防火墙的NAT

目录

1. NAT 概念解析

2. 配置NAT策略：

3. 配置黑洞路由

4. 三元组

5. 目标NAT

6. 双向NAT

7. 多出口NAT

---

1. NAT 概念解析

静态NAT --- 一对一
动态NAT --- 多对多
NAPT --- 一对多的NAPT --- easy ip
--- 多对多的NAPT
服务器映射

        源NAT --- 基于源IP地址进行转换。我们之前接过的静态NAT，动态NAT，NAPT都属于源NAT，都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网

        目标NAT --- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为了保证公网用户可以访问内部的服务器

        双向NAT --- 同时转换源IP和目标IP地址

2. 配置NAT策略：

 创建NAT同时创建安全策略：

此时会自动门创建安全策略：

源NAT是在安全策略之后执行

3. 配置黑洞路由

        黑洞路由即空接口路由，在NAT地址池中的地址，建议配置达到这个地址指 向空接口的路由，不然，在特定环境下会出现环路。（主要针对地址池中的地址和出接口地址 不再同一个网段中的场景。）

决定了使用的是动态NAT还是NAPT的逻辑

高级:

        NAT类型 --- 五元组NAT --- 针对源IP，目标IP，源端口，目标端口，协议 这五个参数识别出 的数据流进行端口转换

                            三元组NAT --- 针源IP，源端口，协议 三个参数识别出的数据流进行端口转换

        在保留地址中的地址将不被用于转换使用

[USG6000vlldisplay firewall server-map
2024-01-27 03:37:13.180
Current Total Server-map : 2
Type: No-Pat Reverse,ANY -> 12.0.0.4[10.0.2.10], Zone:---
Protocol: ANY，TTL:---， Left-Time:---， Pool: 0,Section: 0 
Vpn: public

Type: No-Pat, 10.0.2.10[12.0.0.4] -> ANY,zone:---
Protocol: ANY，TTL:360，Left-Time:360， Pool: 0，Section: 0 
Vpn: public

        动态NAT创建完后，触发访问流量后会同时生成两条server-map的记录，其中一条是反向记 录。反向记录小时前，相当于是一条静态NAT记录，外网的任意地址，在安全策略放通的情况 下，是可以访问到内网的设备。

        基于端口的NAT转换，是不会生成server-map表的。

4. 三元组

        P2P --- peer to pee

        因为P2P应在端口转换的情况下，识别五元组，将导致P2P客户端之间无法直接访问，不符合 五元组的筛选条件，所以，这种场景下可以使用三元组NAT，放宽筛选条件，保证P2P客户端 之间可以正常通信

5. 目标NAT

服务器映射

安全区域 --- 值的是需要访问服务器的设备所在的区域。

        源NAT在安全策略之后执行，目标NAT在安全策略之前执行（因为自动生成的安全策略的目标 地址是转换后的地址，说明需要先进行转换，再触发安全策略）

6. 双向NAT

7. 多出口NAT

源NAT

        第一种：根据出接口，创建多个不同的安全区域，再根据安全区域来做NAT

        第二种：出去还是一个区域，选择出接口来进行转换

目标NAT

        第一种：也可以分两个不同的区域做服务器映射

        第二种：可以只设置一个区域，但是要注意，需要写两条策略分别正对两个接口的地址 池，并且，不能同时勾选允许服务器上网，否则会造成地址冲突。