理论随心记——防火墙NAT

最新推荐文章于 2024-06-19 08:34:02 发布
最新推荐文章于 2024-06-19 08:34:02 发布
阅读量1.3k 收藏 5
点赞数
分类专栏: HUAWEI安全 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Uniqueness981121/article/details/108654865
版权

该内容只是以默写总结一些知识点而已,顺便分享出来和方便翻阅。无他。有错误的地方麻烦批评指正。十分感谢。

防火墙NAT

私网用户访问internet

源NAT

源NAT就是只对报文的源地址进行地址转换。

NO-PAT

其实学过NAT的时候我们就知道了动态NAT和NAPT了。所谓的动态NAT就是指NO-PAT,就是不转换端口,只转换地址。一个内网地址就对应地址池中的一个外网地址。当内网用户访问internet时,报文到达防火墙时处理如下:
①报文到达防火墙会先进行安全策略检查,通过检查后查找NAT策略。
②防火墙从地址池中找一个IP地址替换掉报文的源IP地址,然后建立会话表和Server-map表,然后将报文发送给目的地址。
③回包到达防火墙时,防火墙会查找会话表(状态检测和会话机制)进行匹配,确定是同一连接,然后将报文的目的地址替换为内网的用户IP地址。
在这里插入图片描述

NAPT

NAPT就是不仅转换IP地址,还会转换端口号。地址池中包含一个到多个IP地址,一个公网地址可以给多个内网地址共用。当内网用户访问internet时,报文到达防火墙时处理如下:
①报文到达防火墙时会进行安全策略检查,检查通过后查找NAT策略。
②防火墙从地址池中找一个IP地址替换报文的源IP地址,同时使用新的端口号代替源端口号,然后建立会话表。
③回包到达防火墙时会查找会话表,确定为同一连接后将报文的目的地址转换为内网的用户IP地址,将目的端口号替换为原来的端口号。
在这里插入图片描述

值得注意的是,NO-PAT可以产生Server-map,但需要流量的触发。NAPT为什么不会产生Server-map?因为如果产生,需要大量表现,消耗资源,影响性能。

公网用户访问内网服务器

NAT Server也称静态映射,是将外网发来的目的地址转换为内网的服务器地址。外网用户访问内网服务器时,外网的IP地址和端口号是不确定的。所以防火墙在配置好NAT Server后会自动创建Server-map表项,来存储Globle地址和inside地址的映射关系。每个生效的NAT Server都会产生正反方向两个静态Server-map表项,表项会一直存在除非NAT Server配置被删除。
防火墙处理过程:
①外网访问内网服务器的报文到达防火墙时会查找匹配Server-map表项,将目的地址替换为内网服务器的IP地址。
②防火墙根据替换后的IP地址判断报文需要在区域间流动,所以需要进行安全策略检查后建立会话表。
③服务器回包到达防火墙时会根据会话表进行匹配,然后替换IP地址。
④后续的报文交互直接根据会话表进行转发即可,不用查找Server-map表。
在这里插入图片描述

