防火墙ASPF技术及NAT

防火墙如何处理双通道协议？

利用ASPF技术抓取多通道协议的控制报文，并找到传输进程所需的详细网络参数，再根据ASPF分析控制进程的特殊报文，找到传输进程的报文参数，动态生成server-map表，放行传输进程报文。传输进程匹配server-map表后生成会话表，传输进程的后续报文匹配会话表进行传输。

防火墙如何处理nat？

使用NAT ALG技术
在路由器上nat针对多通道协议也会像防火墙那样抓取控制进程中协商传输进程网络参数的报文，进而生成传输进程返回的nat映射。

防火墙支持那些NAT技术，主要应用场景是什么？

源NAT：
内网想要访问外网时将内网地址转换为公网地址。当只有一个公网地址时，配置为出接口。有多个公网地址时，可建立地址池。

Server NAT：
外网访问内网服务器时使用，将内网服务器地址映射到公网上，公网访问该地址时将访问内网服务器。在防火墙服务器映射中，服务器地址不能为物理接口地址。

NAT域间双向转换：
当外网想访问内网服务器，内网没有外网路由时，使用NAT域间向转换。

NAT域内双向转换：
当内网PC以公网形式访问内网服务器时，使用NAT域内双向转换（刚需）。

当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？

内网做DNS解析时，因为出接口做了服务器映射，所以源地址访问服务器时地址会被公网映射回内网，服务器回包时发现目的地址就在内网中，所以直接回包给源地址。

使用NAT域内双向转换或者在内网搭建NDS服务器。一般情况都使用NAT双转来解决。

防火墙ASPF及NAT实验

防火墙多通道协议的处理

先做通各区域

ASPF：

启动FTP服务

放行向外访问的FTP

不开启ASPF配置时，只能控制层面访问FTP服务，并不能进行文件传输。


开启ASPF配置后，创建动态server-map表，放行后续建立数据通道的报文。


命中server-map表后加入会话表

NAT

源NAT

NAT策略牵扯多个运营商时选择出接口

公网地址多时可建立地址池，一个地址选择出接口。
出接口：


做完NAT策略后，一定要做安全策略进行放行。




私网地址已转换为公网地址


地址池：

Server NAT

启用HTTP服务

安全区域：那个区域访问就写那个区域。
防火墙中服务器映射里，服务器地址不能为物理接口地址。

做完映射后，做安全策略。
目的地址写最终目的（服务器所在的地址，私网），公网由server-map表放行。

使用NAT策略做服务器映射

NAT策略中可以映射物理接口地址

这个场景下，第二三四个转换方式都可以使用。

做完NAT策略记着做安全策略！



只有一个公网地址时，再NAT策略中做，有多个公网地址时，服务器映射中做更简单。

域间双向NAT

将公网转换为内网访问DMZ

域内双向NAT

Server3为HTTP服务


做Server3到unstrust的映射

做untrust到server的策略
外网访问Server3

内网访问Server3失败

将源转换为G1/0/0口

将目的转换为Server3服务器


内网成功访问Server3