一文读懂深信服AF源NAT、目的NAT、双向NAT的原理及配置。

瘪三i

已于 2024-11-26 18:02:34 修改

阅读量2.3k

点赞数 31

文章标签：网络安全网络协议网络

于 2024-11-26 17:51:17 首次发布

本文链接：https://blog.csdn.net/Under_Mount_Fuji/article/details/144064645

版权

一、引言

随着互联网的普及和企业信息化进程的推进，网络安全与网络管理的需求愈加迫切。在这种背景下，网络地址转换（NAT，Network Address Translation）技术作为一种解决内外网IP地址分配、节省公共IP资源及提升网络安全性的重要手段，已成为现代网络架构中不可或缺的一部分。

NAT 技术通过对源地址、目的地址或端口号进行动态转换，使得多个内网设备可以通过一个公共IP地址访问外部网络，同时保障内部网络结构的隐私性和安全性。它不仅有效缓解了IPv4地址短缺问题，还为企业网络架构提供了灵活的管理和安全策略。

在实际应用中，NAT 可以分为多种形式，主要包括源 NAT（Source NAT, SNAT）、目的 NAT（Destination NAT, DNAT）和双向 NAT（Bidirectional NAT, BDNAT）。源 NAT 主要用于内网设备访问外部网络时修改源地址；目的 NAT 则用于外部网络访问内网时修改目的地址；双向 NAT 技术则结合了源 NAT 和目的 NAT，适用于更复杂的网络环境，如企业内外网的双向通信需求。

本文将详细介绍源 NAT、目的 NAT 和双向 NAT 技术的原理与应用，并结合深信服防火墙的实际配置，展示如何在实际网络环境中配置和管理 NAT 策略，以满足企业网络的多样化需求。在实践中，通过合理配置 NAT，可以有效提升网络的安全性、可扩展性及访问效率。

网络拓扑:

在这里插入图片描述

二、实际配置案例

1、源地址转换（源NAT）

[源地址转换]用于将符合条件的数据进行源IP地址转换，最常用的是设备部署在公网出口时，代理内网用户上网，需要设置源地址转换规则进行源地址转换。

深信服防火墙设备配置:
在这里插入图片描述

（1）在配置IPv4地址转换策略之前，首先定义防火墙的一个安全区域，也就是定义物理接口所连接的区域，在拓扑图中可以看到，防火墙有两个接口，接口IP地址分别为10.37.26.240（公网），192.168.10.1（内网），那么公网（10.37.26.240）所对应的区域就是untrust（不信任区域）内网所对应的区域就是trust区域。

所以内网要实现访问公网，那么流量区域一定是从trust区域到untrust区域。

（2)定义源地址的范围，我这边添加就是我内网两台主机所在的网段。

（3）进行IP地址转换时，将源IP转换为哪个IP地址。可以选择防火墙接口的出接口地址、某一段IP范围、单个指定IP、网络对象或者不转换。本案例中选择出接口地址。（Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口）。

那么经过地址转换后，192.168.10.10访问“百度（220.181.38.149）”的流量包为:

Sip192.168.10.10 Dip 220.181.38.149, 经过防火墙出口后源地址进行转换:Sip10.37.26.240 Dip220.181.38.149。

百度的回包:sip220.181.38.149 Dip10.37.26.240,当回包到达防火墙接口时候，去查看NAT映射表中的映射关系，那么转换为:Sip 220.181.38.149 Dip192.168.10.10

在这里插入图片描述

2、目的地址转换（目的NAT）

目的地址转换用于对经过设备的数据做目标地址转换。常应用于发布服务器，将内网服务器的服务映像到公网，使Internet用户可以通过公网地址访问到网络内部服务器。

目的将内网服务器:192.168.10.10:80端口服务映射到公网IP10.37.26.240:8888

以便于公网用户可以访问。

这边使用的是Everything自带的http服务

在这里插入图片描述

（1）设置源区域为untrust公网区域访问内网区域，目的的IP为公网的接口IP，端口号为8888，转桓侯的目的也就是内网区域的192.168.10.10这台服务器的80 端口
在这里插入图片描述

这里用我的手机IP进行测试可以访问成功（与公网IP均处于同一局域网内）！

数据包流量公网IP为10.37.37.23，那么公网访问路径就是:Sip10.37.37.23 Dip 10.37.26.240:80
经防火墙转换后:Sip10.37.37.23 Dip 192.168.10.10:80
回包:Sip:192.168.10.10:80 Dip 10.37.26.240 经过防火墙转换后:Sip 10.37.26.240:8888 Dip 10.37.37.23

这样就能实现公网IP访问内网的服务器，也叫端口映射。

这时如果我们用内网的客户端192.168.10.20这个IP去访问10.37.26.240:80 是访问不通的，
这是因为，当内网IP20去访问外网服务时，Sip192.168.10.20 Dip 10.37.26.240:8888
经过防火墙转换后 Sip 192.168.10.20 Dip 192.168.10.10:80 回包:Sip192.168.10.10:80 Dip 192.168.10.20
内网回应报文发现目的地址和自己在同一网段，回应报文经交换机直接转发到私网用户，不经防火墙转发，当服务端收到后，
发现自己发送的源和目的IP与自己收到的源和目的IP不一致，所以直接进行丢弃。为了解决这个问题就用下面讲到的双向NAT地址转换。

3、双向NAT地址转换

双向地址转换用于对经过设备的数据做源地址和目标地址都进行转换。常应用于发布服务器，将内网服务器的服务映射到公网，使外网用户和内网用户都可以通过公网地址访问到网络内部服务器。下图为双向地址转换页面。（其实就是源和目的都进行转变）

（1)区域选择源区域为trust与untrust，目的IP为防火墙出口IP

流量路径:
当192.168.20.20 访问10.37.26.240时，Sip 192.168.10.20 Dip 10.37.26.240:8888
经过防火墙后，Sip : 192.168.10.1 Dip 192.168.10.10:80
回包:Sip 192.168.10.10:80 Dip 192.168.10.1 发送给防火墙，
防火墙接收后Sip 10.37.26.240:8888 Dip 192.168.10.1
进行转换为10.37.26.240:8888 Dip 192.168.10.20

在这里插入图片描述

验证:此时内网IP可以访问公网IP的http服务
在这里插入图片描述
gon
公网也没问题

参考连接:https://blog.csdn.net/qq_24328629/article/details/126946217
         https://www.elecfans.com/d/2384073.html