防御保护--NAT策略

目录

NAT策略

NAT类型 

server-map表

P2P --- peer to peer 网络类型

​编辑

目标NAT--服务器映射

双向NAT

​编辑

多出口NAT


NAT策略

静态NAT --- 一对一

动态NAT --- 多对多

NAPT --- 一对多的NAPT --- easy ip

           --- 多对多NAPT

服务器映射

源NAT--基于源IP地址进行转换。我们之前接触过的静态NAT,动态NAT,NAPT都属于源 NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网

目标NAT--基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为 了保证公网用户可以访问内部的服务器

双向NAT--同时转换源IP和目标IP地址

 防御保护--NAT策略_第1张图片

防御保护--NAT策略_第2张图片 防御保护--NAT策略_第3张图片

注意:源NAT是在安全策略之后执行。动态nat:不看协议协议

防御保护--NAT策略_第4张图片

配置黑洞路由---黑洞路由即空接口路由,在NAT地址池中的地址,建议配置达到这个地址指 向空接口的路由,不然,在特定环境下会出现环路。(主要针对地址池中的地址和出接口地址不再同一个网段中的场景。)

决定了使用的是动态NAT还是NAPT的逻辑。 

NAT类型 

五元组NAT --- 针对源IP,目标IP,源端口,目标端口,协议 这五个参数识别出 的数据流进                         行端口转换 

三元组NAT --- 针源IP,源端口,协议 三个参数识别出的数据流进行端口转换

防御保护--NAT策略_第5张图片

注意:在保留地址中的地址将不被用于转换使用

server-map表

态NAT创建完后,触发访问流量后会同时生成两条server-map的记录,其中一条是反向记 录。反向记录小时前,相当于是一条静态NAT记录,外网的任意地址,在安全策略放通的情况 下,是可以访问到内网的设备。

基于端口的NAT转换,是不会生成server-map表的。

P2P --- peer to peer 网络类型

防御保护--NAT策略_第6张图片

因为P2P应在端口转换的情况下,识别五元组,将导致P2P客户端之间无法直接访问,不符合 五元组的筛选条件,所以,这种场景下可以使用三元组NAT,放宽筛选条件,保证P2P客户端 之间可以正常通信

目标NAT--服务器映射

防御保护--NAT策略_第7张图片

安全区域 :指的是需要访问服务器的设备所在的区域。

源NAT:在安全策略之后执行

目标NAT:在安全策略之前执行(因为自动生成的安全策略的目标 地址是转换后的地址,说明需要先进行转换,再触发安全策略

防御保护--NAT策略_第8张图片

双向NAT

防御保护--NAT策略_第9张图片

多出口NAT

源NAT

第一种:根据出接口,创建多个不同的安全区域,再根据安全区域来做NAT

第二种:出去还是一个区域,选择出接口来进行转换

目标NAT

第一种:也可以分两个不同的区域做服务器映射

第二种:可以只设置一个区域,但是要注意,需要写两条策略分别正对两个接口的地址 池,并且,不能同时勾选允许服务器上网,否则会造成地址冲突。

你可能感兴趣的:(防御保护,服务器,网络安全,安全)