防火牆 源NAT

2021-10-09 03:24:28 字數 2306 閱讀 4912

不同的nat型別對應不同的nat策略,在fw上處理順序不同。

1、w收到報文後,查詢nat server生成的server-map表,如果報文匹配到server-map表,則根據表項轉換報文的目的位址,然後進行第四步;若沒有匹配到,則進行下一步

2、查詢基於acl的目的nat,如果報文符合匹配條件,則轉換報文的目的位址,然後進行第四步;若不符合,則進行下一步

3、查詢nat策略中目的nat,如果報文符合匹配條件,則轉換報文的目的位址後進行路由處理;若不符合,則直接進行路由處理

4、根據報文當前的資訊查詢路由(包括策略路由),如果找到路由,則進行下一步,否則丟棄

5、查詢安全策略,如果安全策略允許報文通過且之前並未匹配nat策略(目的nat或雙向nat),則進行下一步;如果安全策略允許報文通過且之前匹配過雙向nat,則直接進行源位址轉換,然後建立會話並進入第七步;如果安全策略允許報文通過且之前匹配過目的nat,則直接建立會話,然後進行第七步;如果安全策略不允許,則丟棄

6、查詢nat策略中源nat,如果報文符合源nat的匹配條件,則轉換報文的源位址,然後建立會話;否則直接建立會話

7、fw傳送報文

nat策略中目的nat會在路由和安全策略之前處理,nat策略中源nat會在路由和安全策略之後處理。

因此,配置路由和安全策略的源位址是nat轉換前的源位址,配置路由和安全策略的目的位址是nat轉換後的目的位址。

根據轉換源位址是否同時轉換埠,源nat分為僅源位址轉換的nat(nat no-pat),源位址和源埠同時轉換的nat(napt、smart nat、easy ip、三元組nat)

1、nat no-pat

nat no-pat是一種nat轉換時只轉換位址,不轉換埠,實現私網位址到公網位址一對一的位址轉換方式。適用於上網使用者較少且公網位址數與同時上網的使用者數量相同的場景。

此方式下,公網位址和私網位址是一對一的,如果位址池中的位址已經全部分配出去,則剩下內網主機訪問外網是不會進行nat轉換,直到位址池有空閒。

fw上生成的server-map表中存放host的私網ip位址和公網ip位址的對映關係

正向server-map表保證了特定私網使用者訪問internet時,快速轉換位址,提高了fw效率

反向server-map表允許internet上的使用者主動訪問私網使用者,將報文進行位址轉換

no-pat的分類

(1)本地(local)no-pat

本地no-pat生成的server-map表中包含安全區域引數,只有此安全區域的server可以訪問內網host

(2)全域性(global)no-pat

全域性no-pat生成的server-map表中不包含安全區域引數,一旦建立,所有安全區域的server都可以訪問內網的host

2、napt

napt是一種轉換時同時轉換位址和埠(不會生成server-map),實現多個私網位址公用乙個或多個公網位址的位址轉換方式。適用於公網位址數量少,需要上網的私網使用者數量大的場景。

由於位址轉換的同時還進行埠的轉換,可以實現多個私網使用者使用乙個公網位址上網,fw根據埠區分不同的使用者,所以可以支援同時上網的使用者數量更多。

3、smart nat

smart nat 是 no-pat的一種補充。它是一種可以在no-pat的nat模式下,指定某個ip位址預留做napt方式的位址轉換方式。

適用於平時上網使用者少,公網ip數量與同時上網使用者數量基本一致,但個別時段上網使用者數量激增的場景。

使用no-pat進行一對一轉換,隨著內部使用者數量的不斷增加,位址池中的位址書可能不再能滿足使用者上網需求,部分使用者將得不到轉換位址從而無法訪問internet。此時,使用者可以利用預留的ip位址進行napt位址轉換,然後訪問internet。

此時,fw將優先採用no-pat的方式轉換位址。當可被no-pat方式的位址用完時,新的使用者連線將使用預留的這個ip位址做napt位址轉換。

4、easy ip

easy ip使用中利用出介面的公網位址作為nat轉換後的位址,同時轉換位址和埠的位址轉換方式。對於介面ip是動態獲取的場景,easy ip也一樣支援。

此方式由於位址轉換的同時還進行埠的轉換,可以實現多個私網使用者公用乙個公網ip上網,fw根據埠區分不同使用者,所以可以同時上網的使用者數量更多。

5、三元組natfw上生成的server-map表中存放的host的私網ip與公網ip的對映關係:

(1)正向server-map表項保證內部pc轉換後的位址和埠不變

(2)反向server-map表項允許外部裝置可以主動訪問內部pc

如何穿越防火牆NAT

如何穿越防火牆nat,首先需要計算機節點可以自動判斷自己的nat狀態,計算機節點內部內建了 判斷邏輯,在外部需要一台stun的伺服器,通過傳送請求後可以計算機節點自己所在nat的情況.在處理full cone nat時由於ip位址和通訊埠都不做限制可以說它在通訊層面的級別和公網節 點是一致的.穿越這...

juniper SRX防火牆NAT測試

1.測試拓撲 2.測試總結 3.基本配置 a.路由器r1 inte ce ethernet0 0 ip address 202.100.1.1 255.255.255.0 no shut b.防火牆srx set inte cesge 0 0 0.0family inetaddress 202.10...

華為防火牆目的NAT

目的nat學習 qq3421609946 目的nat就是防火牆中資料報在轉換時,轉換的是目的ip位址,不是源ip位址。在移動終端訪問無線網路時,如果預設wap閘道器位址於所在地運營商的wap閘道器位址不一致時,可以在終端於wap閘道器中間部署一台裝置,並配屬署目的nat功能,使裝置自動將 給錯誤wa...