防火墙的NAT

目录

1. NAT 概念解析

2. 配置NAT策略:

3. 配置黑洞路由

4. 三元组

5. 目标NAT

6. 双向NAT

7. 多出口NAT


1. NAT 概念解析

静态NAT --- 一对一
动态NAT --- 多对多
NAPT --- 一对多的NAPT --- easy ip
--- 多对多的NAPT
服务器映射


        源NAT --- 基于源IP地址进行转换。我们之前接过的静态NAT,动态NAT,NAPT都属于源NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网

        目标NAT --- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为了保证公网用户可以访问内部的服务器

        双向NAT --- 同时转换源IP和目标IP地址

2. 配置NAT策略:

防火墙的NAT_第1张图片

防火墙的NAT_第2张图片

防火墙的NAT_第3张图片

 创建NAT同时创建安全策略:

防火墙的NAT_第4张图片

此时会自动门创建安全策略:

防火墙的NAT_第5张图片

源NAT是在安全策略之后执行

3. 配置黑洞路由

        黑洞路由即空接口路由,在NAT地址池中的地址,建议配置达到这个地址指 向空接口的路由,不然,在特定环境下会出现环路。(主要针对地址池中的地址和出接口地址 不再同一个网段中的场景。)

防火墙的NAT_第6张图片

决定了使用的是动态NAT还是NAPT的逻辑

高级:

        NAT类型 --- 五元组NAT --- 针对源IP,目标IP,源端口,目标端口,协议 这五个参数识别出 的数据流进行端口转换

                            三元组NAT --- 针源IP,源端口,协议 三个参数识别出的数据流进行端口转换

防火墙的NAT_第7张图片

        在保留地址中的地址将不被用于转换使用防火墙的NAT_第8张图片

防火墙的NAT_第9张图片

[USG6000vlldisplay firewall server-map
2024-01-27 03:37:13.180
Current Total Server-map : 2
Type: No-Pat Reverse,ANY -> 12.0.0.4[10.0.2.10], Zone:---
Protocol: ANY,TTL:---, Left-Time:---, Pool: 0,Section: 0 
Vpn: public

Type: No-Pat, 10.0.2.10[12.0.0.4] -> ANY,zone:---
Protocol: ANY,TTL:360,Left-Time:360, Pool: 0,Section: 0 
Vpn: public

        动态NAT创建完后,触发访问流量后会同时生成两条server-map的记录,其中一条是反向记 录。反向记录小时前,相当于是一条静态NAT记录,外网的任意地址,在安全策略放通的情况 下,是可以访问到内网的设备。

        基于端口的NAT转换,是不会生成server-map表的。

4. 三元组

        P2P --- peer to pee

防火墙的NAT_第10张图片

        因为P2P应在端口转换的情况下,识别五元组,将导致P2P客户端之间无法直接访问,不符合 五元组的筛选条件,所以,这种场景下可以使用三元组NAT,放宽筛选条件,保证P2P客户端 之间可以正常通信

5. 目标NAT

服务器映射

防火墙的NAT_第11张图片

安全区域 --- 值的是需要访问服务器的设备所在的区域。

        源NAT在安全策略之后执行,目标NAT在安全策略之前执行(因为自动生成的安全策略的目标 地址是转换后的地址,说明需要先进行转换,再触发安全策略)

防火墙的NAT_第12张图片

防火墙的NAT_第13张图片

6. 双向NAT

防火墙的NAT_第14张图片

7. 多出口NAT

源NAT

        第一种:根据出接口,创建多个不同的安全区域,再根据安全区域来做NAT

        第二种:出去还是一个区域,选择出接口来进行转换

目标NAT

        第一种:也可以分两个不同的区域做服务器映射

        第二种:可以只设置一个区域,但是要注意,需要写两条策略分别正对两个接口的地址 池,并且,不能同时勾选允许服务器上网,否则会造成地址冲突。

防火墙的NAT_第15张图片

你可能感兴趣的:(网络安全防御,服务器,linux,运维,安全)