H3C防火墙NAT类型及处理顺序
H3C防火墻NAT處理順序
本文主要適用于H3C V7版本防火墻,介紹了NAT的基本類型和執(zhí)行順序。相關(guān)內(nèi)容很多援引H3C官方產(chǎn)品文檔,NAT類型及相關(guān)說(shuō)明以官方文檔為準(zhǔn)。
1 NAT類型及配置說(shuō)明
H3C V7產(chǎn)品支持的NAT按照組網(wǎng)方式可分為以下幾種:
(1) 傳統(tǒng)NAT
報(bào)文經(jīng)過(guò)NAT設(shè)備時(shí),在NAT接口上僅進(jìn)行一次源IP地址轉(zhuǎn)換或一次目的IP地址轉(zhuǎn)換。對(duì)于內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的報(bào)文,在出接口上進(jìn)行源IP地址轉(zhuǎn)換;對(duì)于外網(wǎng)訪問(wèn)內(nèi)網(wǎng)的報(bào)文,在入接口上進(jìn)行目的地址IP地址轉(zhuǎn)換。
(2) 兩次NAT
報(bào)文入接口和出接口均為NAT接口。報(bào)文經(jīng)過(guò)NAT設(shè)備時(shí),先后進(jìn)行兩次NAT轉(zhuǎn)換。對(duì)于內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的報(bào)文和外網(wǎng)訪問(wèn)內(nèi)網(wǎng)的報(bào)文,均在入接口進(jìn)行目的IP地址轉(zhuǎn)換,在出接口進(jìn)行源IP地址轉(zhuǎn)換。這種方式常用于支持地址重疊的VPN間互訪。
(3) 雙向NAT
報(bào)文經(jīng)過(guò)NAT設(shè)備時(shí),在NAT接口上同時(shí)進(jìn)行一次源IP地址轉(zhuǎn)換和一次目的IP地址轉(zhuǎn)換。對(duì)于內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的報(bào)文,在出接口上同時(shí)進(jìn)行源IP地址和目的IP地址的轉(zhuǎn)換;對(duì)于外網(wǎng)訪問(wèn)內(nèi)網(wǎng)的報(bào)文,同時(shí)在入接口上進(jìn)行目的地址IP地址和源IP地址的轉(zhuǎn)換。這種方式常用于支持內(nèi)網(wǎng)用戶主動(dòng)訪問(wèn)與之地址重疊的外網(wǎng)資源。
(4) NAT hairpin
NAT hairpin功能用于滿足位于內(nèi)網(wǎng)側(cè)的用戶之間或內(nèi)網(wǎng)側(cè)的用戶與服務(wù)器之間通過(guò)NAT地址進(jìn)行訪問(wèn)的需求。開(kāi)啟NAT hairpin的內(nèi)網(wǎng)側(cè)接口上會(huì)對(duì)報(bào)文同時(shí)進(jìn)行源地址和目的地址的轉(zhuǎn)換。它支持兩種組網(wǎng)模式:
?P2P:位于內(nèi)網(wǎng)側(cè)的用戶之間通過(guò)動(dòng)態(tài)分配的NAT地址互訪。
?C/S:位于內(nèi)網(wǎng)側(cè)的用戶使用靜態(tài)配置的NAT地址訪問(wèn)內(nèi)網(wǎng)服務(wù)器。
按照實(shí)現(xiàn)方式,可將NAT分為以下幾種:
(1) 靜態(tài)方式
靜態(tài)地址轉(zhuǎn)換是指外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的地址映射關(guān)系由配置確定,該方式適用于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間存在固定訪問(wèn)需求的組網(wǎng)環(huán)境。靜態(tài)地址轉(zhuǎn)換支持雙向互訪:內(nèi)網(wǎng)用戶可以主動(dòng)訪問(wèn)外網(wǎng),外網(wǎng)用戶也可以主動(dòng)訪問(wèn)內(nèi)網(wǎng)。
(2) 動(dòng)態(tài)方式
