学完这篇,再不怕防火墙NAT策略问题

news2024/11/26 12:32:20

Q&A

1、配置了nat server后Tracert防火墙上的global地址,显示信息是什么?

无论具有Inside地址的设备在防火墙内部有多少跳,Tracert时全部显示nat server的global的地址。如果有3跳,则显示3次global地址。

2、nat server和destination-nat的主要区别是什么?

🔵 nat server配置后创建server-map表,destination-nat不创建。

🔵 nat server优先级高于destination-nat,首包到达防火墙后先进行nat server处理查server-map表,查不到server-map表的情况下,再进行destination-nat处理。

🔵 nat server不配置no-reverse的情况下,双向都能够nat转换,destination-nat只能单向NAT转换。

3、目的NAT的匹配顺序是什么?

FW版本目的NAT匹配顺序按buildrun显示顺序自上向下匹配,如果匹配到deny后跳过这条ACL继续向下匹配目的NAT。

4、是否支持对ESP报文做NAT?

PAT方式的NAT,不支持对ESP报文做NAT。NOPAT或NAT Server方式的NAT,支持对ESP报文做NAT。

5、配置NAT时什么情况下需要添加黑洞路由?

⚫ 配置NAT地址池地址和出接口IP地址不在同一网段时,必须将NAT地址池地址配置为黑洞路由。

⚫ 配置带端口的nat server,并且nat server的global地址跟出接口不在同一网段时,必须将nat server的global地址配置为黑洞路由。

防火墙配置NAT的时候添加黑洞路由的目的是防止以NAT地址池地址或nat server的global地址为目的地址的报文,防火墙查路由,仍向出接口发送,但防火墙下行设备认为该地址的目的路由在防火墙上,将报文又发回到防火墙,从而导致路由环路。

NAT地址池地址或nat server的global地址跟出接口IP地址在同一网段也可以配置黑洞路由,可以避免防火墙发起对NAT地址池地址或nat server的global地址的ARP请求报文,节省防火墙ARP资源。

6、FW是否支持nat server的global IP与所有接口IP均不在同一网段?

支持,防火墙对nat server的global IP没有做限制,只要防火墙上下行设备的路由正确即可,因为防火墙对于转发的报文先做目的地址的NAT转换(把nat server的global IP地址转换为inside IP地址),后查路由表。

7、FW是否支持查看报文命中nat server和NAT地址池进行转换的次数?

目前防火墙没有命令查看报文匹配nat server的次数。防火墙可以通过命令 display nat-policy rule all 查看报文匹配NAT策略的次数。

8、FW上NAT策略配置多条rule后按什么原则进行先后匹配?

按照rule在NAT策略中显示的先后顺序进行匹配,一旦命中,无论是no-nat还是nat都不会再继续匹配下去。

9、如何把NAT地址池和NAT Server的global地址路由发布出去?

通常在防火墙上配置了NAT地址池或nat server,需要把NAT地址池和nat server的global地址路由发布出去,使得报文能正确的转发到防火墙上。对于NAT地址池和nat server的global地址,通常有两种:
 

⚫ 和接口地址在同一网段,此时只需要把接口的地址路由发布出去就可以,发布方式有很多种,比如在上行设备引入直连路由发布出去等。

⚫ 和接口地址不在同一网段,此时发布NAT地址池和nat server的路由,不能通过在ospf中添加network的方式实现,因为NAT地址池和nat server的global地址网段对于OSPF来说是down的,所以OSPF是不会发布相应路由出去的,此时可以在防火墙上配置NAT地址池的地址或者是nat server的global地址的黑洞路由,然后通过在OSPF中引入静态路由的方式实现。如果在防火墙的上行设备上直接配置静态路由指向防火墙的接口,就更加简单。

10、一个公网地址如何实现突破65535端口限制转换无限私网地址?

防火墙采用的是5元组(源端口,源地址,目的地址,目的端口,协议号)建立和查找session表。所以即使公网地址+公网端口出现重复,只要目的地址或目的端口不一样,防火墙就能够查找到正确的session表,转发相应的报文。在防火墙上使用NAT策略做NAT时,对于不同的流,可以出现NAT转换后的IP和端口都相同的情况。

11、是否可以使用接口IP地址做NAT Server或源NAT策略转换?

可以。
 

⚫ 如果NAT Server的global IP使用接口IP地址:在报文访问防火墙时,会先对报文进行目的地址的NAT转换,访问该接口IP地址的报文始终被替换成访问NAT Server的inside地址,导致无法访问该接口,一些常用的针对该接口进行的ping探测、WEB管理、Telnet管理等会出问题,所以应该避免使用接口地址做NAT Server的全局global IP,可以使用基于协议的nat server,但是要避免与访问防火墙本身需求相冲突。

⚫ 如果使用接口IP做源NAT策略:当主动访问防火墙接口IP地址时,该报文走首包流程,可以直接访问该接口IP,不受源NAT策略配置影响。

注意:nat sever和nat outbound一起配置时,nat server优先级高于nat outbound,即报文先匹配nat server。

12、地址转换和代理(Proxy)的区别是什么?

地址转换技术和地址代理技术有很类似的地方,都是提供了私有地址访问Internet的能力。
 

但是两者是有区别的,它们区别的本质是在TCP/IP协议栈中的位置不同。地址转换是工作在网络层,而地址代理是工作在应用层。地址转换对各种应用是透明的,而地址代理必须在应用程序中指明代理服务器的IP地址。例如使用地址转换技术访问Web网页,不需要在浏览器中进行任何的配置。而如果使用Proxy访问Web网页的时候,就必须在浏览器中指定Proxy的IP地址,如果Proxy只能支持HTTP协议,那么只能通过代理访问Web服务器,如果想使用FTP就不可以了。因此使用地址转换技术访问Internet比使用Proxy技术具有十分良好的扩充性,不需要针对应用进行考虑。
 

但是,地址转换技术很难提供基于“用户名”和“密码”的验证。在使用Proxy的时候,可以使用验证功能,使得只有通过“用户名”和“密码”验证的用户才能访问Internet,而地址转换不能做到这一点。

13、FW是否支持透明模式下(业务接口工作在交换模式)的源NAT的配置?

支持,但只支持采用地址池中的地址做为转换后的源地址,不支持采用出接口地址做为转换后的源地址。

14、配置NAT和VPN功能同时工作时有什么注意事项?

NAT和VPN功能同时工作时,请您精确定义NAT策略的匹配条件,确保NAT功能不会将原本是需要进行VPN封装的数据流做地址转换。

15、NAT地址池中的地址是否必须为连续的地址?

否。
 

NAT地址池是由“起始地址”和“结束地址”划定的一段IP地址范围,使用排除地址功能可以排除这个IP地址范围内某些特殊的IP地址。因此NAT地址池中的地址不一定是连续的地址。
 

另外,“起始地址”和“结束地址”也可以相同,此时NAT地址池中只有一个地址。

16、配置源NAT策略时,安全策略中指定的源地址是转换前的还是转换后的地址?

配置源NAT策略时,安全策略中指定的源地址是转换前的地址。

设备对报文进行地址转换时,先查找域间的安全策略,只有通过安全策略检查,并且命中了域间NAT策略中定义的匹配条件的报文才会进行地址转换。因此域间安全策略中指定的源地址为转换前的地址,即私网地址。

17、配置NAT Server时,安全策略中指定的目的地址是转换前的还是转换后的地址?

配置NAT Server时,安全策略中指定的目的地址是转换后的地址。

设备收到匹配上Server-Map表的报文后,先转换报文的目的地址,然后再检查安全策略,因此安全策略中指定的目的地址为转换后的地址,即私网地址。

18、内部网络的用户如何通过公网地址访问位于同一安全区域内同一网段的内部服务器?

首先配置一条源NAT策略,其源安全区域和目的安全区域均为用户和内部服务器所在的安全区域,将内网用户的源IP地址转换为公网IP地址。然后再配置一条NAT Server,将去往服务器公网地址的报文目的IP地址转换为私网地址。

19、设备在关闭状态检测功能后是否还支持地址转换功能?

关闭状态检查功能后,设备可以支持地址转换功能。

20、三元组NAT为什么要使用源HASH选板模式?

因为三元组NAT是端口独占的NAT,因此在分配公网端口时需要保证分配的公网端口是唯一的。如果使用源+目的HASH模式,会导致内网会话HASH到不同的CPU,此时如果要保证公网端口的唯一性就要同其他的CPU去协商,不仅实现困难,实现起来之后也会耗费大量设备资源,上网体验也不好。

21、NAT统计多久一次?

缺省情况下,NAT地址池统计周期为30分钟。

⚫ 可通过命令nat statistics interval,修改NAT地址池统计周期。

⚫ 可通过命令display nat statistics information,查询当前设备的统计周期值设置为多少。

22、为啥V500R001C20版本执行多次相同global ip和inside ip不同port的NAT Server时会报“Error: This inside address has been used.”?

当在V500R001C00、V300R001、V100R001版本上执行多次相同global ip和inside ip不同port的NAT Server时,配置可以直接下发,因为相同global ip和inside ip生成的reverse server-map都是相同的,但是V500R001C20及其之后版本开始在配置时做了校验,同一个inside ip第一条nat server允许下发,从第二条开始会进行校验,如果发现是同一个inside ip会不允许下发,需要加上no-reverse参数,尽管加了no-reverse,但是效果还是一样的。另外,设备启动配置恢复阶段,V500R001C20及其之后版本也不会对此进行校验,从老版本升级上来是可以配置恢复成功的,仅仅是手工配的时候会进行这个校验。

23、终端选定一个NAT公网地址后,后续的来自相同客户端的数据能够采用相同的NAT地址进行转换吗?

可以,PAT模式下,只要不改变地址池的地址,会以相同的HASH方式进行HASH,最后会HASH到同一个地址上面

——————————END——————————

来源:华为官方文档。更多网络知识分享,请关注技福小咖!感谢帮忙点赞分享,您的支持是我们最大的动力!

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/83807.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

艾美捷CMRL-1066培养基背景和化学性质分析

艾美捷CMRL-1066培养基背景: CMRL-1066是20世纪60年代后期在康诺医学研究实验室开发的一种化学定义的培养基。CMRL-1066最初设计用于非补充培养物中的小鼠L细胞。虽然CMRL-1066是为无血清培养而开发的,但它可以补充血清并用于支持多种细胞类型的生长。适…

[激光原理与应用-50]:《激光焊接质量实时监测系统研究》-1-绪论 (模式识别)

目录 1.1 问题概述 1.2 激光焊接质量监测在国内外的研究现状 1.2.1 国内外研究概况、水平和发展趋势 1.2.2 信号检测与传感器 1.2.3 信号分析与缺陷诊断 (DSP或FPGA) 1.3 本课题研究内容及意义 后记: 1.1 问题概述 激光焊接是一种高效…

YOLO v3

参考 YOLO v3 - 云社区 - 腾讯云 摘要 我们对YOLO进行了一些更新!我们做了一些小的设计改变使它更好。我们还训练了这个非常棒的新网络。比上次大一点,但更准确。不过还是很快的,别担心。在320 320的情况下,YOLOv3在28.2 mAP下…

跳板攻击中如何追踪定位攻击者主机(上)

前段时间西北工业大学遭受NAS攻击事件中,TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器,主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家,其中70%位于中国周边国家,如日本、韩国等。 同时&#x…

芯片漫游指南(3)-- UVM通信

目录1.TLM通信1.1 概述1.2 基本概念1.3 分类1.4 端口的使用2. 单向通信2.1 概念2.2 方法2.3 示例3.双向通信3.1 概述3.2 分类3.3 transport4. 多向通信4.1 概述4.2 示例5.通信管道5.1 概述5.2 TLM FIFO5.3 Analysis Port5.4 analysis TLM FIFO5.5 request & response通信管…

[附源码]JAVA毕业设计疫情防控期间人员档案追演示录像下(系统+LW)

[附源码]JAVA毕业设计疫情防控期间人员档案追演示录像下(系统LW) 项目运行 环境项配置: Jdk1.8 Tomcat8.5 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持&#x…

Springboot内置的工具类之ObjectUtils

在实际业务开发中,有时候经常需要判断对象是否为空、数组是否为空、两个对象是否相等,数组中是否包含某个元素,往数组中追加元素等这些操作,每次都手写太麻烦,然后很多人的选择是封装成util工具类,实际上类…

Golang protobuf

文章目录protobuf 和 grpc 的区别下载工具 protoc为什么要使用 protocprotoc 基本语法基础用法结构体声明protoc生成结构体服务声明生成服务使用生成的服务端使用生成的客户端protobuf 和 grpc 的区别 grpc 是开源的rpc框架 protobuf是编码协议下载工具 protoc https://githu…

人工神经网络/ANN简介

目录 前言 1.什么是训练集、测试集和验证集? 2.人工神经网络和 生物神经元结构对应的理解 3.什么是梯度下降法,在神经网络上如何用于调节权重? 4.为什么神经网络要进行归一化处理? 5.激活函数的形式: 6.NN分类 …

序列模型(自回归模型,马尔可夫模型,因果关系)

李沐老师《动手学深度学习 PyTorch版》课程,小破站也有视频51 序列模型【动手学深度学习v2】_哔哩哔哩_bilibili 主要参考8.1. 序列模型 — 动手学深度学习 2.0.0 documentation 目录 1.基本原理 1.1自回归模型 1.2马尔可夫模型 1.3因果关系 2.训练 3.预测 4…

CMake中link_directories/target_link_directories的使用

CMake中的link_directories命令用于添加目录使链接器能在其查找库(add directories in which the linker will look for libraries),其格式如下: link_directories([AFTER|BEFORE] directory1 [directory2 ...]) 添加路径使链接器应在其中搜索库。提供给…

【云计算与大数据技术】数据分片哈希算法、路由算法、复制算法的讲解(图文解释 超详细)

一、大数据的存储问题 随着结构化数据量和非结构化数据量的不断增长,以及分析数据来源的多样化,之前的存储系统设计已经无法满足大数据应用的需求,对于大数据的存储,存在以下几个不容忽视的问题 容量 - “大容量”通常是指可达P…

Python+Qt相片更换背景颜色窗体程序

程序示例精选 PythonQt相片更换背景颜色窗体程序 如需安装运行环境或远程调试,见文章底部微信名片,由专业技术人员远程协助! 前言 QTPython是非常经典的窗体编程组合,功能完善,可视化界面美观易维护,这篇博…

fpga实操训练(按键输入)

【 声明:版权所有,欢迎转载,请勿用于商业用途。 联系信箱:feixiaoxing 163.com】 在fpga上面进行按键的输入,要比stm32编写按键输入要容易的多。这里面最主要的工作就是把led输出和按键输入绑定在一起。当然&#xff0…

MySQL MVCC

1.隔离级别 1.1.理论 1.1.1.序列化(SERIALIZABLE) 如果隔离级别为序列化,则用户之间通过一个接一个顺序地执行当前的事务,这种隔离级别提供了事务之间最大限度的隔离; 1.1.2.可重复读(REPEATABLE READ,MySQL默认的隔离级别) 在可重复读在这一隔离级别上,事务不会被看成是一…

代码随想录刷题记录 day42 打家劫舍 1 2 3

代码随想录刷题记录 day42 打家劫舍 1 2 3 参考:代码随想录 198. 打家劫舍 思想 1.dp[i]表示偷取[0,i]房间内获取的最高的金额 2.递推公式 偷取第i号房间时的价值 dp[i]dp[i-2]nums[i]; 不偷取第i号房间时的价值 dp[i]dp[i-1] 所以递推公式 dp[i]Math.max(d…

【Linux】一文简单了解操作系统在硬件中的作用,解析操作系统是做什么的?

目录前言一.操作系统的介绍二.计算机软件体系结构接口各层接口三.操作系统做什么1.不要让CPU打盹多道程序分时系统多任务系统2.设备驱动操作系统对软硬件进行合理的管理,以达到为上层用户提供良好的,稳定的,安全的运行环境的目的!…

AppScan使用教程

一、安装 IBM AppScan 该产品是一个领先的 Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-i…

多时点DID实证流程笔记(Aggregate Effects from Public Works: Evidence from India)

文章、数据及stata代码来源: 链接:https://pan.baidu.com/s/1nBvlYGXkV7ednEx93ge1ZQ 提取码:vs5q本文进行的平行趋势检验、异质性检验均与大部分中文文献的处理方式不同,以及Bacon分解的方法对交叠did的潜在偏误进行诊断的做法也是比较新颖的。另外&a…

林业数字孪生打造实时树木“管家”

数字孪生是物联网、人工智能、虚拟现实、云计算等技术高度融合的综合性集成技术,主要目的是进行数字模型的智能分析、预测,为实体提供决策支持。林业数字孪生应用是智慧林业的具体实现手段,服务于智慧林草的业务需求,从而实现实体…