网络防御安全知识（第三版）

配置黑洞路由 --- 黑洞路由即空接口路由，在NAT地址池中的地址，建议配置达到这个地址指

向空接口的路由，不然，在特定环境下会出现环路。（主要针对地址池中的地址和出接口地址

不再同一个网段中的场景。）

决定了使用的是动态NAT还是NAPT的逻辑。

高级

NAT类型 --- 五元组NAT --- 针对源IP， 目标IP，源端口， 目标端口，协议 这五个参数识别出

的数据流进行端口转换

三元组NAT --- 针源IP，源端口，协议  三个参数识别出的数据流进行端口转换

在保留地址中的地址将不被用于转换使用

动态NAT创建完后，触发访问流量后会同时生成两条server-map的记录，其中一条是反向记

录。反向记录小时前，相当于是一条静态NAT记录，外网的任意地址，在安全策略放通的情况 下，是可以访问到内网的设备。

基于端口的NAT转换，是不会生成server-map表的。

三元组

P2P --- peer to peer

因为P2P应在端口转换的情况下，识别五元组，将导致P2P客户端之间无法直接访问，不符合 五元组的筛选条件，所以，这种场景下可以使用三元组NAT，放宽筛选条件，保证P2P客户端 之间可以正常通信。