動(dòng)態(tài)地址轉(zhuǎn)換是指內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的地址映射關(guān)系在建立連接的時(shí)候動(dòng)態(tài)產(chǎn)生。該方式僅支持單向發(fā)起訪問(wèn),通常適用于內(nèi)部網(wǎng)絡(luò)有大量用戶需要訪問(wèn)外部網(wǎng)絡(luò)的組網(wǎng)環(huán)境。動(dòng)態(tài)地址轉(zhuǎn)換存在兩種轉(zhuǎn)換模式:
?NO-PAT模式
NO-PAT(Not Port Address Translation)模式下,一個(gè)外網(wǎng)地址同一時(shí)間只能分配給一個(gè)內(nèi)網(wǎng)地址進(jìn)行地址轉(zhuǎn)換,不能同時(shí)被多個(gè)內(nèi)網(wǎng)地址共用。當(dāng)使用某外網(wǎng)地址的內(nèi)網(wǎng)用戶停止訪問(wèn)外網(wǎng)時(shí),NAT會(huì)將其占用的外網(wǎng)地址釋放并分配給其他內(nèi)網(wǎng)用戶使用。該模式下,NAT設(shè)備只對(duì)報(bào)文的IP地址進(jìn)行NAT轉(zhuǎn)換,同時(shí)會(huì)建立一個(gè)NO-PAT表項(xiàng)用于記錄IP地址映射關(guān)系,并可支持所有IP協(xié)議的報(bào)文。
?PAT模式
PAT(Port Address Translation)模式下,一個(gè)NAT地址可以同時(shí)分配給多個(gè)內(nèi)網(wǎng)地址共用。該模式下,NAT設(shè)備需要對(duì)報(bào)文的IP地址和傳輸層端口同時(shí)進(jìn)行轉(zhuǎn)換,且只支持TCP、UDP和ICMP(Internet Control Message Protocol,互聯(lián)網(wǎng)控制消息協(xié)議)查詢報(bào)文。采用PAT方式可以更加充分地利用IP地址資源,實(shí)現(xiàn)更多內(nèi)部網(wǎng)絡(luò)主機(jī)對(duì)外部網(wǎng)絡(luò)的同時(shí)訪問(wèn)。
目前,PAT支持兩種不同的地址轉(zhuǎn)換模式:
?Endpoint-Independent Mapping(不關(guān)心對(duì)端地址和端口轉(zhuǎn)換模式):只要是來(lái)自相同源地址和源端口號(hào)的報(bào)文,不論其目的地址是否相同,通過(guò)PAT映射后,其源地址和源端口號(hào)都被轉(zhuǎn)換為同一個(gè)外部地址和端口號(hào),該映射關(guān)系會(huì)被記錄下來(lái)并生成一個(gè)EIM表項(xiàng);并且NAT設(shè)備允許所有外部網(wǎng)絡(luò)的主機(jī)通過(guò)該轉(zhuǎn)換后的地址和端口來(lái)訪問(wèn)這些內(nèi)部網(wǎng)絡(luò)的主機(jī)。這種模式可以很好的支持位于不同NAT網(wǎng)關(guān)之后的主機(jī)進(jìn)行互訪。
?Address and Port-Dependent Mapping(關(guān)心對(duì)端地址和端口轉(zhuǎn)換模式):對(duì)于來(lái)自相同源地址和源端口號(hào)的報(bào)文,相同的源地址和源端口號(hào)并不要求被轉(zhuǎn)換為相同的外部地址和端口號(hào),若其目的地址或目的端口號(hào)不同,通過(guò)PAT映射后,相同的源地址和源端口號(hào)通常會(huì)被轉(zhuǎn)換成不同的外部地址和端口號(hào)。與Endpoint-Independent Mapping模式不同的是,NAT設(shè)備只允許這些目的地址對(duì)應(yīng)的外部網(wǎng)絡(luò)的主機(jī)可以通過(guò)該轉(zhuǎn)換后的地址和端口來(lái)訪問(wèn)這些內(nèi)部網(wǎng)絡(luò)的主機(jī)。這種模式安全性好,但由于同一個(gè)內(nèi)網(wǎng)主機(jī)地址轉(zhuǎn)換后的外部地址不唯一,因此不便于位于不同NAT網(wǎng)關(guān)之后的主機(jī)使用內(nèi)網(wǎng)主機(jī)轉(zhuǎn)換后的地址進(jìn)行互訪。
(3) 內(nèi)部服務(wù)器
