基于源地址的
NAT
NAT No-PAT 源IP地址 否 采用地址池中的公网地址为私网用户进行地址转换,适合公网IP地址数量
充足的、仅有少量私网用户访问Internet的场景。
采用地址池中的公网地址为私网用户进行地址转换,适合大量的私网用户
访问Internet的场景。
(Easy IP)
内网主机直接借用公网接口的IP地址访问Internet,特别适用于公网接口
IP地址是动态获取的情况。
IP地址不转换端口
在No-PAT的模式下,指定某个IP地址预留进行NAPT方式的转换。
三元组NAT 源IP地址 是 保证基于P2P技术的文件共享、语音通信、视频传输等业务在NAT场景中可
以正常应用。
的NAT
器映射)
目的IP地址 可选
公网地址和私网地址一对一进行映射,用在公网用户访问私网内部服务器
的场景。
主要用在转换手机用户WAP网关地址,使手机用户可以正常上网的场景。
双向NAT 源NAT+NAT Server 源IP地址+目的
IP地址
可选 避免在内部服务器上设置网关,简化配置。
Server
IP地址
可选
私网用户通过公网地址来访问内部服务器,两者交互的报文都经过防火墙
来转发。
NAT处理流程:
1.FW收到报文后,查找NAT Server生成的Server-Map表,如果报文匹配到Server-Map表,
则根据表项转换报文的目的地址,然后进行步骤3处理;如果报文没有匹配到Server-Map
表,则进行步骤2处理。
2.查找目的NAT,如果报文符合目的NAT的匹配条件,则转换报文的目的地址后进行路由处
理;如果报文不符合目的NAT的匹配条件,则直接进行路由处理。
3.根据报文当前的信息查找路由(包括策略路由),如果找到路由,则进入步骤4处理;
如果没有找到路由,则丢弃报文。
4.查找安全策略,如果安全策略允许报文通过,则进行源NAT处理;如果安全策略不允许
报文通过,则丢弃报文。
5.查找源NAT,如果报文符合源NAT的匹配条件,则转换报文的源地址,然后创建会话;如
果报文不符合源NAT的匹配条件,则直接创建会话。
6.FW发送报文。
A、注意人为定义针对address-group的黑洞路由;
B、决定源NAT地址池选择的是源地址,和访问的目标地址无关;
C、NO-PAT会产生Server map表,此时如果存在外网用户能够主动访问内网的安全策略,那么外网用户可以通过访问公网地址,来达到访问内网用户的作用;
一、No-PAT
mode no-pat local //表示本地的三元组模式或No-PAT模式,生成的Server-Map表中包含安全区域参数,受域间关系限制。而对应的global则不受域间关系限制;
section 0 10.1.23.100 10.1.23.100
#
rule name out
source-zone trust
source-address 10.1.12.1 32
destination-address 10.1.23.3 32
action nat address-group out
#
[USG6000V1]display firewall server-map//mode no-pat local效果;
Current Total Server-map : 2
Type: No-Pat Reverse, ANY -> 10.1.23.100[10.1.12.1], Zone: untrust
Protocol: ANY, TTL:---, Left-Time:---, Pool: 0, Section: 0
1、NAT 详解
分区 Security 的第 3 页
