防火墙中的NAT

防火墙的NAT

NAT分类

  • 源NAT

    • 基于源IP地址进行转换。

    • 我们之前接触过的静态NAT,动态NAT,NAPT都属于源NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网。

    • 先执行安全策略,后执行NAT

  • 目标NAT

    • 基于目标IP地址进行转换。我们之前接触过的服务器映射 (端口映射) 就属于目标NAT。是为了保证公网用户可以访问内部的服务器。
  • 双向NAT

    • 同时转换源IP和目标IP地址。

详细分类可以参考

什么是NAT?NAT的类型有哪些? - 华为 (huawei.com)https://info.support.huawei.com/info-finder/encyclopedia/zh/NAT.html

NAT配置

新建NAT

  • NAT类型

    • NAT

    • NAT64:ipv4 和ipv6的NAT转换。

  • 转换模式

    • 仅转换源地址 --- 源NAT

    • 仅转换目的地址 --- 目标NAT

    • 源地址和目的地址同时转换 --- 双向NAT

    • 不做转换

  • 转换后的数据包

    • 把源地址转换成什么?

      • 地址池的地址 --- 多对多的NAPT或者动态NAT

      • 出接口地址 --- easy ip

  • 新建安全策略

    • 观察安全策略的源目区域:匹配的是私网地址,所以先执行安全策略,后执行源NAT,即源NAT是在安全策略之后执行。。

源NAT

新建地址池

  • 地址池范围:可以单独指定地址,也可以指定一个范围(包含的关系);

    • 地址池中的IP是漂浮地址,不会再路由表中生成路由星系
  • 健康状态检查:检查地址池中的地址是否可用。

    • 可以通过各种协议去判断地址是否有效。
  • 配置黑洞路由:黑洞里有即空接口路由,在NAT地址池中的地址,建议配置达到这个地址指向空接口的路由,不然,在特定情况下会出现环路。(主要针对地址池中的地址和出接口地址不在同一个网段中的场景)

  • 允许端口地址转换:选择是否加Pat,决定了使用的是动态NAT还是NAPT的逻辑,是否允许端口转换。

    • 高级

    • NAT类型

      • 五元组 :源IP、目标IP、源端口、目标端口、协议 ---- 这五个参数识别出的数据流经行端口转换。一个数据流出去才会换端口。

      • 三元组:源IP、源端口、协议。 --- 三个参数识别出的数据流进行端口转换。应对P2P场景下

    • 端口预分配:与规定分配的端口范围。

    • 源IP地址数量限制:限制一个IP地址对应多少个私网IP地址。

    • 保留IP地址:保留某个IP地址不转换。

补充内容

  • 现在静态NAT作用

    • 入方向,跟服务器做一对一的映射。
  • easy ip 不产生server-map(display firewall server-map)

  • 填写默认网关,则生产缺省静态

    • 协议 Unr:(U)用户(n)网络(r)路由,一般情况由于策略生成的路由。
  • NAPT没有生成server-map表;根据不同的应用分配不同的端口号。颗粒度更细致一些,可以根据服务限制是否转换NAT

  • 动态NAT不牵扯端口,不做服务检验,如果做服务检验可以新建NAT选择性拒绝服务。并且server-map中有内容。如果第一次触发动态NAT的策略,之后在短期内修改服务里面的内容,Ping还是能Ping同,因为server-map表短期内没有失效,仍然可以根据server-map表找到对应关系。

  • 动态NAT创建完后,触发访问流量后会同时生成两条server-map的记录,其中一条是反向记录。反向记录小时前,相当于是一条静态NAT记录,外网的任意地址,在安全策略放通的情况下,是可以访问到内网的设备。基于端口的NAT转换,是不会生成server-map表的。

三元组

应对P2P场景下NAT转换。P2P ---peer to peer

三元组NAT是一种转换时同时转换地址和端口,实现多个私网共用一个或多个公网地址的地址转换方式。它允许Internet上的用户主动访问私网用户,与基于P2P技术的文件共享、语音通信、视频传输等业务可以很好的共存。当内网PC访问Internet时,如果FW采用五元组NAT(NAPT)方式进行地址转换,外部设备无法通过转换后的地址和端口主动访问内部PC。而三元组NAT可以很好的解决这个问题。因为三元组NAT有两个特点: (1)三元组NAT的端口不能复用,保证了内部PC对外呈现的端口的一致性,不会动态变化,但是公网地址利用率低 (2)支持外部设备通过转换后的地址和端口主动访问内部PC。FW即便没有相应的安全策略,也允许此类访问报文通过。

因为P2P应在端口转换的情况下,识别五元组,将导致P2P客户端之间无法直接访问,不符合五元组的筛选条件,所以,这种场景下可以使用三元组NAT,放宽筛选条件,保证P2P客户端之间可以正常通信。

