防御保护--NAT策略

已于 2024-03-14 16:37:58 修改
阅读量1.2k 收藏 22
点赞数 27
分类专栏: 防御保护 文章标签: 服务器 网络安全 安全
于 2024-01-29 15:08:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72210904/article/details/135892164
版权

目录

NAT策略

NAT类型 

server-map表

P2P --- peer to peer 网络类型

​编辑

目标NAT--服务器映射

双向NAT

​编辑

多出口NAT

NAT策略

静态NAT --- 一对一

动态NAT --- 多对多

NAPT --- 一对多的NAPT --- easy ip

           --- 多对多NAPT

服务器映射

源NAT--基于源IP地址进行转换。我们之前接触过的静态NAT,动态NAT,NAPT都属于源 NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网

目标NAT--基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为 了保证公网用户可以访问内部的服务器

双向NAT--同时转换源IP和目标IP地址

 

 

注意:源NAT是在安全策略之后执行。动态nat:不看协议协议

配置黑洞路由---黑洞路由即空接口路由,在NAT地址池中的地址,建议配置达到这个地址指 向空接口的路由,不然,在特定环境下会出现环路。(主要针对地址池中的地址和出接口地址不再同一个网段中的场景。)

决定了使用的是动态NAT还是NAPT的逻辑。 

NAT类型 

五元组NAT --- 针对源IP,目标IP,源端口,目标端口,协议 这五个参数识别出 的数据流进                         行端口转换 

三元组NAT --- 针源IP,源端口,协议 三个参数识别出的数据流进行端口转换

注意:在保留地址中的地址将不被用于转换使用

server-map表

态NAT创建完后,触发访问流量后会同时生成两条server-map的记录,其中一条是反向记 录。反向记录小时前,相当于是一条静态NAT记录,外网的任意地址,在安全策略放通的情况 下,是可以访问到内网的设备。

基于端口的NAT转换,是不会生成server-map表的。

P2P --- peer to peer 网络类型

因为P2P应在端口转换的情况下,识别五元组,将导致P2P客户端之间无法直接访问,不符合 五元组的筛选条件,所以,这种场景下可以使用三元组NAT,放宽筛选条件,保证P2P客户端 之间可以正常通信