注:以上图片来源华为文档。

Uniqueness信
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
华为防火墙NAT策略
GO_Rush_b的博客
04-14 861
华为与H3C **华为防火墙的6种分类** NAT NO-PAT:->cisco 动态NAT:多对多; 对源地址转换,不转换端口, 不能节约公网IP地址, 可以隐藏内部网络 NApt:Cisco PAT:多对一 节约公网IP地址将源地址映射为公网的IP地址和端口 多对一的转换 将多个私网IP地址映射到一个公网IP地址 Easy-ip
ACL和NAT
weixin_73462212的博客
10-01 1477
ACL和NAT
2021-07-14
qq_55803921的博客
07-14 996
07/14课堂笔 NAT转换在这里可以分为四种: 源NAT: no-pat pat ease-ip 目标NAT: server nat 暂且不明: 双向nat alg特性 如果在防火墙上的是源NAT转换,则防火墙匹配安全策略,再匹配NAT策略 如果在防火墙上的是目标NAT转换,则防火墙匹配NAT策略,再匹配安全策略 实验总结概述: 防火墙上做NAT: 第一步: 将接口划分好所属区域,做好基础配置 第二步: 创建一个nat地址池,并将模式改为no-pat(虽然不节省地址,但是实验要求),将地址池的范围规
防火墙NAT策略
sjsjshhs134654的博客
11-14 779
一个范围私网地址对应一个公网IP地址的多个端口(该公网地址是公司出口路由器IP地址)一个范围私网地址对应一个公网IP地址的多个端口(该公网非公司出口路由器公网IP)一个私网地址的一个端口对应一个公网地址的一个端口(一般用于外网访问内网服务器)一个范围私网地址对应一个范围的公网地址。一个私网地址对应一个公网地址。
理论+实操:防火墙NAT策略
Lfwthotpt的博客
02-11 4785
文章目录一:NAT概述1.1 NAT分类1.1.1 NAT No-PAT1.1.2 NAPT(Network Address and Port Translation,网络地址和端口转换)1.1.3 出接口地址 (Easy-IP)1.1.4 NAT Server1.1.5 Smart NAT (智能转换)1.1.6 三元组NAT1.2 黑洞路由1.3 Server-map1.3.1 server-...
Nat防火墙的概念和纠葛,谁作用?
muzilanlan的专栏
08-12 5252
1、NAT;NAT 是Net Address Translation 的缩写,从名字也可以看出,它是负责网络地址转换的一个协议。通俗的说,它负责把私网内的的IP和端口转换成公网的IP和端口,也即使我们通常所说的IP地址影射。例如:公司内一般有一个私网,假设为10.1.1.1网段。公司通过一个公网服务器(机器 A)接入Internet,此服务器内网IP为10.1.1.1,外网为220.220.1.6。
正则表达式随心.docx
06-13
正则表达式随心.docx
随心.pdf
11-18
随心.pdf
基于Android 的随心本.zip
05-10
Android是一种基于Linux内核(不包含GNU组件)的自由及开放源代码的移动操作系统,主要应用于移动设备,如智能手机和平板电脑。该系统最初由安迪·鲁宾开发,后被Google公司收购并注资,随后与多家硬件制造商、软件...
QQ机器人插件——随心
07-25
QQ机器人插件 随心搜,比百度百科还好用的机器人插件!
NAT和ACL执行顺序测试
05-23
1、ACL的执行顺序在SNAT之后。 2、这样尽管还要进行NAT转换看起来是耗费了资源。但是这样却有利于ACL对内网 的控制。假设ACL在NAT之前的话,哪么ACL就不能根据内网的IP以及端口等 信息对内网的出入数据流进行控制。 3、这样的执行顺序是比较合理的。
英语单词 和 随心
08-08
,单词 APK ,适合有点基础的android开发者。内附DEMO.JPG 有gif图。可以看看demo适合大家否。
策略路由、路由与NAT的顺序
weixin_33898876的博客
02-25 1145
Inside-to-Outside •If IPSec then check input access list •decryption - for CET •check input rate limits •input accounting •policy routing •routing •redirect to web cache...
华为防火墙natserver 双向nat
荆盼的博客
01-14 8958
示例1  配置NAT Inbound+NAT Server #  nat address-group 1 10.1.1.20 10.1.1.25  //地址池中的IP为私网IP ,且和server的私网IP同网段  nat server 0 global 210.1.1.15 inside 10.1.1.3 # nat-policy interzone dmz untrust inbound...
毕设快速入门 - 防火墙NAT技术、NAPT、NAT-Server、Easy-IP
彪哥.TOP的博客
10-17 809
(Network Address and Port Translation,网络地址和端口转换)NAPT即转换报文的源地址,又转换源端口。转换后的地址不能是外网接口IP地址,属于多对多或多对一转换,可以节约公网IP地址,使用场景较多。出接口地址 (因其转换方式非常简单,所以也被称为Easy-IP、和NAPT一样,即转换源IP地址,又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址,属于多对一转换,可以节约IP地址。
防火墙NAT策略中各项之间以及策略与策略之间的关系
weixin_45457085的博客
05-19 1076
1、NAT策略中rule与rule之间的关系为“或”的关系,即多个rule存在时,流量只需要匹配其中一个rule即可,流量会按照匹配的rule规则进行流量转发。(华为华三的防火墙rule是没有ID的,即配置上rule后rule ID是不显示的(可以通过display security-policy rule命令查看ID等信息),所以我们不能通过rule ID指定rule的匹配后顺序,在命令行界面是按照从上往下的机制进行顺序匹配的)注意安全策略不同于NAT策略,安全策略在命令行界面是从下往上进行匹配的。
NAT与ACL执行顺序解析
weixin_34273046的博客
11-21 1580
防火墙数据包处理流程图ACL与NAT的顺序不是固定的,各厂商数据流ACL或NAT不一。引用《浅析ACL与NAT的执行顺序》—张少芳 一文中的结论如下:H3C 出站:匹配出站ACL,然后进行地址转换 入站:进行地址转换,然后匹配入站ACLCISCO 出站:进行地址转换,然后匹配出站ACL 入站:匹配入站ACL,然后...
防火墙nat以及双机热备
weixin_42902697的博客
09-13 563
当内网pc通过公网域名访问内网服务器时,源ip不会被nat转换,所以服务器回包时会直接通过内网以内网ip回复,导致pc无法接受此包,无法正常与服务器通信。解决方案就是使用域内双向nat,将源地址一并转换,这样回包就能原路返回。问题1:主防火墙挂掉后,VRRP会将流量转到备用防火墙,但是备用防火墙无法新建会话表,因为建立会话表需要首包,所以流量不能通过。问题2:当主防火墙一边的链路断了,虽然VRRP能够进行链路追踪,进行主备切换,但另一边的设备并不知情,仍会错误地转发流量。
Python网络安全项目开发实战,怎么扫描漏洞
最新发布
一个好知识的传播者
06-19 1444
Python在网络安全项目开发实战中发挥着重要的作用。通过Python编写的漏洞扫描器可以自动化地收集目标信息、进行端口扫描和漏洞检测,并生成详细的扫描报告。然而,网络安全是一个复杂的领域,仅仅依靠Python编写的扫描器是远远不够的。未来,我们可以结合机器学习、大数据等技术来进一步提高漏洞扫描的准确性和效率。同时,也需要不断学习和研究新的漏洞利用方式和防范措施,以应对日益复杂的网络安全威胁。Python网络安全项目开发实战_扫描漏洞_编程案例解析实例详解课程教程.pdf。
苹果ios一键新机爱新机axj随心不限制安装版
08-14
苹果iOS一键新机爱新机(AXJ)是一款方便用户在新设备上一键安装之前已有的应用和个人数据的工具。它可以帮助用户省去手动...它的不限制和随心性使得用户能够自由地在不同设备间切换,并方便地享受新设备带来的便捷。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Uniqueness信

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值