一,双向NAT简介
双向NAT指在转换过程中同时转换报文的源信息和目的信息。双向NAT不是一个单独的功能,而是源NAT和目的NAT的组合。双向NAT是针对同一条流量,在其经过防火墙的同时转换报文的源地址和目的地址。
二,适用场景
2.1外网用户访问内部服务器
这种情况,外部网络的用户访问内部服务器,使用双向NAT功能同时转换报文源和目的地址。既可以在公网中发布内网服务器,也可以在内部服务器上设置网关以应对不当的配置或简易配置的场景。
如图所示,当Internet_PC访问Web_Server时,FW的处理过程如下:
1.FW对匹配双向NAT策略的报文进行地址转换
2.FW从目的NAT地址池选择一个私网IP地址替换报文的目的IP地址,同时使用新的端口号替换报文的目的端口号。
3.判断满足安全策略要求。通过安全策略从源NAT地址池中随机选择一个私网IP替换报文的源IP,并用新的端口号替换新的端口号,并建立会话表转发报文。
4.FW收到Server响应报文后,通过查找会话再进行源目NAT转换。
注意:因为源NAT转换后的IP地址和Web_Server是同一网段,所以Web_Server不需要配置网关地址。
2.2内网用户访问内部服务器
私网用户与内部在同一安全区域同一网段,私网用户想要像外网用户一样访问内部服务器。
如图,当Intranet_PC访问同安全区域的Web_Server时FW的处理流程如下:
1.FW对匹配双向NAT策略的报文进行NAT转换。
2.FW从目的NAT地址池中选择地址进行转换,并使用新的端口号替换原端口号。
3.安全策略检查通过后,在源NAT地址池中随机选择一个公网地址替换报文的源IP地址,同时修改原端口号。建立会话并转发报文。
4.当FW收到响应报文查找会话表项源目NAT转换并转发报文。