防火墙_源NAT

最新推荐文章于 2024-05-13 11:01:05 发布
最新推荐文章于 2024-05-13 11:01:05 发布
阅读量1.7k 收藏 4
点赞数
分类专栏: 防火墙 文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42528239/article/details/107965505
版权

不同的NAT类型对应不同的NAT策略,在FW上处理顺序不同。
1、W收到报文后,查找NAT Server生成的Server-map表,如果报文匹配到Server-map表,则根据表项转换报文的目的地址,然后进行第四步;若没有匹配到,则进行下一步
2、查找基于ACL的目的NAT,如果报文符合匹配条件,则转换报文的目的地址,然后进行第四步;若不符合,则进行下一步
3、查找NAT策略中目的NAT,如果报文符合匹配条件,则转换报文的目的地址后进行路由处理;若不符合,则直接进行路由处理
4、根据报文当前的信息查找路由(包括策略路由),如果找到路由,则进行下一步,否则丢弃
5、查找安全策略,如果安全策略允许报文通过且之前并未匹配NAT策略(目的NAT或双向NAT),则进行下一步;如果安全策略允许报文通过且之前匹配过双向NAT,则直接进行源地址转换,然后创建会话并进入第七步;如果安全策略允许报文通过且之前匹配过目的NAT,则直接创建会话,然后进行第七步;如果安全策略不允许,则丢弃
6、查找NAT策略中源NAT,如果报文符合源NAT的匹配条件,则转换报文的源地址,然后创建会话;否则直接创建会话
7、FW发送报文

NAT策略中目的NAT会在路由和安全策略之前处理,NAT策略中源NAT会在路由和安全策略之后处理。
因此,配置路由和安全策略的源地址是NAT转换前的源地址,配置路由和安全策略的目的地址是NAT转换后的目的地址。

源NAT

根据转换源地址是否同时转换端口,源NAT分为仅源地址转换的NAT(NAT NO-PAT),源地址和源端口同时转换的NAT(NAPT、Smart NAT、Easy IP、三元组NAT)

1、NAT NO-PAT
NAT NO-PAT是一种NAT转换时只转换地址,不转换端口,实现私网地址到公网地址一对一的地址转换方式。适用于上网用户较少且公网地址数与同时上网的用户数量相同的场景。

此方式下,公网地址和私网地址是一对一的,如果地址池中的地址已经全部分配出去,则剩下内网主机访问外网是不会进行NAT转换,直到地址池有空闲。

FW上生成的Server-map表中存放Host的私网IP地址和公网IP地址的映射关系
正向Server-map表保证了特定私网用户访问Internet时,快速转换地址,提高了FW效率

反向Server-map表允许Internet上的用户主动访问私网用户,将报文进行地址转换

NO-PAT的分类
(1)本地(local)NO-PAT
本地NO-PAT生成的Server-map表中包含安全区域参数,只有此安全区域的Server可以访问内网Host
(2)全局(Global)NO-PAT
全局NO-PAT生成的Server-map表中不包含安全区域参数,一旦建立,所有安全区域的Server都可以访问内网的Host

2、NAPT
NAPT是一种转换时同时转换地址和端口(不会生成Server-map),实现多个私网地址公用一个或多个公网地址的地址转换方式。适用于公网地址数量少,需要上网的私网用户数量大的场景。
由于地址转换的同时还进行端口的转换,可以实现多个私网用户使用一个公网地址上网,FW根据端口区分不同的用户,所以可以支持同时上网的用户数量更多。

3、Smart NAT
Smart NAT 是 NO-PAT的一种补充。它是一种可以在NO-PAT的NAT模式下,指定某个IP地址预留做NAPT方式的地址转换方式。
适用于平时上网用户少,公网IP数量与同时上网用户数量基本一致,但个别时段上网用户数量激增的场景。
使用NO-PAT进行一对一转换,随着内部用户数量的不断增加,地址池中的地址书可能不再能满足用户上网需求,部分用户将得不到转换地址从而无法访问Internet。此时,用户可以利用预留的IP地址进行NAPT地址转换,然后访问Internet。
此时,FW将优先采用NO-PAT的方式转换地址。当可被NO-PAT方式的地址用完时,新的用户连接将使用预留的这个IP地址做NAPT地址转换。

