第一条禁止外部访问任何服务器段的任何端口。然后再根据服务器功能。开放端口。。
不知道能你能明白不？
你说那种方式通过一条线上路无法实现。
我说这种就是给网络划分3个区域。
互联网在1口，外网区在2口。内网在3口。
在没有设置访问控制列表的情况下。互联网可直接跟外网区域双向访问无限制。
互联网跟外网区都无法主动访问内网区。
内网区可以自由访问互联网跟外网区的计算机。

-----------------------------------------------
你修改了了问题我也修改下回答。
一个内网口实现不了你这样的要求。另外现在的外网入户都是光缆你本地也都不需要路由器，没有办法给你路由出去。要想实现最简单的不用修改网络。你给外网线通过交换机活着1个hub。分别接入原先的火墙外网。另外1个直接接到内网上。原先的内网口也不用动。交换机是可以跑2个ip地址段的。外网也不直接访问内网ip。内网出外网还是需要nat的。但是就1个缺点。你的广播数据都会发到外网进户哪里虽然不处理。但是还是多少有影响性能。。
另外的我建议你别这样做虽然能实现呵呵。。但是太不合理了。 参考技术B 有点意思
如果你在一个接口上既有内网数据 又有外网数据 那他是在什么个位置呢？ NAT是防火墙内部机制 主要是根据你设定的来进行NAT 一般都是需要定义入口和出口的 参考技术C 问题比较复杂，但是要懂三层交换，支持划分vlan的路由防火墙，据我所知，ros软路由可以做到，之前做过实验，跟二层交换机链接可以做成很多功能

防火墙基础之安全策略和NAT（Easy IP）

防火墙部署安全策略和NAT

原理概述：

Easy IP是一种利用出接口的公网IP地址作为NAT转后的地址，同时转换地址和端口的地址转换方式，对于接口IP是动态获取的场景，Easy IP也一样支持

当华为防火墙的公网接口通过拨号方式动态获取公网地址时，如果只想使用这一个公网IP地址进行地址转换，此时不能在NAT地址池中配置固定的地址，因为公网IP地址是动态变化的，此时，可以使用Easy IP方式，即使出接口上获取的公网IP地址发生变化，华为防火墙也会按照新的公网IP地址来进行地址转换

当主机通过Easy IP访问Web Server时，华为防火墙的处理过程如下

华为防火墙收到主机发送的报文后，根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动，通过安全策略检查后继而查找NAT策略，发现需要对报文进行地址转换

华为防火墙使用与Internet连接的接口的公网IP地址替换报文的源IP地址，同时使用新的端口号替换报文的源端口号，并建立会话表，然后将报文发送至Internet

华为防火墙收到Web Server响应主机的报文后，通过查找会话表匹配到步骤2中建立的表项，将报文的目的地址替换为主机的IP地址，将报文的目的端口号替换为原始的端口号，然后将报文发送至Intranet

此方式下，由于地址转换的同时还进行端口的转换，可以实现多个私网用户共同使用一个公网IP地址上网，华为防火墙根据端口区分不同用户，所以可以支持同时上网的用户数量更多

防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

所谓“防火墙”是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。

防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下，用户才能够进入计算机内，如果不同意就会被阻挡于外，防火墙技术的警报功能十分强大，在外部的用户要进入到计算机内时，防火墙就会迅速的发出相应的警报，并提醒用户的行为，并进行自我的判断来决定是否允许外部的用户进入到内部，只要是在网络环境内的用户，这种防火墙都能够进行有效的查询，同时把查到信息朝用户进行显示，然后用户需要按照自身需要对防火墙实施相应设置，对不允许的用户行为进行阻断。通过防火墙还能够对信息数据的流量实施有效查看，并且还能够对数据信息的上传和下载速度进行掌握，便于用户对计算机使用的情况具有良好的控制判断，计算机的内部情况也可以通过这种防火墙进行查看，还具有启动与关闭程序的功能，而计算机系统的内部中具有的日志功能，其实也是防火墙对计算机的内部系统实时安全情况与每日流量情况进行的总结和整理。

防火墙是在两个网络通讯时执行的一种访问控制尺度，能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

网络安全的屏障

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

监控审计

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有Internet服务性的企业内部网络技术体系VPN（虚拟专用网）。

日志记录与事件通知

进出网络的数据都必须经过防火墙，防火墙通过日志对其进行记录，能提供网络使用的详细统计信息。当发生可疑事件时，防火墙更能根据机制进行报警和通知，提供网络是否受到威胁的信息。

实验目的：

实现分支之间互访使用公网IP

实验拓扑：

基础配置：

FW1：

#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.2.20 255.255.255.0
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 20.0.0.10 255.255.255.0
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit

FW2:

#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.3.10 255.255.255.0
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 30.0.0.20 255.255.255.0
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit

安全策略：

FW1:

#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1
#
security-policy
 rule name acl1
 source-zone trust
 destination-zone untrust
 source-address 192.168.1.0 mask 255.255.255.0
 action permit
 rule name acl2
 source-zone untrust
 destination-zone trust
 destination-address 192.168.1.0 mask 255.255.255.0
 service ftp
 action permit

FW2:

#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
#
security-policy
 rule name acl1
 source-zone trust
 destination-zone untrust
 source-address 192.168.4.0 mask 255.255.255.0
 action permit
 rule name acl2
 source-zone untrust
 destination-zone trust
 destination-address 192.168.4.0 mask 255.255.255.0
 service ftp
 action permit

NAT部署：

FW1:

#
nat-policy
 rule name natacl1
 source-zone trust
 destination-zone untrust
 source-address 192.168.1.0 mask 255.255.255.0
 action source-nat easy-ip

FW2:

#
nat-policy
 rule name natacl1
 source-zone trust
 destination-zone untrust
 source-address 192.168.4.0 mask 255.255.255.0
 action source-nat easy-ip

配置默认路由：

FW1：

#
ip route-static 0.0.0.0 0.0.0.0 20.0.0.20
ip route-static 192.168.1.0 255.255.255.0 192.168.2.10

FW2：

#
ip route-static 0.0.0.0 0.0.0.0 30.0.0.10
ip route-static 192.168.4.0 255.255.255.0 192.168.3.20

配置路由器：​

R1：

#
interface GigabitEthernet0/0/1
 ip address 192.168.2.10 255.255.255.0 
#
interface GigabitEthernet0/0/2
 ip address 192.168.1.1 255.255.255.0 
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.2.20

R2：

#
interface GigabitEthernet0/0/1
 ip address 20.0.0.20 255.255.255.0 
#
interface GigabitEthernet0/0/2
 ip address 30.0.0.10 255.255.255.0 
#
interface NULL0
#
ip route-static 20.0.0.0 255.255.255.0 20.0.0.10
ip route-static 30.0.0.0 255.255.255.0 30.0.0.20

R3：

#
interface GigabitEthernet0/0/1
 ip address 192.168.3.20 255.255.255.0 
#
interface GigabitEthernet0/0/2
 ip address 192.168.4.1 255.255.255.0 
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.3.10

配置完成后，验证实验

FW1：

FW2：

实验结束；

备注：如有错误，请谅解！

此文章为本人学习笔记，仅供参考！如有重复！！！请联系本人