网络地址转换原理NAT技术的基本原理
NAT是将数据消息头中的一个地址转换为另一个ip地址的过程,主要用于通过内部网地址访问公共地址。 每个NAT设备都有一个地址转换表,可以使用该地址转换表进行地址转换。 地址转换有以下两种
内部网的主机IP地址和端口映射到外部网的IP地址和端口
外部网络IP地址和端口映射到内部网主机IP地址和端口
通常用于内网与外网的交汇处,一般设备为路由器、防火墙
NAT分类NAT可以分为以下三类
静态映射(NAT Server ) )公共地址和专用地址之间的一对一映射,用于公共用户访问专用网络中的服务器的情况。
静态映射(NAT Server ) )公共地址和专用地址之间的一对一映射,用于公共用户访问专用网络中的服务器的情况。
输出接口地址方式(Easy IP )是内部网主机直接借用公共网络接口的IP地址接入互联网的方式,尤其是动态地获得公共网络接口的IP地址
源NAT(sourceNAT ) :用于允许多个互联网用户同时访问互联网。
NatServer用于允许外联网用户访问专用网络服务。
静态nat
动态nat
napt
NAT服务器
双向nat
源NAT技术源NAT地址池方式无端口转换方式
基于源地址的NAT :转换发起连接的IP报头内的源地址。 这将允许内部用户访问外部网络。 通过将内部主机的专用地址转换为公共地址,局域网中的多台主机可以使用少量合法地址访问外部资源,有效地隐藏了内部局域网的主机IP地址,实现了安全
无端口转换的地址池方法是通过配置NAT地址池实现的,NAT地址池可以包含多个公共网络地址。 只转换地址,不转换端口,实现私有地址到公共地址的一对一转换。 如果地址池中的地址都已分配,则当其馀内部网主机访问外部网时,不会进行NAT转换,而是在地址池中有可用地址之前不会进行NAT转换。
带端口转换方式
端口转换地址池方法是通过配置可以包含一个或多个公共网络地址的NAT地址池来实现的。 同时转换地址和端口,实现多个专用网络地址共享一个或多个公共网络地址的需求。
带端口的转换是最常见的地址转换方式。
Easy IP
出接口寻址方法也称为Easy IP。 直接使用接口的公共网络地址作为转换后的地址,不需要配置NAT地址池。 通过同时转换地址和端口,可以满足多个专用网络地址共享外联网接口的公共网络地址的需求。
NAT ALG
用于解决双端口服务
典型的NAT实现了UDP或TCP报头中的IP地址和端口转换功能,但对APP应用层数据加载中的字段无能为力。 许多APP应用层协议都包含TCP/UDP负载的地址或端口信息,这些内容无法通过NAT有效转换。
natalg(applicationlevelgateway )技术对多通道协议进行APP应用层消息信息的分析和地址转换,并对负载中需要地址转换的IP地址和端口或需要特殊处理的字段进行适当的解析
例如,FTP APP应用是通过数据连接和控制连接一起完成的,其中数据连接的建立是由控制连接的有效载荷字段信息动态决定的。 这样,为了确保正确地建立后续的数据连接,ALG需要完成有效载荷字段信息的变换。
为了实现APP应用层协议的传输策略提出了ASPF功能。
APF :释放适当的包过滤规则。
NAT :进行地址转换。
两者通常都是组合使用的,因此使用同一命令可以同时打开两者。
NAT ALG的实现原理
图中专用网侧的主机访问公共网的FTP服务器。 NAT设备配置有从专用网络地址192.168.1.2到公用网络地址8.8.8.11的映射在网络中,如果没有ALG对信息负荷的处理,从互联LAN主机发送的PORT信息到达服务器一侧后,服务器就无法根据互联LAN地址进行地址指定,从而连接正确的数据整个通信过程包括以下四个阶段。
在专用网络的主机和公共网络的FTP服务器之间通过TCP的三次握手成功建立了控制连接。
控制连接建立后,互联LAN主机向FTP服务器发送PORT消息,互联LAN主机在消息中携带指定数据连接的目标地址和端口,通知服务器使用该地址和端口与自己进行数据连接
通过支持ALG特性的NAT设备时,端口消息将消息加载过程中的专用网络地址和端口转换为相应的公共网络地址和端口。 换句话说,设备将接收到的端口消息负载中的私有网络地址192.168.1.2转换为公共网络地址8.8.8.11,并将端口1084转换为12487。
公共网的FTP服务器接收到PORT消息后,解析其内容,开始与专用网的主机进行数据连接。 该数据连接的目的地地址为8.8.8.11,目的地端口为12487 (由于该目的地地址为公共地址,因此之后的数据连接被正常建立,从专用网络主机向公共网络服务
服务器映射NAT服务器-内部服务器
NAT服务器,即
内部服务器。NAT隐藏了内部网络的结构,具有"屏蔽"内部主机的作用。但是在实际应用中,可能需要提供给外部一个访问内部主机的机会,如提供给外部一台WWW的服务器,而外部主机根本没有指向内部地址的路由,因此无法正常访问。这时可以使用内部服务器(Nat Server)功能来实现这个功能应用。使用NAT可以灵活地添加内部服务器。例如:可以使用202.202.1.1等公网地址作为Web服务器的外部地址,甚至还可以使用202.202.1.1 :8080这样的IP地址加端口号的方式作为Web的外部地址
