Bootstrap

安全防御:NAT转换

目录

一、NAT的分类

二、Easy ip

三、多对多的NAPT

四、动态NAT

五、服务器映射


一、NAT的分类

静态NAT

动态NAT

Napt

  • 一对多 --- easy ip
  • 多对多的NAPT

服务器映射

源NAT --- 基于源IP地址进行转换,包含静态NAT,动态NAT以及NAPT

目标NAT --- 基于目标IP地址进行转换,以前的端口映射

双向NAT --- 同时转换源IP地址和目标IP地址

二、Easy ip

注意:源NAT是在安全策略之后执行转换。

三、多对多的NAPT

配置黑洞路由就是会使公网地址池中的地址都生成一条指向其自身的空接口,这里主要是为了应对公网地址和出接口地址不在同一个网段的情况,因为在这种情况下,如果公网用户访问地址池中的公网地址,将可能造成环路,所以,需要通过空接口防环;如果公网地址池地址和出接口在同一个网段,也可以勾选该选项,这种情况下虽然不会出现环路,但是,有了这个黑洞路由,可以减少ARP报文的出现。

(都是针对NAPT技术)

五元组NAT --- 通过源IP,源端口,目标IP,目标端口,协议五个参数来标定一次NAT的转换,如果任何一个参数发生变化,都需要更换端口来进行转换。

三元组NAT --- 仅识别源IP,源端口和协议三个参数来区分一次NAT的链接。

端口预分配 --- 可以设定端口转换使用的端口范围

源IP地址数量限制 --- 可以设定一个公网IP地址转换的源IP地址的数量,比如设置为1,则公网IP地址在会话表老化之前,只能针对一个源IP地址进行转换

保留IP地址 ---- 可以将不需要使用的公网IP地址放置在保留IP地址中,则在进行转换的时候,不会使用该地址转换

四、动态NAT

三元组NAT

目标NAT

五、服务器映射

注意:源NAT的执行在安全策略之后,目标NAT的执行在安全策略之前;

双向NAT

多出口NAT

源NAT

  1. 将不同的接口放置在不同的区域中,基于区域做NAT策略
  2. 将不同的接口放在同一个区域,基于接口做NAT策略

目标NAT

  1. 可以分区域配置两个服务器映射
  2. 也可以是同一个区域。注意,如果是同一个区域,不能将两条服务器映射策略同时开启“允许服务器访问公网”
;