4、Easy IP
Easy IP使用中利用出接口的公网地址作为NAT转换后的地址,同时转换地址和端口的地址转换方式。对于接口IP是动态获取的场景,Easy IP也一样支持。
此方式由于地址转换的同时还进行端口的转换,可以实现多个私网用户公用一个公网IP上网,FW根据端口区分不同用户,所以可以同时上网的用户数量更多。

5、三元组NAT
三元组NAT是一种转换时同时转换地址和端口,实现多个私网共用一个或多个公网地址的地址转换方式。
它允许Internet上的用户主动访问私网用户,与基于P2P技术的文件共享、语音通信、视频传输等业务可以很好的共存。
当内网PC访问Internet时,如果FW采用五元组NAT(NAPT)方式进行地址转换,外部设备无法通过转换后的地址和端口主动访问内部PC。而三元组NAT可以很好的解决这个问题。因为三元组NAT有两个特点:
(1)三元组NAT的端口不能复用,保证了内部PC对外呈现的端口的一致性,不会动态变化,但是公网地址利用率低
(2)支持外部设备通过转换后的地址和端口主动访问内部PC。FW即便没有相应的安全策略,也允许此类访问报文通过。

FW上生成的Server-map表中存放的Host的私网IP与公网IP的映射关系:
(1)正向Server-map表项保证内部PC转换后的地址和端口不变
(2)反向Server-map表项允许外部设备可以主动访问内部PC

