華為賽門鐵克hscsasecurity認(rèn)證培訓(xùn)網(wǎng)絡(luò)課程防火墻nat

1、1 / 8NAT產(chǎn)生背景 Internet爆炸式發(fā)展，讓尸曲地址日漸枯竭。下一代IP技術(shù)IP曾6因為各種原因不能立即大面積替換技術(shù)不斷發(fā)展.各種延長IPv4壽命的技術(shù)不斷出現(xiàn)。NAT就是其中的一種為什么需要NAT?私網(wǎng)地址的出現(xiàn)目的是為了實現(xiàn)地址的復(fù)用提髙IP資源的利用率私網(wǎng)地址不能在公網(wǎng)中路由，否則將導(dǎo)致通信混亂口 NAT技術(shù)主要應(yīng)用是實現(xiàn)大蛍的私網(wǎng)地址對少雖公網(wǎng)地址的轉(zhuǎn)換。保障通信的墓礎(chǔ)上節(jié)約尸地址資源。無 NATf 青況 下利兩與公 網(wǎng)的通信Hiuawe Symantec Technologies Co,. Ltd.page- 6Huznwi 5rrruvrt優(yōu)秀的技術(shù)手段。huowei

2、 lyrranrec lecnnoiogies L-o.,LTO.pcsye 2 / 8NAT的基本原理.NAT的本質(zhì)就是將一個地址轉(zhuǎn)換成另外一個地址的過程，只是在實際應(yīng)用 中，往往都是進行公私網(wǎng)地址的轉(zhuǎn)換“下圖說明了NAT進行地址轉(zhuǎn)換的基 本過程NAT的優(yōu)點與缺點憂點實現(xiàn)IP地址復(fù)用，節(jié)妁寶貴的地址資源地址轉(zhuǎn)換過程對用戶透明対內(nèi)網(wǎng)用戶提供隱私保護可買現(xiàn)對內(nèi)部服務(wù)器的負(fù)載均衡缺點網(wǎng)絡(luò)監(jiān)控難度加大琨制菓些具體應(yīng)用Huawei Symantec Technologies Co., Ltd.PCQC 73 / 8Huawei Symantec Techrwkigtes Co., Ltd.4 / 8N

3、AT應(yīng)用華為賽門鐵克防火墻上實現(xiàn)了NAT的諸多應(yīng)用方式、并且利用一些特殊 手段保證復(fù)雜協(xié)議正常通信口主要包括以下應(yīng)用方式：Outbound萬向的NAT* 一對一地址轉(zhuǎn)換多對多地址轉(zhuǎn)換*多對一地址轉(zhuǎn)換內(nèi)部服務(wù)器-或向 NAT+ Inbound 方向的 NAT+域內(nèi)隔丁應(yīng)用氐網(wǎng)關(guān)Outbound方向白勺NATHucwri Snnciriteu 色 uhnolOH 屈 匸?！?Ltd*pcge 11hiuI Smcnfec Tt?chriologIDSCC.PLtd.pcge12Huawei SymEVitM從tru st域到untrus t誡5 / 8對一地址轉(zhuǎn)換將轉(zhuǎn)換前與轉(zhuǎn)換后的地址一一綁定，以

4、實現(xiàn)某些特殊需求實際應(yīng)用比 較少。19268丄1 - 155 J 33.87 J192,168衛(wèi)-155.133.87.2192.168一3 - *155.133.87.3HuOAei Symantec Techno log 訐匚 d* Ltd，多對多地址轉(zhuǎn)換pegs 13岡68.1,1192.1 63.219Z 168.1.3192,168,1,46 / 8多對一地址轉(zhuǎn)換將不同的內(nèi)部地址映射到同一公有地址的不同端口號上，實現(xiàn)多對一地址轉(zhuǎn)換。主要利用NAPT技術(shù)實現(xiàn)多對一地址轉(zhuǎn)換。192J68JJ - - 155.133.97 J:7111192.168J.2 - 155 J 33.87 J:

5、7112192168,1-3- 155J 33.87 J :71 13 NAPT是一種利用第四層信息來擴展第三層地址的技術(shù)，一個IP地址有65535個端口可以使用.理論上來說，一個地址可以為其他65535個地址提供NAPT轉(zhuǎn)換，這樣極大的提升了地址空間，增加了IP地址的利用率內(nèi)部服務(wù)器在實降應(yīng)用中，可能需要提供給外部一個訪問內(nèi)部主機的機會，如Wb服務(wù)器等。而外部主機根本沒有指向內(nèi)部地址的路由，因此無法正常訪問內(nèi)部服務(wù)器（ZE S引VEd功能就是使用一個公網(wǎng)地址來代表內(nèi)部服務(wù) 器對外地址在防火墻上，專門為內(nèi)部的服務(wù)器配重一個對外的公網(wǎng)地址來代表私網(wǎng)囚此NAFT是最常用的一種地址轉(zhuǎn)換方式。mucw

6、e Symantec T?chnologii?s Co.PLtd.page 157 / 8地址出對于外網(wǎng)用戶來說，防火墻上配置的外網(wǎng)地址就是服務(wù)器的地址HuciAi S/m口nteuT亡chnolo口cs Co . Ltd.-Hunwci SyrrwftjeCpcge 178 / 8雙向NAT雙向NAT應(yīng)用場景的通信雙方訪問對方的時候目的地址都不是真實的地 址，而是NAT轉(zhuǎn)換后的地址。而outbound方向、inbound方向、內(nèi)部服 務(wù)器等應(yīng)用都是只是針對某一方來進行地址轉(zhuǎn)換。般來說，雙向NAT有如下兩種情況內(nèi)部服務(wù)器同 ing已方向的 NAT 共同祓用內(nèi)部臉務(wù)器同域內(nèi) NAT 共同使用Sy

7、fHJHucwei iymanJec TechncloQies 匚 o”Lt3pegs ?Inbound向的NAT Inbound方向的NAT使用一個內(nèi)部地址來代表外部地匕outbound的將一個地址轉(zhuǎn)換為另一個地址的過程只是在實際應(yīng)用環(huán)境上的不同轉(zhuǎn)換方式恰好相反，主要用在內(nèi)部主機不能或者沒必要知道某一條公網(wǎng) 路由前情況。從轉(zhuǎn)換原理來說，其實inbound方向和outbound方向都是一樣的，都是9 / 8 Outbound足針對防火墻的安全域來說的。Outbound方向的NAT足防 火墻上最常見的一種地址轉(zhuǎn)換形式，將內(nèi)部F地址轉(zhuǎn)換成為可以在公網(wǎng)上 路由的外部地址，實現(xiàn)內(nèi)網(wǎng)到公兩的通信。根據(jù)不同的轉(zhuǎn)換機制，可分 為一對一.多對多和多對一轉(zhuǎn)換。通過地址池的方式規(guī)劃出一段用來轉(zhuǎn)換的地址。當(dāng)轉(zhuǎn)換時,依次挑選地 址池中的外網(wǎng)地址作為一個內(nèi)網(wǎng)地址轉(zhuǎn)換后的地址，直到地址池中所有地址被用完此時接下來的內(nèi)網(wǎng)地址將不能轉(zhuǎn)換O15S.133.87J- 155 J 33.87.2- 155.133