防火墙之NAT,智能选路篇

news2024/11/13 21:28:32

什么是NAT?   网络地址转换

1.静态NAT(static NAT)(静态一对一映射):设置起来最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。多用于服务器场景。

2.动态NAT(pooled NAT)(基于地址池一对一映射(NO-PAT)):在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。多用于网络中的工作站场景。动态NAT和静态NAT在地址转换上很相似,只是可用的公有IP地址不能被某个私有网络的计算机永久独自占有。

3.动态NAPT(Network Address and Port Translation)(基于地址池多对一映射):PAT的NAT设备用一个私网IP地址映射到公网IP地址的不同端口上,从而让多台设备使用一个公网IP地址上网。

4.Easy IP:是NAPT的一种简化。Easy IP是一种网络地址转换技术,它可以帮助隐藏真实的IP地址,防止网络活动被监视或个人信息被黑客窃取。Easy IP的工作原理与NAPT相同,同时转换IP地址和传输层端口,但与NAPT不同的是,Easy IP没有地址池的概念,而是使用接口地址作为NAT转换的公有地址。Easy IP主要应用于通过路由器WAN接口IP地址作为要被映射的公网IP地址的情形,特别适合小型局域网接入Internet的情况。这里的小型局域网主要指中小型网吧、小型办公室等环境,一般具有以下特点:内部主机较少、出接口通过拨号方式获得临时(或固定)公网IP地址以供内部主机访问Internet。

5.端口映射:在路由器中以“IP地址+端口号”形式,将内网IP地址及端口号固定地址转换为外网IP地址及端口号,适用于允许外网用户访问内网计算机特定服务的场景中。

可以将IP基于源或者目标进行转换。

源NAT --- 基于源IP地址进行转换,包含静态NAT,动态NAT以及NAPT

目标NAT --- 基于目标IP地址进行转换,以前的端口映射

双向NAT --- 同时转换源IP地址和目标IP地址

在模拟器上创建NAT策略

源NAT:

多对多的NAPT

配置黑洞路由就是会使公网地址池中的地址都生成一条指向其自身的空接口,这里主要是为了 应对公网地址和出接口地址不在同一个网段的情况,因为在这种情况下,如果公网用户访问地 址池中的公网地址,将可能造成环路,所以,需要通过空接口防环;如果公网地址池地址和出 接口在同一个网段,也可以勾选该选项,这种情况下虽然不会出现环路,但是,有了这个黑洞 路由,可以减少ARP报文的出现;

其实也就是空接口。

注意:源NAT是在安全策略之后执行转换

           目标NAT是在安全策略之前执行转换

(都是针对NAPT技术)

五元组NAT --- 通过源IP,源端口,目标IP,目标端口,协议五个参数来标定一次NAT的转 换,如果任何一个参数发生变化,都需要更换端口来进行转换。

三元组NAT --- 仅识别源IP,源端口和协议三个参数来区分一次NAT的链接

端口预分配---可以设定端口转换使用的端口范围 源IP地址数量限制---可以设定一个公网IP地址转换的源IP地址的数量,比如设置为1,则公 网IP地址在会话表老化之前,只能针对一个源IP地址进行转换

保留IP地址---- 可以将不需要使用的公网IP地址放置在保留IP地址中,则在进行转换的时候, 不会使用该地址转换

目标NAT:

这里的安全区域是指外部的区域

双向NAT:

 双向NAT是一种同时转换报文的源地址和目的地址的技术

什么情况下会用到双向NAT呢?

用户通过公网IP(G1/0/0上的IP)访问内网的服务器。

如果没有用双向NAT,用了端口或者一对一NAT对应内网的服务器。

会出现什么?

用户先来到防火墙上,由于做了基于目标的一对一NAT,在访问公有IP后,防火墙将流量发送给服务器,但是数据包的源IP不是防火墙,而是用户的IP, 数据来到服务器后,服务器发现是同一个网段,直接就通过交换机给用户了,用户发现目标IP不一样,不要该数据包。就通信失败。

但是在开启双向NAT之后:

不仅将G1/0/0/(公有IP)转换成了内网服务器。还将用户IP转换成出接口IP,这样内网服务器收到的源IP就不是用户的,而是防火墙上的。(如果是出接口配置,那么就是出接口的地址g1/0/1)

这样,内网服务器就会将包发给防火墙,而不是直接给用户,防火墙收到后通过地址转换给内网用户。通信成功。

多出口NAT

源NAT

1,将不同的接口放置在不同的区域中,基于区域做NAT策略

2,将不同的接口放在同一个区域,基于接口做NAT策略

目标NAT

1,可以分区域配置两个服务器映射

2,也可以是同一个区域。注意,如果是同一个区域,不能将两条服务器映射策略同时 开启“允许服务器访问公网(因为service-map表会自动生成源NAT的记录,如果有两个记录,就可能出两个出口出去,然后回包的时候,如果出去的源IP和回来目的IP的不一样,状态检测不通过,建立不了会话表,那么可能会导致业务中断)