weixin_42528239
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深度好文: NAT 类型的防火墙
网络技术联盟站
02-18 1758
防火墙和路由器一样,可以部署 NAT 功能来进行地址转换,但相比路由器,防火墙NAT功能提供了更丰富的选择,让管理员可以更灵活地使用NAT功能。 在本文中,我们将讨论 NAT 功能中的防火墙防火墙NAT可以分为两种:只进行地址转换和同时进行地址和端口转换。仅地址转换模式包括 NAT No-PAT,而地址和端口转换模式包括 NAPT、Smart NAT、Easy IP 和三重 NATNAT No-PAT NAT No-PAT 只执行简单的地址转换。 管理员在配置NAT No-PAT时,需要指
网络安全(2)
jiaoqingdong的博客
01-29 1624
接口对-·“透明网线”--可以将两个接口绑定成为接口对,如果流量从一个接口进入,则。--其实一个接口也可以做接口对,从该。防火墙的主要职责在于:控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作。带内管理--通过网络环境对设备进行控制--telnet,,ssh,web--登录设备和被登。NAT类型--五元组NAT--针对IP,目标P,端口,目标端口,协议这五个参数识别出。安全策略--1,访问控制(允许和拒绝)2,内容检测--如果允许通过,则可以进行内容检测。
防火墙技术基础篇:网络地址转换(NAT):防火墙技术的核心机制
最新发布
qq_39241682的博客
05-13 1383
NAT于为了解决IPv4地址耗尽的问题,它允许多个设备通过单一的公有IP地址接入互联网,这些设备各自拥有独立的私有IP地址。简而言之,NAT的核心功能是在数据包传输过程中将或目的IP地址从私有地址转换为公有地址,或者反之。
四、防御保护---防火墙NAT
M372109150的博客
01-30 1405
NAT不上网,当我们畅快访问互联网时,并没有意识到NAT的作用。本篇介绍防火墙常见的NAT模式。
【总结】防火墙NAT技术
qq_46777335的博客
09-11 2184
NAT(Network Address Translation)是一种地址转换技术,可以将IPv4报文头中的地址转换为另一个地址。通常情况下,利用NAT技术将IPv4报文头中的私网地址转换为公网地址,可以实现位于私网的多个用户使用少量的公网地址同时访问Internet。因此,NAT技术常用来解决随着Internet规模的日益扩大而带来的IPv4公网地址短缺的问题。
NGFW_NAT
qq_27599713的博客
02-12 6110
NAT是指将报文的地址进行转换。如图所示,当私网地址用户访问Internet时,FW将报文的地址由私网地址转换为公网地址。当响应报文返回到FW时,FW再将报文的目的地址转换为私网地址。根据原地址转换是否转换端口,NAT分为仅地址转换的NAT(NAT No-PAT),地址和端口同时转换的NAT(NAPT,Smart NAT,Easy IP,三元组NAT)。
5.网络基础-NAT技术
weixin_49765221的博客
04-14 2370
上网必备的NAT
山石防火墙目的NAT配置举例.docx
08-31
山石防火墙目的NAT配置举例
防火墙NAT Server & NAT实验.zip
03-03
防火墙NAT Server & NAT实验
防火墙NAT设置(神州数码)
04-20
很简单明了的NAT技术设置过程,估计大家都能看懂吧
H3C_NAT 配置举例
10-26
4.5.1 典型nat 配置举例 1. 组网需求 如下图所示,一个公司通过secpath 防火墙的地址转换功能连接到广域网。要求该公司能够通过防火墙ethernet3/0/0 访问internet,公司内部对外提供www、ftp和smtp 服务,而且提供...
华为防火墙NAT详解.docx
05-17
主要讲述防火防火墙nat no-pat、napt、出接口地址方式、smart nat以及三元组nat的地址转换技术。
5.防火墙网络地址转换-NAT.pdf
09-02
防火墙
一个基于Netfilter、Netlink的Linux传输层状态检测防火墙,支持NAT.zip
11-17
大学生课程设计毕业设计项目、系统开发,供计算机等专业同学参考,提供说明材料+代码 大学生课程设计毕业设计项目、系统开发,供计算机等专业同学参考,提供说明材料+代码 大学生课程设计毕业设计项目、系统开发...
华为防火墙安全笔记.tar
07-04
6NAT_2地址转换的Dutbound NAT.docX 6NAT1简介.docx 5虚拟防火墙下.docx 5虚拟防火墙上,docX 4安全策略_4配置安全策略下。docy 4安全策略4配置安全策略中。docx 4安全策略4配置安全策略上。docx 4安全策略3一层三...
CISCO ASA防火墙ASDM安装和配置
05-16
CISCO ASA防火墙ASDM安装和配置,比较详细!
计算机网络三元组,计算机网络chap07 传输层(1) - 三元组 五元组.pdf
weixin_39634985的博客
06-26 733
计算机与信息学院传输层河海大学计算机与信息学院计算机科学与技术系计算机与信息学院传输层的任务将数据从进程传递到进程。实现进程之间的数据传递。河海大学计算机与信息学院计算机科学与技术系计算机与信息学院传输层在OSI协议层次结构中的位置1~3层主要负责通信功能,应用层一般称为通信子网层。上三资子网层 表示层 层即5~7层属于资...
HCIE-Security Day6:5个实验深入浅出理解NAT
小梁的博客
02-10 2471
NAT是一种地址转换技术,可以将ipv4报文头中的地址做转换,通常情况下,利用nat技术将ipv4报文头中的私网地址转换为公网地址,实现了内网设备与公网设备的互访。 从实现上来说,NAT转换设备都维护一张地址转换表。地址转换的机制分为: 内部网络主机的ip地址和端口转换为nat转换设备外部网络地址和端口 外部网络主机的ip地址和端口转换位nat转换设备内部网路地址和端口 即私有地址+端口与共有地址+端口之间互相转换。 常见的nat转化设备由路由器、防火墙等。 NAT分类 ...
NAT地址转换
Promise_410的博客
06-02 298
NAT地址转换 一、 ACL(Access Control List)访问控制列表 ACL就是一套规则组成的集合 设备可以通过这些规则对数据包进行分类 并对不同类型的报文进行不同的相应处理(动作:允许permit、拒绝deny) 应用于路由器的入口/接口 根据网络流向判断的出入口 根据ACL进行流量控制 可以通过定义规则来允许或拒绝流量的通过 根据ACL进行流量划分 可以划分范围,对划分的范围进行进一步的应用(减少路由器内存的使用) 可以被其他所有的应用程序所调用
华为usg防火墙pool nat配置实验
06-09
好的,我可以为你提供一些关于华为USG防火墙PoolNAT配置的实验步骤。下面是具体步骤: 1. 首先,登录到华为USG防火墙的Web管理界面,并选择“配置向导”选项卡。 2. 在“配置向导”页面中,选择“网络配置”选项,并点击“NAT”选项。 3. 在“NAT”页面中,点击“pool NAT”选项,并选择“新建”按钮。 4. 在“新建pool NAT”页面中,输入一个名称,并选择需要进行NAT的接口。 5. 接下来,在“地址池”选项中,可以选择“手动添加”或者“导入地址池”进行地址池的配置。如果选择“手动添加”,则需要输入IP地址、掩码、网关等信息。 6. 在“使用NAT地址池的规则”选项中,可以选择访问和目的地址,以及协议类型等。 7. 最后,点击“完成”按钮保存配置。 以上就是关于华为USG防火墙PoolNAT配置的实验步骤。希望对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值