华为防火墙NAT与NATserver情况下server-map生成情景与解释

PAT

这种情况下的NAT地址转换是不会生成对应的server-map表项的,其主要原因是因为PAT的nat地址转换会不断地进行端口的复用,在不断的地址转换的过程中内网主机可能在一次通信的过程中源端口就在不断动态的变化,这就使得即便我们想要强行地记录对应的server-map表项也显得那么的多余,因为可能上一秒使用了该端口,下一秒就变成了其他的端口。

no-PAT

这种情况下会生成对应的server-map表项,因为这种地址转换是和内网主机进行一对一的地址变换,所以防火墙能够准确的知道内网主机和公网地址之间的映射关系,所以在这种nat的情况下记录server-map来减少安全策略的匹配是一种十分不错的做法,因为一方面可以减少安全策略的检索带来的速率降低,从而还能加快NAT的速度。no-PAT的nat总共生成两条server-map的记录,一条是永不衰减的反向server-map,用于外部主机向内网主机的访问,记住这个server-map表和FTP多通道协议的server-map表的功能是不一样的,这个server-map表主要功能是加快地址的转换,地址转换后我们还需要对转换后的地址进行安全策略的匹配。对于FTP多通道协议这类的server-map,它们的主要功能是放行相对应的流量。

smart NAT

这种NAT转换由一个多个一对一的公网地址和一个一对多的公网地址组成的地址池来实现的,当一对一的NAT使得公网地址消耗完了之后,就会进行一对多的地址转换,即NAPT的转换。因为在这种NAT地址转换的情景下出现了一对一的地址转换,所以同样也会针对一对一的地址转换生成server-map表项

三元组NAT

可以这么理解三元组NAT,我们的内网在与外网的主机进行通信的时候,如果使用的是NAPT的话,端口会不断地进行复用和变化,但是如果是三元组NAT的话,会根据你的会话生成一段时间的server-map表,这个表项记录了你本次会话经过地址转换后的IP和端口,于是在一段时间内这个会话会进行保持,也就是说你的会话在后续在经过NAT转换的时候使用的都是先前的公网IP和端口,而不会进行相对应的改变,由此来实现端口一致性,且因为有server-map表的存在,外网的主机还可以在这个server-map的存活时间内使用先前会话的目的IP和端口与该内网主机再次通信。这个三元组的server-map和no-PAT的server-map的功能又不同,它是直接放行相对应的IP与端口之间的联系,不需要安全策略的检查。

NAT ALG

NAT ALG的主要作用就是为了处理某些协议在运作的时候因为地址转换后而出现问题,比如FTP,假设内网的主机已经和外网的主机进行了控制通道的建立,当内网主机想要从外网FTP服务器获取数据的时候,内网主机发送port命令告诉FTP服务器使用主动模式,同时向其宣告自己的动态端口,以及IP地址,但是port命令发送的IP地址还是未经过改变的私网地址,这就使得FTP服务器并不会理会该命令请求,从而导致数据通道建立的失败,于是就出现了NAT ALG,这个功能可以说是ASPF的附加功能,当FTP的ASPF开启后,其对应的NAT ALG也会开启,NAT ALG在进行FTP这类协议的地址转换的时候,不仅会转换相应的地址,还会将协议报文中的内容也进行修改,于是FTP的数据通道依然可以成功建立。

目的地址转换的NAT

这个NAT不会生成任何的server-map表项,这个和NAT server有点像但是又不完全一样,因为nat server主要是将公网上的资源映射到内网上,但是这个目的地址转换,其实就是一种目的地址转换的功能,不限于什么场景。而且发起该请求的源主机IP和相关信息不确定,所以并不会创建相关的server-map表

NATserver

NAT server会创建相应的server-map表,但是同其他NAT开启后创建的server-map一样,这个server-map表的功能只是起到一个加快地址转换的功能,并不能像ASPF中创建server-map一样去直接放行流量。当外网的数据包命中该server-map表后,将数据包进行目的地址转换,然后进行源目区域的确定,并匹配安全策略,所以如果我们想要server-map能够生效,我们的安全策略放行的应该是内网的目的地址,而不是nat-server的公网地址。

最后一点:

只要是NAT的相关server-map表项,其作用都是为了加快NAT的地址转换,并不能起到直接对报文进行放行的作用。(处理三元组NAT)

你可能感兴趣的:(HCIA/HCIP,sercurity,网络)