防火墙网络地址转换技术(NAT) |
您所在的位置:网站首页 › 防火墙不能 › 防火墙网络地址转换技术(NAT) |
防火墙NAT地址转换技术
使用场景:NAT处理流程:基于源地址转换的NATNo-PATNAPTsmart NAT:Easy-ip:
基于目的地址转换的NAT服务器映射Nat-Server服务器负载均衡SLB
黑洞路由:
使用场景:
私网用户访问Internet:通过Nat源策略对ipv4报文头中的源地址进行转换,可以实现私网用户使用公网IP来隐藏本身IP并访问Internet的目的。(私网地址无法在公网中路由)公网用户访问私网内部服务器:通过服务器映射功能,用公网地址对外显示内部服务器,可以实现外部网络用户通过公网地址访问私网内部服务器的需求。私网用户使用公网地址访问内部服务器:源Nat和Nat Server 功能结合使用,使得私网用户与内部服务器之间交互的报文都经由防火墙处理。
NAT处理流程:
FW收到报文时,首先检查报文是否匹配Nat Server或者目的Nat,以便得出报文要去往的目的地址,从而匹配对应的路由。如果存在对应的路由,则检查安全策略是否放行,如果安全策略放行,FW会根据是否配置有源Nat,来决定是否转换报文中的源地址,最后放行报文。 即:目的NAT处于匹配安全策略之前,源NAT处于匹配安全策略之后 基于源地址转换的NAT源Nat分类:No-pat、NAPT、Easy-ip、smart Nat、三元组 源Nat地址转换的条件是:存在正确路由并且安全策略放行。 匹配安全策略时(从哪来、到哪去),还未进行Nat地址转换。源地址的转换,与是否丢弃报文没关系,因为进行到这一步的时候,说明报文使可以进行转发的(即存在正确路由且安全策略放行),匹配源Nat转换条件成不成功,只会影响发送时是否修改报文的源地址。 No-PAT私网地址与公网地址一一映射,不进行端口转换。 配置No-pat: ## 创建nat地址池 nat ip-address group test mode no-pat //地址池不允许端口转换 session 0 202.100.1.20 202.100.1.20 // start-address end-address ## 创建nat策略(默认模式是NAPT) nat-policy rule name No_pat source-adddress 10.1.2.1 24 sestination-address 202.100.1.254 24 source-zone trust destination-zone untrust service protocol icmp tcp action nat address-group test no-nat //引用地址组 ## 放行安全策略(注意放行修改前的IP) security-policy rule name trust_untrust source-address 10.1.2.1 24 destination-address 202.100.1.254 24 source-zone trust destination-zone untrust action permit ## 配置黑洞路由: ip route-static 202.100.1.1.20 32 NULL 0 //防止环路,后面会解释当该Nat策略匹配流量时,会产生正向和方向两个Server-map: 正向Server-map:做映射关系,设备根据映射关系对报文的源地址进行转换,加快转换效率。反向Server-map:可以让外网访问内网(根据转换后的IP),本质是少配置一个Nat-server,但要经过安全策略检查。等待12分钟的老化时间。Server-map何时消失:没有流量触发或者该No-pat策略被删除。注:No-pat产生的Server-map不作为临时的放行规则,只做地址映射,要与ASPF产生的Server-map区分。 NAPT实现一私网地址对多公网地址,可以进行端口转换。 配置NAPT:(不产生Server-map,由于端口过多,会生成过多表项) ##创建Nat地址池: nat ip-address group test mode pat session 0 202.100.1.20 202.100.1.20 //start-address end-address ##创建并配置nat策略 nat-policy rule name Napt source-address 10.1.2.1 24 destination-address 202.100.1.254 24 source-zone trust destination-zone untrust service protocl icmp tcp action nat address-group test //模式默认是NAPT ##放行安全策略(注意放行的源地址): security-policy rule name trust_untrust source-address 10.1.2.1 24 destination-address 202.100.1.254 24 //匹配的是转换前的地址 source-zone trust destination-zone untrust action permit ##配置黑洞路由: ip route-static 202.100.1.20 32 NULL 0 //防止环路,后面会解释 smart NAT:Smart Nat实质是在地址池中预留一个地址进行NAPT转换,其它地址进行No-PAT方式转换。 Easy-ip:使用出接口作为公网地址对报文的源地址进行转换,同时转换地址和端口。 ##创建并配置nat策略 nat-policy rule name No_pat source-address 10.1.2.1 24 destination-address 202.100.1.254 24 source-zone trust destination-zone untrust service protocl icmp tcp action nat easy-ip //EASY-IP ##放行安全策略(注意放行的源地址): security-policy rule name trust_untrust source-address 10.1.2.1 24 destination-address 202.100.1.254 24 //匹配的是转换前的地址 source-zone trust destination-zone untrust action permit ##不需要配置黑洞路由 基于目的地址转换的NAT目的地址转换的处理在匹配路由表和安全策略之前,以便得到报文的最终目的地,从而判断是否有路由以及安全策略是否放行。 服务器映射Nat-Server服务器映射又叫静态映射:将内部服务器ip映射到外网,供外网用户访问。 # 将内网服务器10.1.1.1的映射为202.100.1.20,供外网访问http服务 nat server test1 zone untrust protocol tcp global 202.100.1.20 www inside 10.1.1.1 www只要配置服务器映射,就会产生Server-map表(静态),不需要流量触发,且该表项会一直存在,直到静态映射的配置被删除。 正向Server-map:加速转发。反向Server-map:内网服务器可以主动发起访问(使用映射到外网的IP),但受安全策略功限制。 服务器负载均衡SLB当内部网络存在多台服务器时,SLB可以将本属于一个服务器处理的流量,分配给其他冗的服务器,这些服务器组成集群,对外映射为一个公网IP地址,即用户真实去访问的地址。 流量分配方式: 简单轮询:根据带宽均分到各个内网服务器上。最下连接数:分配到处理流量数最少的服务器。源地址Hash:根据流量的源地址进行Hash晕眩,保证相同源地址的流量在同一台内网服务器被处理。服务器健康检查(检查服务器的故障):向服务器发送故障检测报文,如果可以收到回应报文,说明服务器可用。如果多次收不到回应报文,NGFW将禁止使用该服务器,流量按照策略分配到其他服务器上。 服务器发生故障后,FW会停止向其分配流量,但仍会向故障服务器发送探测报文,监控其健康状态。 配置SLB(配置SLB后,会产生静态Server-map): # 配置SLB: slb enbale rserver 1 rip 192.168.1.1 weight 32 healthchk rserver 2 rip 192.168.1.2 weight 32 healthchk //内部服务器真是ip group SLB metric roundrobin //方式:简单轮询 add rserver 1 add rserver 2 vserver SLB vip 202.100.1.20 group SLB tcp vport 80 rport 80 //对外开放IP,调用SLB组 # 放行安全策略 security-policy rule name local_dmz # 放行服务器健康检查流量 source-zone local desitination-zone dmz source-address 192.168.1.10 32 destination-address 192.168.1.1 32 destination-address 192.168.1.2 32 service icmp action permit rule name untrust_dmz source-zone untrust destination-zone dmz destination-address 192.168.1.1 32 # 注意放行转换后的IP destination-address 192.168.1.2 32 action permit 黑洞路由:当公网用户主动访问Nat地址池中的地址,FW收到此报文后,无法匹配到会话表,根据缺省路由转发给路由器。路由器收到报文后,查找路由表又发送给FW。报文就在路由器和FW之间循环转发,造成路由环路。 黑洞路由的目的是:将目的地址使Nat地址池中地址的报文丢弃 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |