网络地址转换(Network Address Translation,NAT)诞生于1994年,它的提出是在IPv4地址资源面临枯竭的背景下,作用是替换IP报文头部的地址信息,允许一个整体机构以一个公用IP地址出现在Internet上,它是一种把内部私有网络IP地址翻译成合法网络IP地址的技术,可以让那些使用私有地址的内部网络连接到Internet或其它IP网络上。
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
源地址转换具体作用是将IP数据包的源地址转换成另外一个地址,内网地址访问外网时,将发起访问的内网IP地址转换为指定的IP地址,内网的多台主机可以通过同一个有效的公网IP地址访问外网,因此可以认为,源地址转换在一定程度上,能够有效的解决公网IPV4地址不足的问题,并能够达到隐藏内网的作用。
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
1)内网用户PC发出的访问公网服务器的请求数据包到达网关路由器;
2)网关路由器将请求数据包中的源IP中私网IP替换成路由器公网出口IP,并记录到状态表,转发请求数据包给公网服务器;
3)公网服务器收到请求数据包,返回回应数据包给网关路由器;
4)网关路由器收到回应数据包,通过查找状态表返回给内网用户PC。
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
源地址转换主要应用于网关设备代理上网的场景,如内网有多个私网网段的终端需要同时使用一个或者多个相同的公网IP地址访问公网服务。
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
1)在【策略】-【地址转换】-【IPv4地址转换】点击【新增】;
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
2)在【新增NAT】中选择【源地址转换】,已默认选中,配置原始数据包源为内网,目的为外网所有IP以及转换后数据包的相关信息;
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
3)在【策略】-【访问控制】-【应用控制策略】点击【新增】,源选择内网信息,目的选择外网信息,服务为所有及any,即可放通内网上网数据。
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
目的地址转换也称为反向地址转换、地址映射或端口映射,是一种单向的针对目标地址的地址转换,具体作用是将IP数据包的目的地址转换为另外一个地址。
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
1)公网用户PC通过公网地址访问内网服务器的请求数据包到达做映射的网关路由器;
2)网关路由器将请求数据包中目的地址的公网IP替换成内网服务器私网IP,并记录到状态表,转发请求数据包给内网服务器;
3)内网服务器收到请求数据包,把回应公网用户PC数据包交给网关路由器;
4)网关路由器收到回应数据包,通过查找状态表返回给公网用户PC。
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
目的地址转换主要用于内部服务器以公网地址向外网用户提供服务的场景,可以指定特定的端口服务给公网用户访问,避免服务器直接全部暴露在公网,一定程度上可以保护服务器。
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
1)在【策略】-【地址转换】-【IPv4地址转换】点击【新增】;
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
2)在【新增NAT】中选择【目的地址转换】,配置原始数据包源为外网及地址,目的地址为AF外网接口相关IP,以及转换后数据包的内网服务器相关信息,放通策略默认选择后台放通ACL即可。
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
双向地址转换是指在一条地址转换规则中,同时包含源地址和目标地址的转换,匹配规则的数据流将被同时转换源IP地址和目标IP地址。
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
1)用户PC通过公网地址访问内网服务器的请求数据包到达做映射的网关路由器;
2)网关路由器将请求数据包中源地址替换成路由器的出接口IP,目的地址替换成内网服务器私网IP,并记录到状态表,转发请求数据包给内网服务器;
3)内网服务器收到请求数据包,把回应数据包交给网关路由器;
4)网关路由器收到回应数据包,通过查找状态表返回给用户PC。
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
双向地址转换主要用于内网有服务器通过域名提供给公网访问,内网其他电脑也需要通过域名直接访问内网服务器。
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
1)在【策略】-【地址转换】-【IPv4地址转换】点击【新增】;
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
2)在【新增NAT】中选择<双向地址转换>,配置原始数据包源为内外网及全部地址,目的地址为AF外网接口相关IP,转换后数据包的源地址转换为出接口地址以及内网服务器相关信息,放通策略默认选择后台放通ACL即可。
![深信服防火墙AF地址转换如何配置?]( "深信服防火墙AF地址转换如何配置?")
3、AF的源地址转换有两种模式分为动态转换和静态转换,动态转换是将多个源地址转换为一个地址,静态转换是一对一转换;
4、做目的地址转换或双向地址转换时,确保AF与内网服务器发布的端口能通信,而不是只要AF能ping通服务器就行。
5、做目的地址转换或双向地址转换时,确保运营商对映射出来的端口没有做封堵,验证方法可以在AF的外网接口抓包,看测试的源IP地址发起请求的数据包有没有到达外网接口。
原文始发于微信公众号(老五说网络):深信服防火墙AF地址转换如何配置?
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2627617.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论