目标NAT--服务器映射

安全区域 :指的是需要访问服务器的设备所在的区域。

源NAT:在安全策略之后执行

目标NAT:在安全策略之前执行(因为自动生成的安全策略的目标 地址是转换后的地址,说明需要先进行转换,再触发安全策略

双向NAT

多出口NAT

源NAT

第一种:根据出接口,创建多个不同的安全区域,再根据安全区域来做NAT

第二种:出去还是一个区域,选择出接口来进行转换

目标NAT

第一种:也可以分两个不同的区域做服务器映射

第二种:可以只设置一个区域,但是要注意,需要写两条策略分别正对两个接口的地址 池,并且,不能同时勾选允许服务器上网,否则会造成地址冲突。

坚持@success
关注
  • 27
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NAT(地址转换技术)详解
yan_0916的博客
08-28 2万+
一.概述 中文名称,网络地址转换 作用将内部(私有)地址转换成外部(公有)地址 NAT转换内网地址范围(源地址) 10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255 常用的原因(即应用方向) 有针对性, 1.没有足够的公网IP连接到internet 2当更换ISP需要重新编址 3合并两个使用重叠地址空间的内部网络 4使用单个IP地址支持基本的负载分担 二.优点 1.节省..
NAT配置之源NAT详解
最新发布
Mario_Ti的博客
12-25 2196
本文将收录NAT合集专栏,此文主要是讲解NAT技术之源NAT的原理以及种类及配置。
NGFW_源NAT
qq_27599713的博客
02-12 6086
NAT是指将报文的源地址进行转换。如图所示,当私网地址用户访问Internet时,FW将报文的源地址由私网地址转换为公网地址。当响应报文返回到FW时,FW再将报文的目的地址转换为私网地址。根据原地址转换是否转换端口,源NAT分为仅源地址转换的NAT(NAT No-PAT),源地址和源端口同时转换的NAT(NAPT,Smart NAT,Easy IP,三元组NAT)。
【防火墙源NAT转换-多对多】
yuxue_cn的博客
05-19 1057
防火墙源NAT转换-多对多 一、网络拓扑 二、需求描述 内网用户能够通过USG访问Internet,且在出外网时使用地址池中的地址进行转换。 实验步骤: 1.在USG上配置相关NAT策略并调试。 将接口eth1设为路由模式并配置IP 将接口eth2设为路由模式并配置IP 新建地址iner(192.168.1.1~192.168.1.255) 新建地址池(200.1.1.1~200.1.1.3) 新建防火墙安全策略policy2 配置别名接口和源NAT 200.1.1.3 200.1.1.2
Nat网络地址转换
程序猿阿蛮
09-18 5204
IP 地址中预留了 3 个私有地址网段,在私有网络内,可以任意使用。 其余的 IP 地址可以在互联网上使用,由 IANA 统一管理,称为公网地址。 NAT 解决了 IPv4 地址不够用的问题,另外 NAT 屏蔽了私网用户真实地址,提高了私网用户的安全性。 典型的 NAT 组网模型,网络通常是被划分为私网和公网两部分,各自使用独立的地址空间。私网使用私有地址 10.0.0.0/24 ,而公网使用公网地址。为了让主机 A 和 B 访问互联网上的服务器 Server ,需要在网络边界部署一台 NAT 设备用于
3-1-lvs-nat.pdf
07-03
Chapter1:LVS-NAT 集群
LB群集--lvs-nat模型
08-10
绍LB群集--lvs-nat模型
6.8.1 Packet Tracer - Configure NAT for IPv4
05-27
6.8.1 Packet Tracer - Configure NAT for IPv4 Cisco Packet Tracer 思科模拟器 正确答案文件 可直接上交正确答案文件 本答案版权归mewhaku所有,严禁再次转载!!! Copyright @mewhaku 2022 All Rights ...
natpoker-srv:NAT询问软件的服务器端部分
05-20
natpoker-srv NAT询问软件的服务器端部分
ansible-role-aws-vpc-nat
05-12
角色:AWS VPC NAT 该角色能够为每个VPC和每个子网创建任意数量的NAT网关。 要求 Ansible 2.5 附加变量 可以使用的其他变量(作为host_vars / group_vars或通过命令行args使用): 多变的 描述 aws_vpc_nat_...
NAT地址转换(又称为网络地址转换,用于实现私有网络和共有网络之间的互相访问)
a_b_e_l_的博客
06-17 1万+
目录地址类型NAT地址转换工作过程:NAT的好处:静态NATNAT配置命令动态nat配置:ACL:应用规则私有地址和公有地址:公有网络地址(以下简称公网地址)是指在互联网上全球唯一的IP地址。2019年11月26日,是人类互联网时代值得纪念的一-天,全球近43亿个IPv4地址已正式耗尽。私有网络地址(以下简称私网地址)是指内部网络或主机的IP地址,IANA(互联网数字分配机构)规定将下列的IP地址保留用作私网地址,不在Internet(互联网).上被分配,可在一个单位或公司内部使用。RFC1918中规定私