在實(shí)際應(yīng)用中,內(nèi)網(wǎng)中的服務(wù)器可能需要對(duì)外部網(wǎng)絡(luò)提供一些服務(wù),例如給外部網(wǎng)絡(luò)提供Web服務(wù),或是FTP服務(wù)。這種情況下,NAT設(shè)備允許外網(wǎng)用戶通過(guò)指定的NAT地址和端口訪問(wèn)這些內(nèi)部服務(wù)器,NAT內(nèi)部服務(wù)器的配置就定義了NAT地址和端口與內(nèi)網(wǎng)服務(wù)器地址和端口的映射關(guān)系。
(4) NAT444端口塊方式
NAT444是運(yùn)營(yíng)商網(wǎng)絡(luò)部署NAT的整體解決方案,它基于NAT444網(wǎng)關(guān),結(jié)合AAA服務(wù)器、日志服務(wù)器等配套系統(tǒng),提供運(yùn)營(yíng)商級(jí)的NAT,并支持用戶溯源等功能。在眾多IPv4向IPv6網(wǎng)絡(luò)過(guò)渡的技術(shù)中,NAT444僅需在運(yùn)營(yíng)商側(cè)引入二次NAT,對(duì)終端和應(yīng)用服務(wù)器端的更改較小,并且NAT444通過(guò)端口塊分配方式解決用戶溯源等問(wèn)題,因此成為了運(yùn)營(yíng)商的首選IPv6過(guò)渡方案。
以下僅介紹入方向靜態(tài)地址轉(zhuǎn)換(nat static inbound)、出方向靜態(tài)地址轉(zhuǎn)換(nat static outbound)、入方向動(dòng)態(tài)地址轉(zhuǎn)換(nat inbound)、出方向動(dòng)態(tài)地址轉(zhuǎn)換(nat static outbound)、NAT服務(wù)器映射(nat server)等五種常用NAT類型。
1.1 入方向靜態(tài)地址轉(zhuǎn)換(nat static inbound)
入方向靜態(tài)地址轉(zhuǎn)換用于實(shí)現(xiàn)一個(gè)內(nèi)部私有網(wǎng)絡(luò)地址/網(wǎng)段/地址對(duì)象組與一個(gè)外部公有網(wǎng)絡(luò)地址/網(wǎng)段/地址對(duì)象組之間的轉(zhuǎn)換,具體過(guò)程如下:
? 對(duì)于經(jīng)過(guò)該接口發(fā)送的內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的報(bào)文,將其目的IP地址與指定的內(nèi)網(wǎng)IP地址/網(wǎng)段/地址對(duì)象組進(jìn)行匹配,并將匹配的目的IP地址轉(zhuǎn)換為指定的外網(wǎng)地址/網(wǎng)段/地址對(duì)象組中的地址。
? 對(duì)于該接口接收到的外網(wǎng)訪問(wèn)內(nèi)網(wǎng)的報(bào)文,將其源IP地址與指定的外網(wǎng)IP地址/網(wǎng)段/地址對(duì)象組進(jìn)行匹配,并將匹配的源IP地址轉(zhuǎn)換為指定的地址/網(wǎng)段/地址對(duì)象組中的地址。
如果接口上配置的靜態(tài)地址轉(zhuǎn)換映射中指定了acl參數(shù),則僅對(duì)符合指定ACL permit規(guī)則的報(bào)文進(jìn)行地址轉(zhuǎn)換。
基于地址對(duì)象組的入方向靜態(tài)地址轉(zhuǎn)換引用的IPv4地址對(duì)象組中,只能存在一個(gè)主機(jī)對(duì)象(host)或者一個(gè)子網(wǎng)對(duì)象(subnet),否則引用不生效。
1.2 出方向靜態(tài)地址轉(zhuǎn)換(nat static outbound)
出方向靜態(tài)地址轉(zhuǎn)換通常應(yīng)用在外網(wǎng)側(cè)接口上,用于實(shí)現(xiàn)一個(gè)內(nèi)部私有網(wǎng)絡(luò)地址到一個(gè)外部公有網(wǎng)絡(luò)地址的轉(zhuǎn)換,具體過(guò)程如下:
? 對(duì)于經(jīng)過(guò)該接口發(fā)送的內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的報(bào)文,將其源IP地址與指定的內(nèi)網(wǎng)IPv4地址/網(wǎng)段/地址對(duì)象組進(jìn)行匹配,并將匹配的源IP地址轉(zhuǎn)換為外網(wǎng)IPv4地址/網(wǎng)段/地址對(duì)象組中的地址。
? 對(duì)于該接口接收到的外網(wǎng)訪問(wèn)內(nèi)網(wǎng)的報(bào)文,將其目的IP地址與指定的外網(wǎng)IPv4地址/網(wǎng)段/地址對(duì)象組進(jìn)行匹配,并將匹配的目的IP地址轉(zhuǎn)換為內(nèi)網(wǎng)IPv4地址/網(wǎng)段/地址對(duì)象組中的地址。
如果接口上配置的靜態(tài)地址轉(zhuǎn)換映射中指定了acl參數(shù),則僅對(duì)符合指定ACL permit規(guī)則的報(bào)文進(jìn)行地址轉(zhuǎn)換。
基于地址對(duì)象組的出方向靜態(tài)地址轉(zhuǎn)換引用的IPv4地址對(duì)象組中,只能存在一個(gè)主機(jī)對(duì)象(host)或者一個(gè)子網(wǎng)對(duì)象(subnet),否則引用不生效。
1.3 入方向動(dòng)態(tài)地址轉(zhuǎn)換(nat inbound)
入方向動(dòng)態(tài)地址轉(zhuǎn)換功能通常與接口上的出方向動(dòng)態(tài)地址轉(zhuǎn)換(nat outbound)、內(nèi)部服務(wù)器(nat server)或出方向靜態(tài)地址轉(zhuǎn)換(nat static outbound)配合,用于實(shí)現(xiàn)雙向NAT應(yīng)用,不建議單獨(dú)使用。
入接口動(dòng)態(tài)地址轉(zhuǎn)換的具體過(guò)程如下:
? 對(duì)于該接口接收到的外網(wǎng)訪問(wèn)內(nèi)網(wǎng)的首報(bào)文,將與指定的ACL permit規(guī)則匹配的報(bào)文的源IP地址轉(zhuǎn)換為地址組中的地址。
? 在指定了no-pat reversible參數(shù),并且已經(jīng)存在NO-PAT表項(xiàng)的情況下,對(duì)于經(jīng)過(guò)該接口發(fā)送的內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的首報(bào)文,將其目的IP地址與NO-PAT表項(xiàng)進(jìn)行匹配,并將目的IP地址轉(zhuǎn)換為匹配的NO-PAT表項(xiàng)中記錄的外網(wǎng)地址。
需要注意的是,該方式下的地址轉(zhuǎn)換不支持Easy IP功能。
1.4 出方向動(dòng)態(tài)地址轉(zhuǎn)換(nat outbound)
出方向動(dòng)態(tài)地址轉(zhuǎn)換通常應(yīng)用在外網(wǎng)側(cè)接口上,用于實(shí)現(xiàn)一個(gè)內(nèi)部私有網(wǎng)絡(luò)地址到一個(gè)外部公有網(wǎng)絡(luò)地址的轉(zhuǎn)換,具體過(guò)程如下:
? 對(duì)于經(jīng)過(guò)該接口發(fā)送的內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的報(bào)文,將與指定ACL permit規(guī)則匹配的報(bào)文源IP地址轉(zhuǎn)換為地址組中的地址。
? 在指定了no-pat reversible參數(shù),并且已經(jīng)存在NO-PAT表項(xiàng)的情況下,對(duì)于經(jīng)過(guò)該接口收到的外網(wǎng)訪問(wèn)內(nèi)網(wǎng)的首報(bào)文,將其目的IP地址與NO-PAT表項(xiàng)進(jìn)行匹配,并將目的IP地址轉(zhuǎn)換為匹配的NO-PAT表項(xiàng)中記錄的內(nèi)網(wǎng)地址。
1.5 NAT服務(wù)器映射(nat server)
通過(guò)在NAT設(shè)備上配置內(nèi)部服務(wù)器,建立一個(gè)或多個(gè)內(nèi)網(wǎng)服務(wù)器內(nèi)網(wǎng)地址和端口與外網(wǎng)地址和端口的映射關(guān)系,使外部網(wǎng)絡(luò)用戶能夠通過(guò)配置的外網(wǎng)地址和端口來(lái)訪問(wèn)內(nèi)網(wǎng)服務(wù)器。內(nèi)部服務(wù)器通常配置在外網(wǎng)側(cè)接口上。
H3C V7產(chǎn)品中,NAT服務(wù)器映射可分為普通內(nèi)部服務(wù)器、負(fù)載分擔(dān)內(nèi)部服務(wù)器和基于ACL的內(nèi)部服務(wù)器三種。
若普通內(nèi)部服務(wù)器或者負(fù)載分擔(dān)內(nèi)部服務(wù)器配置中引用了acl參數(shù),則表示與指定的ACL permit規(guī)則匹配的報(bào)文才可以使用內(nèi)部服務(wù)器的映射表進(jìn)行地址轉(zhuǎn)換。需要注意的是,NAT僅關(guān)注ACL規(guī)則中定義的源IP地址、源端口號(hào)、目的IP地址、目的端口號(hào)、傳輸層協(xié)議類型和VPN實(shí)例,不關(guān)注ACL規(guī)則中定義的其它元素。
普通的內(nèi)部服務(wù)器是將內(nèi)網(wǎng)服務(wù)器的地址和端口映射為外網(wǎng)地址和端口,允許外部網(wǎng)絡(luò)中的主機(jī)通過(guò)配置的外網(wǎng)地址和端口訪問(wèn)位于內(nèi)網(wǎng)的服務(wù)器。
2 NAT類型的應(yīng)用說(shuō)明
2.1 單一類型的特性與應(yīng)用
NAT各類型對(duì)報(bào)文的處理方式各有不同,其在不同方向的處理方式?jīng)Q定了最終應(yīng)用的效果。具體區(qū)別可見(jiàn)下表:
由此可知,以上各種類型的NAT中,靜態(tài)NAT適用于部分網(wǎng)絡(luò)雙向訪問(wèn),動(dòng)態(tài)NAT適用于單方面發(fā)起對(duì)訪問(wèn),NAT Server適用于單方面提供特定服務(wù)。
2.2 多種NAT類型的單次轉(zhuǎn)換組合應(yīng)用
對(duì)于一個(gè)復(fù)雜的網(wǎng)絡(luò),其NAT需求往往并不單一,需要將多種NAT類型結(jié)合使用來(lái)達(dá)到相應(yīng)目的。以下介紹在不存在IP地址重疊的情況下,常見(jiàn)的單次NAT類型組合應(yīng)用:
場(chǎng)景一、內(nèi)網(wǎng)訪問(wèn)外網(wǎng),同時(shí)內(nèi)網(wǎng)對(duì)外提供特定的服務(wù)
該場(chǎng)景下,要求對(duì)內(nèi)網(wǎng)出局的流量進(jìn)行源地址轉(zhuǎn)換,對(duì)外網(wǎng)訪問(wèn)內(nèi)網(wǎng)服務(wù)的流量進(jìn)行目的地址轉(zhuǎn)換。可實(shí)現(xiàn)的方案如下:
方案一:在外網(wǎng)接口同時(shí)部署NAT Outbound和NAT Server,最優(yōu)方案,推薦;
方案二:在內(nèi)網(wǎng)接口部署NAT Inbound,外網(wǎng)接口部署NAT Server;
方案三:在外網(wǎng)接口部署NAT Outbound和NAT Static Outbound,服務(wù)器對(duì)于外網(wǎng)來(lái)說(shuō)處于完全可訪問(wèn)狀態(tài),不推薦;
方案四:在外網(wǎng)接口部署NAT Outbound,內(nèi)網(wǎng)接口部署NAT Static Inbound,服務(wù)器對(duì)于外網(wǎng)來(lái)說(shuō)處于完全可訪問(wèn)狀態(tài),不推薦;
方案五:在內(nèi)網(wǎng)接口部署NAT inbound和NAT Static Inbound,服務(wù)器對(duì)于外網(wǎng)來(lái)說(shuō)處于完全可訪問(wèn)狀態(tài),不推薦;
方案六:在內(nèi)網(wǎng)接口部署NAT Inbound,外網(wǎng)接口部署NAT Static Outbound,服務(wù)器對(duì)于外網(wǎng)來(lái)說(shuō)處于完全可訪問(wèn)狀態(tài),不推薦。
針對(duì)以上六種方案,綜合安全性和部署維護(hù)的復(fù)雜度來(lái)考慮,推薦首選方案一,并將方案二作為備選。
場(chǎng)景二、外網(wǎng)訪問(wèn)內(nèi)網(wǎng),并對(duì)內(nèi)網(wǎng)提供特定服務(wù)
該場(chǎng)景剛好與場(chǎng)景一類似,只是訪問(wèn)方向相反。事實(shí)上,無(wú)論是出于安全的角度還是出于管理維護(hù)的角度,都應(yīng)該避免該類場(chǎng)景的出現(xiàn),如果確定有這樣的需求,也應(yīng)該盡量由外網(wǎng)來(lái)完成NAT部署。該場(chǎng)景要求對(duì)外網(wǎng)入局的流量進(jìn)行源地址轉(zhuǎn)換,對(duì)內(nèi)網(wǎng)訪問(wèn)外網(wǎng)服務(wù)的流量進(jìn)行目的地址轉(zhuǎn)換。可實(shí)現(xiàn)的方案如下:
