最近在研究安全测试相关的内容,安全测试和网络息息相关,网络中NAT又是一个重头戏。下面来详细整理了一些nat的基础内容:
- 简介
NAT(Network Address Translation)是一种地址转换技术,支持将报文的源地址进行转换,也支持将报文的目的地址进行转换。
- 分类
根据转换方式的不同,NAT可以分为以下三类:
1. 源NAT
2. 目的NAT
3. 双向NAT
分类 |
转换内容 |
是否转换端口 |
适合场景 |
||
源NAT |
转换源地址时不转换端口 |
源IP地址 |
否 |
适合公网IP地址数量充足的、仅有少量私网用户访问Internet场景。私网地址与公网地址一对一转换。 |
|
转换源地址时转换端口 |
源IP地址 |
是 |
适合大量的私网用户访问Internet场景。大量私网地址转换为少量公网地址。 |
||
目的NAT |
静态目的NAT(包括目的NAT策略和NAT Server):公网地址与私网地址一对一进行映射。 |
目的IP地址 |
可选 |
适用于通过一个公网地址访问一个私网地址或者多个公网地址访问多个私网地址的场景。 |
|
静态目的NAT(包括目的NAT策略和NAT Server):公网端口与私网端口一对一进行映射。 |
目的IP地址 |
可选 |
适用于通过一个公网地址的多个端口访问一个私网地址的多个端口的场景。 |
||
静态目的NAT(包括目的NAT策略和NAT Server):公网地址的多个端口与多个私网地址一对一进行映射。 |
目的IP地址 |
是 |
适用于通过一个公网地址的多个端口访问多个私网地址的场景。 |
||
静态目的NAT(包括目的NAT策略和NAT Server):多个公网地址与多个私网端口一对一进行映射。 |
目的IP地址 |
是 |
适用于通过多个公网地址访问一个私网地址的多个端口的场景。 |
||
动态目的NAT(包括目的NAT策略和基于ACL的目的NAT):公网的地址随机转换为目的地址池中的地址 |
目的IP地址 |
可选 |
适合公网地址与私网地址不存在固定的映射关系,公网的地址随机转换为目的地址池中的地址的场景。 |
||
双向NAT |
源NAT+静态目的NAT |
源IP地址+目的IP地址 |
可选 |
适合源和目的地址同时需要转换,且目的地址转换前后存在固定映射关系的场景。 |
|
源NAT+动态目的NAT |
源IP地址+目的IP地址 |
可选 |
适合源和目的地址同时需要转换,且目的地址转换前后不存在固定映射关系的场景。 |
- 几种nat转换的详细说明
1. NAT No-PAT
NAT No-PAT是一种NAT转换时只转换地址,不转换端口,实现私网地址到公网地址一对一的地址转换方式。适用于上网用户较少且公网地址数与同时上网的用户数量相同的场景。
NAT NO-PAT有两种:
(1)本地(Local)NO-PAT
本地NO-PAT生成的Server-Map表中包含安全区域参数,只有此安全区域的Server可以访问内网Host。
(2)全局(Global)NO-PAT
全局NO-PAT生成的Server-Map表中不包含安全区域参数,一旦建立,所有安全区域的Server都可以访问内网Host。
2. NAPT
NAPT是一种转换时同时转换地址和端口,实现多个私网地址共用一个或多个公网地址的地址转换方式。适用于公网地址数量少,需要上网的私网用户数量大的场景。
3. Smart NAT Smart NAT是No-PAT方式的一种补充。Smart NAT是一种可以在No-PAT的NAT模式下,指定某个IP地址预留做NAPT方式的地址转换方式。适用于平时上网的用户数量少,公网IP地址数量与同时上网用户数基本相同,但个别时段上网用户数激增的场景。
使用No-PAT方式时,进行地址池的一对一转换。随着内部用户数量的不断增加,地址池中的地址数可能不再能满足用户上网需求,部分用户将得不到转换地址而无法访问Internet。此时,用户可以利用预留的IP地址进行NAPT地址转换,然后访问Internet。
4. Easy IP Easy IP是一种利用出接口的公网IP地址作为NAT转后的地址,同时转换地址和端口的地址转换方式。对于接口IP是动态获取的场景,Easy IP也一样支持。
当FW的公网接口通过拨号方式动态获取公网地址时,如果只想使用这一个公网IP地址进行地址转换,此时不能在NAT地址池中配置固定的地址,因为公网IP地址是动态变化的。此时,可以使用Easy IP方式,即使出接口上获取的公网IP地址发生变化,FW也会按照新的公网IP地址来进行地址转换。
5. 三元组NAT 三元组NAT是一种转换时同时转换地址和端口,实现多个私网地址共用一个或多个公网地址的地址转换方式。它允许Internet上的用户主动访问私网用户,与基于P2P技术的文件共享、语音通信、视频传输等业务可以很好地共存。
三元组NAT有两种:
(1)本地(Local)三元组NAT 本地三元组NAT生成的Server-Map表中包含安全区域参数,只有此安全区域的Host可以访问内网Host。
(1)全局(Global)三元组NAT 全局三元组NAT生成的Server-Map表中不包含安全区域参数,一旦建立,所有安全区域的Host都可以访问内网Host。
FW支持Smart三元组NAT功能,可以根据报文的目的端口来选择分配端口的模式,在一定程度上提高公网地址的利用率。当报文的目的端口属于设置的端口范围之内,就采用NAPT模式来分配端口,如果报文的目的端口不属于设置的端口范围之内,则采用三元组NAT模式来分配端口。
参考链接:https://baijiahao.baidu.com/s?id=1603855949771492366&wfr=spider&for=pc