不可不知的NAT网关的防火墙功能

本文涉及的产品
应用型负载均衡 ALB,每月750个小时 15LCU
网络型负载均衡 NLB,每月750个小时 15LCU
全球加速 GA,每月750个小时 15CU
简介: NAT网关的基于状态的SNAT功能是可以对内部服务器提供安全防护功能的,正确的使用NAT网关可以构筑更安全的云上网络。

防火墙扫盲

    之前在没学网络的时候,认为防火墙真的是可以防火的墙。10多年前还有不少人问,防火墙多少钱一个平方。

TB1Kf6mdwMPMeJjy1XdXXasrXXa-657-347.png

    但现在大家都知道,防火墙是用来防黑客的,是内部网络和外部网络的分界,是用来保护内部服务器和网络的,是一种信息安全防护系统。

TB1cL6mdwMPMeJjy1XdXXasrXXa-865-222.png

图片来源:https://www.tunnelsup.com/what-is-a-firewall/

    防火墙有几个最重要的特征:

    1. 部署在内部网络和外部网络之间。这个和建筑上的防火墙真的很类似,也是叫Firewall的原因。

    2. 提供基于状态的安全防护。这个描述很专业,也最恰当的描述了防火墙的本质。最开始的防火墙是基于路由器的访问控制列表ACL实现的包过滤防火墙,之后逐步发展和演进为基于状态的防火墙。所谓的状态浅显的讲就是说防火墙会维护一个源IP,目的IP,源端口,目的端口,协议的五元组的连接状态,只有在防火墙上建立起来连接会话状态的报文才会会放行,否则一律丢弃。这是一种很强的防御能力。

    防火墙一般情况下是一个安全加固的产品,没有防火墙业务也可以跑起来。就像是小区没有门禁和保安其实也不影响小区的正常使用,但也意味着坏人可以随意的进出,安全风险很大。所以一般上一些规模的用户都会考虑部署防火墙。

NAT网关的防火墙功能

    在VPC网络中,有一个企业级的产品叫NAT网关,这个NAT网关中有两个重要的功能一个是SNAT,一个是DNAT。SNAT其实就是一个基于状态的安全防护功能,可以当一个简易的防火墙使用。

TB1QL6mdwMPMeJjy1XdXXasrXXa-1131-772.png

    当部署完NAT网关后,外部设备3如果想主动访问内部服务器1的话,在NAT网关上会把外部设备3的访问请求拒绝掉,把报文丢弃。因为外部设备3的公网IP 3.3.3.3在NAT网关的SNAT状态表中不存在。

    但内部服务器1可以主动访问外部设备2,当内部服务器1对外访问的第一个报文到达NAT网关时,NAT网关会记录下会话状态。假设内部服务器1通过80端口访问外部服务器2的80端口,此时NAT会把五元组信息记录下来并保持状态信息。之后如果外部服务器2以80端口,访问内部服务器1的80端口,此时NAT网关会接受访问请求,并将报文转发到内部服务器。但如果外部服务器2以8080端口访问内部服务器1的80端口时,此时这个访问请求也会被丢弃,因为在SNAT状态表中没有对应五元组的状态连接信息。

    上面的描述就是典型的基于状态的安全防护功能,不允许外部的用户或设备主动访问内部的服务器。只允许内部服务器主动访问外部服务器后并建立起连接状态后,外部服务器才能和内部服务器通信。

    所以NAT网关在使用中是可以当一个功能简单的防火墙使用的,可以把后端的服务器隐藏到NAT网关后面,不会被黑客扫描到,也不会轻易的被黑客攻击。

最佳实践

    举个最佳实践的例子,很多部署在云上的在线支付系统都会调用支付宝的支付接口。而在线支付系统的安全性一般要求是特别高的,不能轻易的被黑客扫描到,不能轻易的被黑客攻击。在这种场景下,用户会选择在VPC网络中部署NAT网关。当前在线支付系统有调用支付宝支付接口的需求时,会通过NAT网关出公网。此时NAT网关会记录调用请求的状态信息。NAT会检查收到的IP报文,只有IP报文的源IP,源端口号,目的IP,目的端口号,协议类型这五元组信息和SNAT状态表中的连接信息相匹配时。NAT网关才会将报文转发到内部支付系统,否则接收到的报文一律丢弃。

   


目录
相关文章
|
3月前
|
前端开发 JavaScript Java
SpringCloudGateway网关服务实现文件上传功能
SpringCloudGateway网关服务实现文件上传功能
220 6
|
4月前
|
机器学习/深度学习 安全 算法
应用级网关防火墙
【8月更文挑战第17天】
130 4
|
25天前
|
前端开发 JavaScript Java
SpringCloudGateway网关服务实现文件上传功能
SpringCloudGateway网关服务实现文件上传功能
54 9
|
1月前
|
存储 网络协议 安全
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
83 2
|
1月前
|
前端开发 JavaScript Java
SpringCloudGateway网关服务实现文件上传功能
SpringCloudGateway网关服务实现文件上传功能
53 1
|
4月前
|
监控 Cloud Native 容灾
核心系统转型问题之API网关在云原生分布式核心系统中的功能如何解决
核心系统转型问题之API网关在云原生分布式核心系统中的功能如何解决
|
5月前
|
监控 安全 网络安全
|
4月前
|
安全 网络安全 数据安全/隐私保护
手把手教你用eNSP模拟器配置防火墙源NAT
手把手教你用eNSP模拟器配置防火墙源NAT
469 4
|
4月前
|
监控 安全 网络安全
IPSEC 与防火墙:功能与优势比较
【8月更文挑战第24天】
105 0
|
5月前
|
监控 网络安全 定位技术

相关产品

下一篇
DataWorks