方案一:在內(nèi)網(wǎng)接口同時(shí)部署NAT Outbound和NAT Server,最優(yōu)方案,推薦;
方案二:在外網(wǎng)接口部署NAT Inbound,內(nèi)網(wǎng)接口部署NAT Server;
方案三:在內(nèi)網(wǎng)網(wǎng)接口部署NAT Outbound和NAT Static Outbound,服務(wù)器對(duì)于內(nèi)網(wǎng)來(lái)說(shuō)處于完全可訪問(wèn)狀態(tài),不推薦;
方案四:在內(nèi)網(wǎng)接口部署NAT Outbound,外網(wǎng)接口部署NAT Static Inbound,服務(wù)器對(duì)于內(nèi)網(wǎng)來(lái)說(shuō)處于完全可訪問(wèn)狀態(tài),不推薦;
方案五:在外網(wǎng)接口部署NAT inbound和NAT Static Inbound,服務(wù)器對(duì)于內(nèi)網(wǎng)來(lái)說(shuō)處于完全可訪問(wèn)狀態(tài),不推薦;
方案六:在外網(wǎng)接口部署NAT Inbound,內(nèi)網(wǎng)接口部署NAT Static Outbound,服務(wù)器對(duì)于內(nèi)網(wǎng)來(lái)說(shuō)處于完全可訪問(wèn)狀態(tài),不推薦。
針對(duì)以上六種方案,綜合安全性和部署維護(hù)的復(fù)雜度來(lái)考慮,推薦首選方案一,并將方案二作為備選。
場(chǎng)景三、內(nèi)網(wǎng)和外網(wǎng)完全互訪
該場(chǎng)景要求對(duì)外網(wǎng)入局的流量和內(nèi)網(wǎng)出局的流量都進(jìn)行單向源地址轉(zhuǎn)換。出于安全考慮,實(shí)際部署時(shí)也應(yīng)避免該場(chǎng)景的發(fā)生,如果必要,應(yīng)盡量由外網(wǎng)完成入局流量的NAT。可實(shí)現(xiàn)的方案如下:
方案一:在外網(wǎng)接口和內(nèi)網(wǎng)接口都部署NAT Outbound,最優(yōu)方案,推薦;
方案二:在外網(wǎng)接口和內(nèi)網(wǎng)接口都部署NAT Inbound,最優(yōu)方案,推薦;
方案三:在外網(wǎng)接口同時(shí)部署NAT Outbound和NAT Inbound;
方案四:在內(nèi)網(wǎng)接口同時(shí)部署NAT Outbound和NAT Inbound。
針對(duì)以上四種方案,出于部署維護(hù)的復(fù)雜度來(lái)考慮,推薦首選方案一。
2.3 多種NAT類型的兩次轉(zhuǎn)換組合應(yīng)用
除開(kāi)常規(guī)需求場(chǎng)景外,還往往存在一些特殊的組網(wǎng)環(huán)境,需要更復(fù)雜的處理方式。如出于安全要求、或者因?yàn)榈刂分丿B的原因,要求我們?cè)趩蜗蛄髁恐型瑫r(shí)對(duì)源地址和目的地址進(jìn)行NAT。該情況下,通常不存在完全訪問(wèn)的可能,或者說(shuō)訪問(wèn)目標(biāo)必須是明確的一個(gè)地址或地址集合。出于運(yùn)維管理的考慮,也應(yīng)該盡量避免使用該場(chǎng)景的NAT,不能避免的也應(yīng)盡量由訪問(wèn)方進(jìn)行源地址轉(zhuǎn)換,被訪問(wèn)方進(jìn)行目的地址轉(zhuǎn)換。對(duì)于確定需要同時(shí)進(jìn)行源和目的地址NAT的,V7有兩種實(shí)現(xiàn)方式:可以通過(guò)在流量入口和出口各自進(jìn)行目的地址NAT和源地址NAT,即兩次NAT的方式來(lái)實(shí)現(xiàn);也可以通過(guò)在一個(gè)接口上同時(shí)進(jìn)行源地址和目的地址NAT,即雙向NAT來(lái)實(shí)現(xiàn)。
場(chǎng)景一、內(nèi)網(wǎng)單向訪問(wèn)外網(wǎng),地址重疊
方案一:在內(nèi)網(wǎng)接口部署NAT Static Outbound,在外網(wǎng)接口部署NAT Outbound,兩次NAT;
方案二:在外網(wǎng)接口部署NAT Static Inbound,在內(nèi)網(wǎng)接口部署NAT Inbound,兩次NAT;
方案三:在外網(wǎng)接口同時(shí)部署NAT Static Inbound和NAT Outbound,雙向NAT;
方案四:在內(nèi)網(wǎng)接口同時(shí)部署NAT Static Outbound和NAT Inbound,雙向NAT。
場(chǎng)景二、外網(wǎng)單向訪問(wèn)內(nèi)網(wǎng),地址重疊
方案一:在外網(wǎng)接口部署NAT Static Outbound,在內(nèi)網(wǎng)接口部署NAT Outbound,兩次NAT;
方案二:在內(nèi)網(wǎng)接口部署NAT Static Inbound,在外網(wǎng)接口部署NAT Inbound,兩次NAT;
方案三:在內(nèi)網(wǎng)接口同時(shí)部署NAT Static Inbound和NAT Outbound,雙向NAT;
方案四:在外網(wǎng)接口同時(shí)部署NAT Static Outbound和NAT Inbound,雙向NAT。
場(chǎng)景三、外網(wǎng)單向訪問(wèn)內(nèi)網(wǎng)特定服務(wù),地址重疊
方案一:外網(wǎng)接口同時(shí)部署NAT Static Inbound和NAT Server,雙向NAT;
方案二:外網(wǎng)接口同時(shí)部署NAT Inbound和NAT Server,雙向NAT;
方案三:外網(wǎng)接口部署NAT Server,內(nèi)網(wǎng)接口部署NAT Static Outbound,兩次NAT;
方案四:外網(wǎng)接口部署NAT Server,內(nèi)網(wǎng)接口部署NAT Outbound,兩次NAT。
場(chǎng)景四、內(nèi)網(wǎng)和外網(wǎng)雙向互訪,地址重疊
方案一:在外網(wǎng)接口和內(nèi)網(wǎng)接口都部署NAT Static Outbound,兩次NAT;
方案二:在外網(wǎng)接口和內(nèi)網(wǎng)接口都部署NAT Static Inbound,兩次NAT;
方案三:在外網(wǎng)接口同時(shí)部署NAT Static Outbound和NAT Static Inbound,雙向NAT;
方案四:在內(nèi)網(wǎng)接口同時(shí)部署NAT Static Outbound和NAT Static Inbound,雙向NAT。
以上方案通常用于一一對(duì)應(yīng)的互訪,此外還可以組合使用本小節(jié)中場(chǎng)景一和場(chǎng)景二的解決方案來(lái)實(shí)現(xiàn)本場(chǎng)景的訪問(wèn)需求,只是會(huì)加大實(shí)施難度,并放大訪問(wèn)發(fā)起者的范圍,降低安全性(可通過(guò)ACL減緩)。
2.4 多種NAT類型組合應(yīng)用的注意事項(xiàng)
一、當(dāng)需要添加新的需求時(shí),應(yīng)當(dāng)遵循安全、易管理、維護(hù)便捷的原則,盡量避免過(guò)于繁瑣的實(shí)現(xiàn)方式。能夠通過(guò)單一NAT類型實(shí)現(xiàn)的功能,盡量不用NAT類型組合。對(duì)于地址重疊問(wèn)題,應(yīng)盡量通過(guò)溝通協(xié)調(diào)的方式來(lái)避免,技術(shù)手段僅作為最終妥協(xié)的實(shí)現(xiàn)方式。
二、在復(fù)雜的NAT應(yīng)用場(chǎng)景中需要注意,當(dāng)采用NAT Outbound時(shí)會(huì)產(chǎn)生一條NAT地址去往NULL0的黑洞路由,如果該NAT地址也同時(shí)被用于入方向的NAT,在做了入方向的NAT所在接口上,其出方向的流量會(huì)因?yàn)楹诙绰酚啥槐籒AT模塊處理,進(jìn)而造成NAT失效。解決該問(wèn)題的方法為嚴(yán)格規(guī)劃NAT地址,避免在多種NAT類型中重復(fù)利用NAT地址。
三、由于入方向NAT涉及到額外路由配置的問(wèn)題,又存在上述可能造成故障的風(fēng)險(xiǎn),在實(shí)際應(yīng)用場(chǎng)景中不推薦包含此類NAT的部署方式。
四、在存在地址重疊的情況下,建議在流量入口處進(jìn)行雙向NAT部署,避免引入路由沖突的風(fēng)險(xiǎn)。
