龙空技术网

网络安全网关的地址转换特性(NAT)

竹观 201

前言:

今天看官们对“网关 nat”可能比较珍视,大家都需要学习一些“网关 nat”的相关知识。那么小编也在网络上网罗了一些关于“网关 nat””的相关文章,希望咱们能喜欢,姐妹们一起来学习一下吧!

nat是网络安全设备防火墙的核心特性之一,在边缘网关设备上,把内外私有ipv4地址转换为公网ipv4地址过程。其目的是为了解决ipv4设备在网络通信过程中地址不足的问题。按照转换的方式分为:静态转换、动态转换(包括PAT和NO-PAT模式)、内部服务器地址转换。

静态转换:内网地址始终唯一对应一个公网地址,除非修改网关NAT配置。

动态转换:内网ip地址通过动态转换为公网地址池里面的一个地址,no-pat模式,即与端口无关,

转换前后源端口不发生变化;而pat模式,端口相关模式,内网的ip和端口同时进行转换,

转换为公网地址+端口的方式,其中端口值转换前后基本不相同,例如192.168.1.1~3,

src-port为10000,可能转换为200.1.1.1+src-port 1025~1027。

内部服务器转换:内网服务器(一般私有ip)允许外网用户访问,需要在边缘设备配置地址转换,

服务器地址唯一的对应一个公网ip,这样从公网访问的流量,可以通过网关边缘设备,

访问内网私有地址服务器。

端口块方式:分为静态端口块模式和动态端口块模式。

NAT表项:网关设备所维护的NAT实时状态表项,一般包括一条流量转换前后的五元组信息(sip,dip,sport,dport,协议类型)。从内网穿过网关访问外网,网关上会

维持地址转换的表项,由协议的首报文创建,后续报文(包括反向报文)通过查找NAT

表项来进行地址转换,因为一个协议事务,对于单通道协议,只需要维持一个nat表项,

就足够。

nat日志 生成nat转换表项的日志,特别是动态转换,利于对已经结束的流量进行溯源。其次,

生成nat转换的告警信息,例如是否支持地址池或端口块已经用尽灯。

ALG: 全称应用层载荷网关,像FTP、SIP、RTSP等多通道协议,一般包括控制通道和数据通道,

控制通道在协商数据通道参数的时候,可能服务器端会基于载荷信息主动发起数据连接

,此时若客户端发送的载荷里面的私网ip和端口,不进行转换,则服务器的连接找不到

目的私网ip在哪。其次,ALG也会使得边界网关对多通道协议的所有连接生成记录表项并

放行,防止服务器端发起的主动连接被边缘安全设备丢掉。

nat与vpn-instance:vpn-instance隔离地址重叠的两个区域。两个vpn-instance实例的私有地址

重叠的设备可以通过在边缘网关设备上进行nat转换来进行通信,例如vpn1的1.1.1.1 转换

为vpn2的2.2.2.2,vpn2的1.1.1.1转换为vpn1的3.3.3.3等。

NAT :与ipsec vpn、ssl vpn的关系待说明。

标签: #网关 nat