华为防火墙之NAT学习

目录

 安全策略的工作流程

 查询和创建会话表

 ASPF协议技术（解决多通道协议的特殊服务转发）

 多通道协议（控制进程与传输进程分离）

 nat配置

配置nat 服务器映射

nat策略代替nat映射服务器

nat域间双向转换

域外nat双转

课后练习

1. 防火墙如何处理双通道协议？

 2. 防火墙如何处理nat？

3. 防火墙支持那些NAT技术，主要应用场景是什么？

4. 当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

5. 防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明 

---

网络防御第二课

---

防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。 [1] 

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验

 安全策略的工作流程

 

 查询和创建会话表

 ASPF协议技术（解决多通道协议的特殊服务转发）

 多通道协议（控制进程与传输进程分离）

意味着控制进程的协议和端口与传输进程的1.协议和端口不一致
多通道协议无法用安全策略表去解决如果强行解决会导致安全策略的颗粒度过大，防火墙防御失
ASPF 可以抓取并分析多通道协议的控制报文并找到传输进程所需的详细网络参数(多通道协议都是通过控制进程报文协商处理传输进程网络参数)
根据ASPF分析控制进程特殊报文找到传输进程的报文参数生成server-map表，放行传输进程报文
传输讲程匹server-mao表后生成会话表，传输进程后续报文匹配会话表。

 nat实验

最简易nat环境搭建

 nat配置

策略配置

测试

 抓包验证

 配置地址池

 抓包测验

 nat-服务器映射

配置nat 服务器映射

 

 测试

nat策略代替nat映射服务器

测试

nat域间双向转换

 配置

测试 

域外nat双转

 配置nat域外双转换

 测试

---

课后练习

1. 防火墙如何处理双通道协议？

 2. 防火墙如何处理nat？

3. 防火墙支持那些NAT技术，主要应用场景是什么？

4. 当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

5. 防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明 

解答：

1.防火墙如何处理双通道协议？

ASPF（Application Specific Packet Filter）是为了解决多通道协议这种特殊服务的转发而引入的。这些协议会在通信过程中自动协商一些随机端口，在严格安全策略的情况下，这些随机端口发出的报文可能不能得到正常转发。通过ASPF功能可以对这些协议的应用层数据进行解析，识别这些协议协商出来的端口号，从而自动为其开放相应的访问规则，解决这些协议不能正常转发的问题。在下文，我为大家详细讲解了ASPF协议！！！

2.防火墙如何处理nat？

1) 当请求的流量进入USG防火墙的入接口后，防火墙会查找目的NAT转换表，匹配请求的目的地址是否需要转换；

2) 如果命中转换条目，目的地址会被转换，不命中将会直接送到下一个流程；

3) 查找路由表，如命中路由表条目则送到下一个流程，路由表没匹配将会被丢弃；

4) 接下来会送到安全策略里面检查，如果检查匹配安全策略的permit条目，则被放行进入下一个流程，否则请求将会被丢弃（安全策略需要配置业务流量最开始的源IP地址和最终的目的IP地址）；

5) 匹配源NAT转换表，如果命中则会对源地址进行转换并创建会话表，否则不进行转换直接创建会话表；

6) 流量从出接口送出。

3.防火墙支持那些NAT技术，主要应用场景是什么？

 1）NAT No-PAT
     NAT No-PAT类似于Cisco的动态转换，只转换源IP地址，不转换端口，属于多对多转换，不能节约公网IP地址，实际情况下使用较少，主要适用于需要上网的用户较少，而公网地址又足够的场景下

 2）NAPT
     NAPT （Network Address and Port Translation，网络地址和端口转换）类似于Cisco的PAT 转换，NAPT既转换报文的源地址，又转换源端口，转换后的地址不能是外网接口IP地址，属于多对多或多对一转换，可以节约IP地址，使用场景较多，主要适用于内部大量用户需要上网，同时仅有少数几个公网IP地址可用的场景下

 3）Easy-IP
     出接口地址（Easy-IP）因其转换方式非常简单，所以也称为Easy-IP，和NAPT一样，既转换源IP地址，又转换源端口，区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址，属于多对一转换，可以节约IP地址，主要适用于没有额外的公网地址可用，内部上网用户非常多的场景下，直接通过外网接口本身的IP地址作为转换目标

 4）Smart NAT
     Smart NAT（智能转换）通过预留一个公网地址进行 NAPT 转换，而其他的公网地址用来进行NAT No-PAT转换，其主要用于平时上网用户比较少，而申请的公网地址基本可以满足这些少量用户进行NAT No-PAT转换，但是偶尔会出现上网用户倍增的情况下

 5）三元组NAT
     三元组NAT是与源IP地址、源端口和协议类型有关的一种转换，将源IP地址和源端口转换为固定公网IP地址和端口，能解决一些特殊应用在普通NAT中无法实现的问题，其主要用于外部用户访问局域网用户的一些P2P应用
4.当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

如下图

 根本原因：DNS域名解析解析出来是公网地址，就是内网用户向外网用户发送DNS查询，外网DNS会给内网用户回复，如果防火墙上面加了DNS参数，防火墙就会监控DNS回包，如果发现DNS回包的地址是映射到内网了，那么防火墙就会修改DNS回包把answer的地址改为内网的地址。

解决方法

通过域内双向转换来解决

通过关闭ALG对DNS报文的检测来解决问题（前提是内网可以通过公网IP访问内网服务器

5.防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明 

当数据包回程不一致时，由于备用防火墙缺失会话表（首包机制）导致数据包不能通过 

• 解决方法一：将路由做好使得来回路径一致
• 解决方法二：关闭状态检测机制

用户的上行链路断掉一根，数据回程的时候走了"断路"
防火墙的上行链路断掉一根，数据前进的时候走了"断路" 

解决方法：

• 会话同步HRP

  • 独立数据通道(三层)—心跳线
    • 备份内容：包括TCP/UDP的会话表、ServerMap表、动态黑名单、NO-PAT表项、ARP表项等
    • 备份方向：有状态为主的VGMP管理组，相对端备份。
  • VRRP网关抢占