【防火墙源NAT转换-多对一】
yuxue_cn的博客
05-18 1134
防火墙源NAT转换-多对一 一、网络拓扑 二、需求描述 USG内网段192.168.1.0/24可以通过防火墙NAT转换访问Internet。 实验步骤: 1.在USG上配置NAT相关策略并调试。 将接口eth1设置为路由模式,并配置IP 将接口eth2设置为路由模式,并配置与路由器同一网段IP 配置一个静态路由 新建地址inernet(192.168.1.1~192.168.1.255) 新建NAT策略 新建防火墙安全策略 三、配置目标 结果能实现: 1 内网192.168.1.0/24网段
网络地址转换NAT原理(易于理解)
热门推荐
风叶
04-14 8万+
节选自:芷菁博客 http://www.stars625.com/nat.html 感谢人家的贡献,我转发到自己博客是为了以后温习方便。 这是做路由器的时候,学习网络地址转换Network Address Translation后的一些理解整理,主要通过实例和图表的方式展示了NAT的工作原理和每个阶段的状态。本文的NAT是基本于Linux下的iptables命令实现
NAT(网络地址转换)详解
empty_csx的博客
08-04 3620
NAT使用场合:网络地址转IPV4的公网地址不能做到人手一个,因此需要用到网络地址转换,将内网地址统一转换成公网地址,让局域网内的终端可以上网。 数据出路由器转发的是源IP 数据入路由器转发的是目标IP NAT 一、静态NAT(一个内网地址对一个公网地址) nat static global 出口公网IP inside 私网的某台设备IP 二、动态NAT(多个内网地址对多个公网地址) 1.配置NAT地址池 全局下打nat address-group 1 15.0.0.10 15.0.0.11 2.配置ACL
NAT目的NAT
netabecedarian的博客
10-16 1万+
NAT 目的NAT区别 在FW中,匹配策略的顺序导致存在源NAT和目的NAT。 源NAT就是平常的PAT,NAT,数据包到了FW,先匹配策略,看是否同行,策略过了后,才会进行NAT转换。 目的NAT一般用于将内网服务器端口映射到公网端口,但是该顺序是在匹配同行策略之前,所以它会先将内网地址转换后,在匹配策略,最后通向外网。 如图所示 FW的策略为 源NAT策略大致为 源192.168.1....
NAT地址转换原理全攻略
923723914
09-27 1959
以下内容摘自正在全面热销的最新网络设备图书“豪华四件套”之一《Cisco路由器配置与管理完全手册》(第二版)(其余三本分别是:《Cisco交换机配置与管理完全手册》(第二版)、《H3C交换机配置与管理完全手册》(第二版)和《H3C路由器配置与管理完全手册》(第二版))。目前在京东网、当当网、卓越网、互动出版网等书店全面热销中,购买该套装将直减30元:http://book.dangdang...
用eNSP模拟器模拟防火墙做源NAT转换,转换方式为NAT NO-PAT 方式
qq_35133980的博客
12-27 3503
打开ensp模拟器,添加两个client,一个server和一个FW,设备与接口连接如下所示: 第一步,规划地址如下: 两个client地址分别为192.168.0.2和192.168.0.3,掩码为255.255.255.0,网关为192.168.0.1 server地址为210.1.1.2 掩码为255.255.255.0,网关为210.1.1.1 防火墙设置vlan 10 ,作为...
华为防火墙NAT分类(源地址转换和目标地址转换)
studay_everday的博客
07-27 6364
源地址转换方式 1.**NAT NO-PAT(动态转换):**多对多转换,不转换端口,只转换源IP地址2. NAPT(network and port translation ,网络地址和端口转换)类似pat:napt既转换报文源地址,又转换源端口。转换后的ip地址不能是外网接口ip地址(多对多或多对一) 3.**EASY-IP(出接口地址):**既转换源IP地址,又转换源端口,转换为外部接口地址,(多对多或多对一) 4.**三元组nat:**与源ip地址,源端口和协议类型有关的一种转换,将源ip地址
NAT 地址转换
weixin_30551963的博客
10-10 485
NAT功能 NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。1.宽带分享:这是 NAT 主机的最大功能。解决IP4地址短缺的问题。2.安全防护:NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了,外界在进行 po...
iptables -t -nat -L含义
06-09
其中,-t参数指定要操作的表,-nat参数表示操作的是网络地址转换表,-L参数表示列出当前表中的规则。因此,iptables -t nat -L命令的含义是列出当前系统中网络地址转换表中的规则,包括DNAT、SNAT等转换规则。这个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值