NAT Server与Server Map表
通常情况下,如果在设备上配置严格包过滤,那么设备将只允许内网用户单方向主动访问外网。但在实际应用中,例如使用FTP协议的port方式传输文件时,既需要客户端主动向服务器端发起控制连接,又需要服务器端主动向客户端发起服务器数据连接,如果设备上配置的包过滤为允许单方向上报文主动通过,则FTP文件传输不能成功。
为了解决这一类问题,USG设备引入了Server-map表,Server-map基于三元组,用于存放一种映射关系,这种映射关系可以是控制数据协商出来的数据连接关系,也可以是配置NAT中的地址映射关系,使得外部网络能透过设备主动访问内部网络。
生成Server-map表之后,如果一个数据连接匹配了Server-map表项,那么就能够被设备正常转发,而不需要去查会话表,这样就保证了某些特殊应用的正常转发。
配置NAT Server成功后,设备会自动生成Server-map表项,用于存放Global地址与Inside地址的映射关系。
当不配置"no-reverse"参数时,每个生效的NAT Server都会生成正反方向两个静态的Server-map;当配置了"no-reverse"参数时,生效的NAT Server只会生成正方向静态的Server-map。用户删除NAT Server时,Server-map也同步被删除。
PAT是接口地址转换。NO-PAT 是不做端口转换,只作IP地址转换,也就是BASIC NAT 。而如果是NAPT的话,NO-PAT是不配置的。建议不要配置NO-PAT,不然同一个进程只能使用一个IP地址
NAT应用场景 NAT典型应用场景配置举例
源安全区域通常为转换前的私网IP地址所在的安全区域。在本例中为trust区域。目的安全区域通常为转换后的公网IP地址所在的安全区域。在本例中为untrust区域。
配置NAT Server时
外部地址:外部用户访问的公网IP地址。
内部地址:内部服务器在局域网中的IP地址。
在Web配置界面中,配置域间包过滤规则的步骤为:
选择"防火墙 > 安全策略 > 转发策略"。
在"转发策略列表"中,单击"新建"。
依次输入或选择各项参数。
防火墙源NAT配置 (CLI)
域间访问规则配置命令参考:
[USG6600]security-policy
[USG6600-policy-security]rule name natpolicy
[USG6600-policy-security-rule-natpolicy]source-address 192.168.0.0 24
[USG6600-policy-security-rule-natpolicy]action permit
配置源NAT,是为了实现内网对外部网络进行访问时进行NAT地址转换,数据流向是从高安全级别到低安全级别,因此源地址应该为内部网络的地址网段。而为内网用户分配的地址池,应该为外网地址网段用于对internet资源进行访问。
nat address-group address-group-name
section [ section-id | section-name ] start-address end-address
nat-mode { pat | no-pat }
USG上同时配置NAT和内部服务器时,内部服务器优先级较高,首先起作用。
NAT Server会生成server map表,防火墙检测顺序是:server map–>路由表–>安全策略–>NAT,所以安全策略中的目的地址应该是转换后的地址:192.168.20.2
多个不同内部服务器使用一个公有地址对外发布时,可以多次使用 nat server 命令对其进行配置。并使用协议进行区分。
双向NAT技术双向NAT两种应用场景:
NAT Server + 源NAT:服务器不设施网关或到达防火墙的路由
域内NAT
双向NAT:同一数据流,同时转换源地址和目的地址。
当配置NAT Server时,服务器需要配置到公网地址的路由才可正常发送回应报文。如果要简化配置,避免配置到公网地址的路由,对外网用户的源IP地址也进行转换,转换后的源IP地址与服务器的私网地址在同一网段。
防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址。
防火墙将FTP服务器回应报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址。
若需要地址转换的双方都在同一个安全域内,那么就涉及到了域内NAT的情况。当FTP服务器和用户均在Trust区域,用户访问FTP服务器的对外的公网IP地址,这样用户与FTP服务器之间所有的交互报文都要经过防火墙。这时需要同时配置内部服务器和域内NAT。
域内NAT是指当内网用户和服务器部署在同一安全区域的情况下,仍然希望内网用户只能通过访问服务器的公网地址的场景。在实现域内NAT过程中,既要将访问内部服务器的报文的目的地址由公网地址转换为私网地址,又需要将源地址由私网地址转换为公网地址。
总结:
参考文章