NAT网关网络安全方案
- 接口概览
- 更新历史
- 接口信息
- 服务器生命周期管理
- createInstances
- describeInstanceName
- modifyInstance
- describeDeviceTypes
- reinstallInstance
- describeInstanceRaid
- associateElasticIp
- describeInstanceStatus
- restartInstance
- describeInstances
- describeOS
- stopInstance
- startInstance
- describeDeviceRaids
- modifyBandwidth
- resetPassword
- describeInstanceMonitorInfo
- describeInstance
- disassociateElasticIp
- describeRegiones
- describeEventLogs
- 子网管理
- 私有网络管理
- 路由表管理
- 弹性公网IP管理
- Ipv6管理
- SSH密钥管理
- 别名IP范围管理
- 负载均衡管理
- createLoadBalancer
- modifyLoadBalancer
- startLoadBalancer
- stopLoadBalancer
- associateElasticIpLB
- disassociateElasticIpLB
- createListener
- modifyListener
- deleteListener
- startListener
- stopListener
- createServerGroup
- modifyServerGroup
- deleteServerGroup
- addServers
- modifyServer
- removeServer
- describeLoadBalancers
- describeCPSLBRegions
- describeLoadBalancer
- describeListeners
- describeListener
- describeServerGroups
- describeServerGroup
- describeServers
- 服务器生命周期管理
产品文档
弹性计算
数据库
网络与 CDN
容器与中间件
混合多云
安全
人工智能
开发与运维
企业服务与云通信
大数据
区块链
裸金属云物理服务器
- 产品简介
- 产品定价
- 入门指南
- 操作指南
- 常见问题
- 最佳实践
- 问题排查
- 相关资源
- API参考
- 接口概览
- 更新历史
- 接口信息
- 服务器生命周期管理
- createInstances
- describeInstanceName
- modifyInstance
- describeDeviceTypes
- reinstallInstance
- describeInstanceRaid
- associateElasticIp
- describeInstanceStatus
- restartInstance
- describeInstances
- describeOS
- stopInstance
- startInstance
- describeDeviceRaids
- modifyBandwidth
- resetPassword
- describeInstanceMonitorInfo
- describeInstance
- disassociateElasticIp
- describeRegiones
- describeEventLogs
- 子网管理
- 私有网络管理
- 路由表管理
- 弹性公网IP管理
- Ipv6管理
- SSH密钥管理
- 别名IP范围管理
- 负载均衡管理
- createLoadBalancer
- modifyLoadBalancer
- startLoadBalancer
- stopLoadBalancer
- associateElasticIpLB
- disassociateElasticIpLB
- createListener
- modifyListener
- deleteListener
- startListener
- stopListener
- createServerGroup
- modifyServerGroup
- deleteServerGroup
- addServers
- modifyServer
- removeServer
- describeLoadBalancers
- describeCPSLBRegions
- describeLoadBalancer
- describeListeners
- describeListener
- describeServerGroups
- describeServerGroup
- describeServers
- 服务器生命周期管理
2024-06-03 12:22:59
NAT网关网络安全方案
概述
NAT网关是通过定制安全策略允许到达与其相关联的云物理服务器(简称CPS)的入站流量,以及允许离开云物理服务器的出站流量。默认情况下,NAT网关(拒绝)所有流量。NAT为云物理服务器CPS提供有状态的防火墙,能够指定并记住为发送或接收信息包所建立的连接的状态,是一套用来设置、维护和检查云物理服务器外网通信的安全机制。
应用场景介绍
内网的CPS访问公网,仅需要一台云物理服务器有一个公网和一个内网IP,其他的云物理服务器都只需一个内网IP,通过这台有公网IP的服务器做NAT网关,就可以实现所有的云物理服务器访问公网,用户还可以按照业务需要,仅仅允许特定的云物理服务器访问公网。
同理,公网访问内网的CPS,通过这台有公网IP的服务器做NAT网关,映射相应的IP和端口号,就可以实现公网访问CPS的业务应用系统或远程管理CPS.
通过NAT网关,简化了网络架构,降低了公网IP的数量,增强了内网CPS和业务应用系统的网络安全。
网络架构示意图
配置方案
配置命令的IP信息都是模拟的,请以购买的云物理服务器的IP信息替换。
注意:请谨慎关闭SSH登录22端口,关闭22端口会造成您不可从外部访问NAT网关和云物理服务器!
内网CPS访问公网的配置方案
修改云物理服务器
1、通过NAT网关,SSH登录内部Server ssh root@172.16.0.4 (密码是购买时手动设置的密码)
2、默认IP信息,【图1.0】和路由信息【图1.1】
IP信息【图1.0】
路由信息【图1.1】
3、修改云物理服务器为NAT网关的内网IP(如172.16.0.3):
vim /etc/sysconfig/network-scripts/ifcfg-eth0,添加一条GATEWAY=172.16.0.3,保存退出wq,重启服务生效service network restart.
修改默认网关【图2.0】
查看默认路由的网关【图2.1】
配置NAT网关系统策略
1、开启系统的路由转发功能:
编辑vim vi /etc/sysctl.conf 文件,修改net.ipv4.ip_forward = 1;sysctl --p 不用重启系统,配置生效。
2、添加 FORWARD 转发规则
默认的 iptables 的策略是不允许流量的转发,所以我们需要先删除默认的不允许转发的规则;iptables -D FORWARD 1 ,其中 1 代表 FORWARD 规则中的第一条规则。因为默认的只有一条 FORWARD 规则,所以只需要删除第一条即可。
默认forward转发规则【图2.0】
iptables -A FORWARD -s 172.16.0.0/16 -i eth0 -j ACCEPT
允许转发来自内网网段(172.16.0.0/16)来自于内网网卡 eth0 的流量转发。
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
允许转发已经建立好链接的流量,不允许来自外网新的请求流量进来。
forward转发规则【图2.1】
3、配置SNAT(内部CPS通过NAT网关访问公网):
复制成功
iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -o eth1 -j SNAT --to-source 103.37.46.14
SNAT策略规则【3.0】
4、保存配置
service iptables save
公网访问CPS的配置方案
1、添加filter安全规则:
允许相应的业务被访问,如SSH 22、NTP 123、http80等TCP、UDP、ICMP服务。
复制成功
Iptables -A INPUT -i eth1 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 –p udp -m state --state NEW -m tcp --dport 123 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
2、 配置DNAT(公网通过NAT网关访问云物理服务器)
将TCP 8888端口号,映射到CPS的SSH 22端口。
复制成功
Iptables –t nat -A PREROUTING -p tcp -m tcp --dport 8888 -j DNAT --to-destination 172.16.0.4:22
DNAT策略规则【2.0】
3、保存配置
service iptables save
开始与售前顾问沟通
可直接拨打电话 400-098-8505转1
我们的产品专家为您找到最合适的产品/解决⽅案
1v1线上咨询获取售前专业咨询
专业产品顾问,随时随地沟通
