网络防御安全知识(第三版)

网络防御安全知识(第三版)_第1张图片

配置黑洞路由 --- 黑洞路由即空接口路由,在NAT地址池中的地址,建议配置达到这个地址指

向空接口的路由,不然,在特定环境下会出现环路。(主要针对地址池中的地址和出接口地址

不再同一个网段中的场景。)

决定了使用的是动态NAT还是NAPT的逻辑。

高级

NAT类型 --- 五元组NAT --- 针对源IP, 目标IP,源端口, 目标端口,协议 这五个参数识别出

的数据流进行端口转换

三元组NAT --- 针源IP,源端口,协议  三个参数识别出的数据流进行端口转换网络防御安全知识(第三版)_第2张图片

在保留地址中的地址将不被用于转换使用网络防御安全知识(第三版)_第3张图片网络防御安全知识(第三版)_第4张图片网络防御安全知识(第三版)_第5张图片

动态NAT创建完后,触发访问流量后会同时生成两条server-map的记录,其中一条是反向记

录。反向记录小时前,相当于是一条静态NAT记录,外网的任意地址,在安全策略放通的情况 下,是可以访问到内网的设备。

基于端口的NAT转换,是不会生成server-map表的。

三元组

P2P --- peer to peer

网络防御安全知识(第三版)_第6张图片

因为P2P应在端口转换的情况下,识别五元组,将导致P2P客户端之间无法直接访问,不符合 五元组的筛选条件,所以,这种场景下可以使用三元组NAT,放宽筛选条件,保证P2P客户端 之间可以正常通信。

你可能感兴趣的:(网络,安全,服务器)