晚上好,我的朋友们
在现在的网络环境中,防火墙的源 NAT,也就是(Source Network Address Translation)是非常重要的,因为我们的防火墙经常部署在出口,出口设备最重要的作用就是做源NAT,因为我们一般内网使用的都是私网地址,私网地址是无法访问互联网的,所以我们要做源NAT,转换内网的私网IP地址变成公网地址,从而实现了内网的用户可以访问互联网。
它的定义是什么呢?
今日文章阅读福利:《华为防火墙配置指南》
私信发送暗号“华为防火墙”,即可获取此份优质指南,提升你的技术水平。
定义
THINKMO
NAT叫做网络地址转换技术,源 NAT 是在数据包从内部网络(私有网络)向外部网络(如互联网)传输的时候,将内部网络源 IP 地址替换为合法的外部 IP 地址,这一转换过程不只是简单的地址替换,它还隐藏了内部网络的真实 IP 地址,也就是外部网络无法直接窥探内部网络的细节,增强了网络的安全性。
那么它是怎么工作的呢?
工作原理
THINKMO
NAT工作原理
当内部网络中的主机发起对外通信,例如一台 IP 地址为 192.168.1.10 的主机发送数据包到外部网络时,防火墙会迅速介入并拦截该数据包。随后,防火墙依据预先精心配置的源 NAT 规则,精准地将数据包中的源 IP 地址 192.168.1.10 替换为一个合法的外部公网 IP 地址,如 202.10.10.10。与此同时,防火墙会在内部记录下这一转换关系,形成一个会话表。
会话表的存在至关重要,当外部网络针对该请求返回响应数据包时,防火墙能够依据会话表将目的 IP 地址准确无误地转换回内部主机的原始 IP 地址 192.168.1.10,确保数据包能够正确地被内部主机接收,完成整个通信过程。
这是不是很奇妙,这样就能够让PC的私网地址变成公网地址,然后访问互联网,并且在外部网络看来仿佛是从防火墙的公网 IP 地址发出的请求,还有效地隐藏了真实的内部网络。
这个NAT地址池里的地址,是一个私网地址对应一个公网地址吗?
答案:不是的,我们可以配置多对一,也可以配置多对多,这样看你的应用场景。
应用场景
THINKMO
共享上网
无论是在家庭上网还是在办公室上网,源 NAT 功能都是很常见的,在网络环境中,可能存在电脑、手机、平板等,它们通过 Wi-Fi 连接到无线路由器,路由器利用源 NAT 功能,将这些设备的私有 IP 地址可以转换为广域网接口的公网 IP 地址,或者转换成NAT地址池中的公网IP地址。这样一来,这些设备就能够上网、看视频等等。
这种场景下,是不能一个人分配一个公网地址的,我们就要给他使用多对一的转换方式,节省了公网 IP 资源。
隐藏内部网络拓扑结构
NAT转换之后,原本的内网的真实 IP 地址隐藏起来了,攻击者网络扫描的时候,看到的仅仅是防火墙的公网 IP 地址,无法深入了解内部网络的实际架构和布局。这就增加了攻击者实施攻击的难度,增加了安全性。
配置要点
THINKMO
定义地址池
在防火墙上,你如果是转换出接口就不需要地址池,如果是有其他的公网 IP 地址,就需要将这些地址添加到地址池里,然后配置源 NAT 策略,之后命中这个NAT策略的流量,从地址池中选择 IP 地址来进行替换。
明确转换规则
规则要写的精确,确定哪些内部网络地址范围需要进行源 NAT 转换的操作,比如,规定来自192.168.1.0/24 网段的主机在访问外部网络时进行源 NAT 转换,同时,还需要确定转换的具体方式,是转换地址池中的地址,还是转换成出接口,这个要根据你的需要来设置。
最后说一下端口转换(PAT - Port Address Translation)
在多数场景中,源 NAT 往往会采用端口转换(PAT)的方式工作,因为如果是一对一的 IP 地址转换,那么当多个内部主机同时访问外网的时候,就会出现 IP 地址不够用的情况,而端口转换则能解决这一问题,它在转换内部主机 IP 地址的同时,将内部主机的端口号也进行转换。
例如,内部主机 A(IP 地址为 192.168.1.10)使用端口 1234 访问外部网站,内部主机 B(IP 地址为 192.168.1.11)使用端口 5678 访问同一个外部网站。防火墙通过源 NAT 和 PAT 技术,将它们转换为同一个公网 IP 地址(如 202.10.10.10),但端口号分别转换为不同的外部端口,比如 6000 和 6001,这样就能够清晰地区分来自不同内部主机的请求,确保网络通信的准确性和流畅性。