目标NAT

新建目标NAT

目标地址转换方式

  • 公网地址与私网地址一对一转换 ---- 静态NAT

  • 公网端口与私网地址一对一转换 ---- 公网端口映射给私网IP地址

  • 公网端口与私网端口一对一转换 ---- 公网端口映射给私网端口 ---- 服务器映射

  • 公网地址与私网端口一对一转换 ---- 公网地址映射给私网IP地址

  • 随机转换为目的转换地址池中的地址

原始数据包 ---- 即数据包一开始的数据包,对应配置信息公网地址信息

转换后的数据包 ---- 转换后的数据包,对应配置信息是私网地址信息

转换后的地址池 ---- 目的转换地址池,数据有外部进来的时候使用,公网转换到私网的地址池。这里对应私网的服务器地址。

服务器映射

  • 安全区域 --- 基于安全区域发布公网地址,该服务器只能被该安全区域的用户访问,其他安全区域的用户无法访问该服务器。---- 值的是需要访问服务器的设备所在的区域,即写源区域

  • 公网地址 ---- 指定转换的公网IP(不能是出接口地址)

  • 私网地址 ---- 服务器映射的私网地址,可以映射多个私网地址。但是需要公网地址和私网地址一对一对应。所以需要多个连续的公网地址

  • 指定协议 ---- 指定映射协议

  • 允许服务器使用公网地址上网 ---- 某些服务器需要更新服务等,需要使用公网联网,相当于自动生成源NAT

  • 配置黑洞路由 ---- 默认勾选防止出现环路,会自动生成一条指向公网IP地址的空接口路由。

补充

  • 源NAT在安全策略之后执行,目标NAT在安全策略之前执行(因为自动生成的安全策略的目标地址是转换后的地址,说明需要先进行转换,再触发安全策略)

  • 服务器映射生成server-map表

双向NAT

情况:私网服务器通过公网访问私网的服务器

此时由于是私网用户通过公网访问私网服务器,用户首先发生给防火墙请求建立TCP连接(发送SYN数据包),在防火墙上只进行了目标NAT地址转换,转换后的目标地址是私网内部的地址,防火墙只进行转发操作,转发给死亡的服务器。服务器接收到转发的SYN数据包,直接根据私网IP地址找到目标用户,请求建立TCP连接。此时由于在用户视角,与防火墙建立TCP,却是服务器回复。所以拒绝服务器建立的TCP连接。

防火墙抓包详细情况

服务器抓包详细情况

有图可知TCP建立连接的目标与回复的人不同,所以建立不超过。所以数据无法通信。

新建双向NAT策略

  • 转换模式选择源地址和目标地址同时转换

  • 源地址转换

    • 地址池中的地址 ---- 自定义转后的源地址

    • 出接口地址 ---- 数据流出方向上的出接口地址

多出口NAT

源NAT

  • 第一种:根据出接口,创建多个不同的安全区域,再根据安全区域来做NAT,此时如果使用地址池的情况下方便

  • 第二种:出去还是一个区域,选择出接口来进行转换,此时如果使用地址池的情况下步不方便

目标NAT

  • 第一种:也可以分两个不同的区域做服务器映射

  • 第二种:可以只设置一个区域,但是要注意,需要写两条策略分别正对两个接口的地址池,并且,不能同时勾选允许服务器上网,否则会造成地址冲突。

相关推荐
qq_4336184417 分钟前
shell 编程(五)
linux·运维·服务器
VVVVWeiYee1 小时前
项目2路由交换
运维·服务器·网络·网络协议·信息与通信
lifeng43212 小时前
Jenkins集成部署(图文教程、超级详细)
运维·jenkins
白手小弟2 小时前
python wxauto库实现微信自动化发送信息、回复、添加好友等
运维·自动化
ii_best2 小时前
ios按键精灵自动化的脚本教程:自动点赞功能的实现
运维·ios·自动化
3DVisionary2 小时前
数字图像相关DIC技术用于机械臂自动化焊接全场变形测量
运维·数码相机·自动化·焊接变形实验·数字图像相关dic技术·自动化焊接全场变形测量·非接触高精度环境适应性全场测量
小伍_Five3 小时前
透视网络世界:计算机网络习题的深度解析与总结【前3章】
服务器·网络·计算机网络
芷栀夏3 小时前
如何在任何地方随时使用本地Jupyter Notebook无需公网IP
服务器·ide·tcp/ip·jupyter·ip
G鲲鹏展翅Y3 小时前
jupyter-lab与实验室服务器远程链接
服务器·jupyter
IT机器猫3 小时前
Docker完整技术汇总
运维·docker·容器