3 NAT相關(guān)的安全策略處理
防火墻中存在大量的NAT和安全策略,因?yàn)椴煌瑥S商在數(shù)據(jù)處理流程上的差異,其產(chǎn)品NAT和安全策略之間的影響不盡相同。以下對(duì)H3C V7(后文簡(jiǎn)稱V7)產(chǎn)品的NAT和策略相關(guān)性進(jìn)行說(shuō)明。
3.1 策略相關(guān)說(shuō)明
V7中地址對(duì)象組、服務(wù)對(duì)象組,在策略定義中都是以名稱進(jìn)行調(diào)用的,除系統(tǒng)自定義的常用協(xié)議名、多數(shù)服務(wù)對(duì)象需自行定義和命名。
1、地址對(duì)象組定義:V7中地址和地址組對(duì)象定義方式完全一致,或者說(shuō)在實(shí)現(xiàn)上不存在地址和地址組對(duì)象的區(qū)別,在一個(gè)對(duì)象組中可以添加一個(gè)主機(jī)、一段地址或者嵌套另一個(gè)對(duì)象組作為成員。
object-group ip address 地址對(duì)象組名2
network host address 地址 //地址對(duì)象定義對(duì)象為主機(jī)
network subnet 地址段 掩碼 //地址對(duì)象定義對(duì)象為地址段
network group-object地址對(duì)象組名1 //地址對(duì)象組名1為預(yù)先定義的地址對(duì)象組
2、服務(wù)對(duì)象組定義:V7中服務(wù)對(duì)象組定義與地址對(duì)象組定義類似。
object-group service 服務(wù)對(duì)象組名2
service 協(xié)議 destination eq目的端口號(hào) //指定端口號(hào)
service 協(xié)議 destination gt參考端口號(hào) //比參考端口號(hào)大
service 協(xié)議 destination lt參考端口號(hào) //比參考端口號(hào)小
service 協(xié)議 destination rang 目的起始端口號(hào) 目的結(jié)束端口號(hào) //指定端口號(hào)范圍
service group-object服務(wù)對(duì)象組名1 //服務(wù)對(duì)象名1為系統(tǒng)預(yù)定義或手工預(yù)定義的服務(wù)對(duì)象組
3、策略定義說(shuō)明:V7策略中地址只能以地址對(duì)象組的方式進(jìn)行指定,不能直接使用IP地址或網(wǎng)段。
object-policy ip 策略名
rule 1 pass source-ip源地址對(duì)象組名 destination-ip 目的地址對(duì)象組名 service服務(wù)對(duì)象組名/系統(tǒng)預(yù)定義的服務(wù)名
rule 2 pass source-ip 源地址對(duì)象組名destination-ip目的地址對(duì)象組名 service 服務(wù)對(duì)象組名/系統(tǒng)預(yù)定義的服務(wù)名
4、區(qū)域定義:
security-zone name 定義的區(qū)域名
import interface 端口類型和端口號(hào)
5、域間應(yīng)用策略:策略定義后需要在安全域間應(yīng)用才能生效。
zone-pair security source 定義的區(qū)域名1 destination 定義的區(qū)域名2
object-policy apply ip 定義的策略名
3.2 策略定義中與NAT相關(guān)地址對(duì)象的處理
H3C在處理路由、NAT和安全策略和ACL時(shí)遵循如下處理順序:
由此可知,當(dāng)NAT和策略并存時(shí),要使訪問(wèn)符合預(yù)期,策略中地址對(duì)象的定義遵循如下原則:
以上表格可能并不方便實(shí)際部署實(shí)施時(shí)的理解,下表從報(bào)文中IP地址的變化角度對(duì)不同類型NAT相關(guān)的策略處理進(jìn)行了描述。
總結(jié)
以上是生活随笔為你收集整理的H3C防火墙NAT类型及处理顺序的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