智能选路

1.就近选路

根据访问的节点所在的运营商选择对应的运营商线路

2.策略路由 

策略路由其实也是一种策略,他不仅可以按照现有的路由表进行 转发,而且可以根据用户指定的策略进行路由选择的机制,从更多维度决定报文是如何 转发的

如果没有配置监控,则匹配上策略路由的流量发现下一跳不可达,则将直接丢弃数据 包;如果可开启了检测,检测发现目标下一跳不可达,则将使该策略不生效,则直接不 匹配流量,数据包将直接走路由表

3.全局选路策略

4.DNS透明代理

一般来说,企业的客户端上都只能配置一个运营商的DNS服务器地址,DNS服务器通常会将域名解析成自己所在ISP内的Web服务器地址,这将导致内网用户的上网流量都集中在一个ISP的链路上转发,最终可能会造成链路拥塞,影响用户的上网体验。同时,由于其他ISP的链路资源没有被使用,也造成了资源的浪费。

为了解决上述问题,可以使用DNS透明代理功能。防火墙配置DNS透明代理功能后,对于命中DNS透明代理策略的DNS请求报文,防火墙会根据DNS请求报文选择的出接口,修改请求报文的目的地址(DNS服务器地址),即将其修改为其他ISP内的DNS服务器地址,DNS请求被转发到不同的ISP,解析后的Web服务器地址也就属于不同的ISP,所以上网流量将通过不同的ISP链路转发,充分利用了所有链路资源。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1926263.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

mavsdk_server安卓平台编译

1.下载好mavsdk并进入mavsdk目录 2.生成docker安卓平台文件 docker run --rm dockcross/android-arm64 >./dockcross-android-arm64 3.生成makefile ./dockcross-android-arm64 cmake -DCMAKE_BUILD_TYPERelease -DBUILD_MAVSDK_SERVERON -DBUILD_SHARED_LIBSOFF -Bbuild/…

Study--Oracle-07-ASM自动存储管理(二)

一、ASM安装准备条件 1、ASM支持存储类型 本地祼设备(本地的磁盘和分区) 网络附加存储(NAS) 存储区域网络(SAN) 2、ASM使用本地裸设备,要点: 已经被挂载到操作系统上或者已经做了分区 映射裸设备为文件名 设置正确的权限(针对grid用户和asmadmin组,权限为660) 二、OR…

如何用AI做副业?

无论是打工,还是创业,赚钱才是硬道理,拥有可持续的「睡后收入」才是我们孜孜不倦追求的目标。 一、职业四象限 1、E象限(雇员象限)、帮别人挣钱 E象限是雇员象限。别人给我们发工资,我们帮别人挣钱。这是风…

建立数据通路(三)

PC寄存器 背景 有了时钟信号,可以提供定时输入。有了D型触发器,可以在时钟信号控制的时间点写入数据把这两个功能组合起来,就可以实现一个自动计数器 程序计数器 加法器的两个输入,一个始终设置成1,另外一个来自于一…

关于Qt Creator 使用Qt Quick的Design模式设置

关于使用Qt Quick的Design模式设置: 如描述所言: 如果使用Design模式打开qml文件失败显示如下: 首先确认自己是否安装了Qt Design Studio 如果安装了仍然不显示,则需要勾选下面三个地方才能用Design模式打开.ui.qml文件&#…

Hologres+Flink企业级实时数仓核心能力介绍

讲师:骆撷冬 Hologres PD 随着业务发展,业务对于时效性的要求在逐渐提升。各种场景都需要实时,例如春晚实时直播大屏、双11 GMV实时大屏、实时个性化推荐等等多种场景,都对数据的时效性有着非常高的要求。随着实时需求的发展&…

【技术追踪】使用去噪扩散型进行 3D 血管图生成(MICCAI-2024)

graphs 图也可以用 diffusion 耶~ 本文提出了第一个去噪扩散模型在 3D 血管图生成中的工作,其是新颖的两阶段生成方法,依次对节点坐标和边进行去噪,在生成多样化、新颖且解剖学上合理的血管图方面性能表现出色。 论文:3D Vessel G…

pg-存储过程

1.概念和优势 2.代码块结构 do end之间俩个$$ declare用来声明定义变量,begin用来运行赋值 notice输出 3.变量使用

java语法(分支,方法,递归);Debug使用

java语法 x 操作符 ->分支&#xff0c;循环&#xff0c;方法 分支 条件的三种if if if…else… public class IfDemo01 { public static void main(String[] args) { int a 3; final int DAY 3; if(a<DAY){ }else if (a<…

c语言中的字符串函数

strstr函数 函数介绍 strstr 用于在一个字符串中查找另一个字符串的首次出现。 我们来看这个函数的参数名字&#xff1a;haysytack&#xff08;干草堆&#xff09;needle&#xff08;针&#xff09;,这个其实就是外国的一句谚语&#xff1a;在干草堆中找一根针&#xff0c;就…

关于机械键盘的购买,该怎么选择?

一.关于轴体的选择。 1.青轴&#xff1a;青轴是机械键盘最有段落感的轴&#xff0c;声音比较大&#xff0c;以吵死人别人著称。有人将其比喻为Cherry的春天&#xff0c;爽快清脆的段落感如春天般舒畅。适合在宿舍、咖啡厅&#xff0c;图书馆使用。&#xff08;我装的 &#xf…

链表的回文结构(链表的中间节点+反转链表)

链表的回文结构 一.链表的中间节点思路1&#xff1a;暴力求解思路2&#xff1a;快慢指针 二.返回倒数第k个节点思路1&#xff1a;暴力求解思路2&#xff1a;快慢指针 三.反转链表思路1&#xff1a;头插法思路2&#xff1a;反转指针的指向 四.链表的回文结构思路1&#xff1a;利…

阿里云搭建vps服务器的过程

最近突发奇想想要搭建一个阿里云的的vps服务器&#xff0c;下面是搭建的过程&#xff1a; 首先&#xff0c;登录阿里云网站&#xff1a; 搜索&#xff0c;esc控制台&#xff1a; 点击创建实例&#xff1a; 选择地区&#xff1a; 选择实例规格&#xff1a; 选择镜像&#x…

【论文速读】| JADE:用于大语言模型的基于语言学的安全评估平台

本次分享论文&#xff1a;JADE : A Linguistics-based Safety Evaluation Platform for Large Language Models 基本信息 原文作者&#xff1a;Mi Zhang, Xudong Pan, Min Yang 作者单位&#xff1a;Whitzard-AI, System Software and Security Lab Fudan University 关键…

Vue3学习体验(一)

搭建工程 使用vue-cli脚手架创建vue3工程 vue create vue3-app-vue-cliVue-cli官网&#xff1a;https://cli.vuejs.org/zh/guide/installation.html 使用vite搭建vue3工程 npm init表示临时的下载vite应用来创建vue3工程&#xff0c;工程名称为vue3-app-vite npm init vit…

Vue3 markRaw的使用

markRaw 作用:将一个对象标记为不可以被转化为代理对象。返回该对象本身。 应用场景: 1.有些值不应被设置成响应式时,例如复杂的第三方类库等 2.当渲染具有不可变数据源的大列表时,跳过响应式转换可以提高性能 3.在动态渲染组件的时候我们就可以使用 markRaw 包裹。markRaw 的…

Redis 7.x 系列【23】哨兵模式

有道无术&#xff0c;术尚可求&#xff0c;有术无道&#xff0c;止于术。 本系列Redis 版本 7.2.5 源码地址&#xff1a;https://gitee.com/pearl-organization/study-redis-demo 文章目录 1. 概述2. 工作原理2.1 监控2.2 标记下线2.3 哨兵领袖2.4 新的主节点2.5 通知更新 3. …

jvm 07 GC算法,内存池

01 垃圾判断算法 1.1引用计数算法 最简单的垃圾判断算法。在对象中添加一个属性用于标记对象被引用的次数&#xff0c;每多一个其他对象引用&#xff0c;计数1&#xff0c; 当引用失效时&#xff0c;计数-1&#xff0c;如果计数0&#xff0c;表示没有其他对象引用&#xff0c;…

【YOLO系列】快速部署YOLOv5(Windows)

引言 在计算机视觉领域&#xff0c;目标检测是至关重要的任务之一&#xff0c;它涉及识别图像或视频中的对象&#xff0c;并将其分类和定位。近年来&#xff0c;**YOLO&#xff08;You Only Look Once&#xff09;**算法因其速度与精度的平衡而变得非常流行。在这篇博文中&…

【触摸屏】【红十字会学习系统】功能模块:视频 + AI拍照合成

项目背景 提升公众急救能力&#xff1a;确保每个人都能在紧急情况下采取正确的急救措施&#xff0c;减少伤害&#xff0c;挽救生命。培养人道主义价值观&#xff1a;通过教育和培训&#xff0c;传播红十字精神&#xff0c;促进社会对弱势群体的关注与支持。建立社区响应网络&a…