华为防火墙NAT与NATserver情况下server-map生成情景与解释

已于 2022-03-16 09:27:48 修改
阅读量4.1k 收藏 27
点赞数 3
CC 4.0 BY-SA版权
分类专栏: HCIA/HCIP sercurity 文章标签: 网络
于 2022-03-15 23:28:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47529104/article/details/123512238
本文详细解析了PAT、no-PAT、smartNAT、三元组NAT、NATALG及目的地址转换等NAT技术中server-map的作用,强调了server-map在加快NAT速度和协议处理中的区别。关键词:PAT、NAT转换、server-map、NAT类型、NATALG、地址映射

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PAT

这种情况下的NAT地址转换是不会生成对应的server-map表项的,其主要原因是因为PAT的nat地址转换会不断地进行端口的复用,在不断的地址转换的过程中内网主机可能在一次通信的过程中源端口就在不断动态的变化,这就使得即便我们想要强行地记录对应的server-map表项也显得那么的多余,因为可能上一秒使用了该端口,下一秒就变成了其他的端口。

no-PAT

这种情况下会生成对应的server-map表项,因为这种地址转换是和内网主机进行一对一的地址变换,所以防火墙能够准确的知道内网主机和公网地址之间的映射关系,所以在这种nat的情况下记录server-map来减少安全策略的匹配是一种十分不错的做法,因为一方面可以减少安全策略的检索带来的速率降低,从而还能加快NAT的速度。no-PAT的nat总共生成两条server-map的记录,一条是永不衰减的反向server-map,用于外部主机向内网主机的访问,记住这个server-map表和FTP多通道协议的server-map表的功能是不一样的,这个server-map表主要功能是加快地址的转换,地址转换后我们还需要对转换后的地址进行安全策略的匹配。对于FTP多通道协议这类的server-map,它们的主要功能是放行相对应的流量。

smart NAT

这种NAT转换由一个多个一对一的公网地址和一个一对多的公网地址组成的地址池来实现的,当一对一的NAT使得公网地址消耗完了之后,就会进行一对多的地址转换,即NAPT的转换。因为在这种NAT地址转换的情景下出现了一对一的地址转换,所以同样也会针对一对一的地址转换生成server-map表项

三元组NAT

可以这么理解三元组NAT,我们的内网在与外网的主机进行通信的时候,如果使用的是NAPT的话,端口会不断地进行复用和变化,但是如果是三元组NAT的话,会根据你的会话生成一段时间的server-map表,这个表项记录了你本次会话经过地址转换后的IP和端口,于是在一段时间内这个会话会进行保持,也就是说你的会话在后续在经过NAT转换的时候使用的都是先前的公网IP和端口,而不会进行相对应的改变,由此来实现端口一致性,且因为有server-map表的存在,外网的主机还可以在这个server-map的存活时间内使用先前会话的目的IP和端口与该内网主机再次通信。这个三元组的server-map和no-PAT的server-map的功能又不同,它是直接放行相对应的IP与端口之间的联系,不需要安全策略的检查。

NAT ALG

NAT ALG的主要作用就是为了处理某些协议在运作的时候因为地址转换后而出现问题,比如FTP,假设内网的主机已经和外网的主机进行了控制通道的建立,当内网主机想要从外网FTP服务器获取数据的时候,内网主机发送port命令告诉FTP服务器使用主动模式,同时向其宣告自己的动态端口,以及IP地址,但是port命令发送的IP地址还是未经过改变的私网地址,这就使得FTP服务器并不会理会该命令请求,从而导致数据通道建立的失败,于是就出现了NAT ALG,这个功能可以说是ASPF的附加功能,当FTP的ASPF开启后,其对应的NAT ALG也会开启,NAT ALG在进行FTP这类协议的地址转换的时候,不仅会转换相应的地址,还会将协议报文中的内容也进行修改,于是FTP的数据通道依然可以成功建立。

目的地址转换的NAT

这个NAT不会生成任何的server-map表项,这个和NAT server有点像但是又不完全一样,因为nat server主要是将公网上的资源映射到内网上,但是这个目的地址转换,其实就是一种目的地址转换的功能,不限于什么场景。而且发起该请求的源主机IP和相关信息不确定,所以并不会创建相关的server-map表

NATserver

NAT server会创建相应的server-map表,但是同其他NAT开启后创建的server-map一样,这个server-map表的功能只是起到一个加快地址转换的功能,并不能像ASPF中创建server-map一样去直接放行流量。当外网的数据包命中该server-map表后,将数据包进行目的地址转换,然后进行源目区域的确定,并匹配安全策略,所以如果我们想要server-map能够生效,我们的安全策略放行的应该是内网的目的地址,而不是nat-server的公网地址。

最后一点:

只要是NAT的相关server-map表项,其作用都是为了加快NAT的地址转换,并不能起到直接对报文进行放行的作用。(处理三元组NAT)

华为USG防火墙入门基础03_Server-map
IT_zhangsan
06-15 1599
通常情况下,如果在设备上配置严格的安全策略,那么设备将只允许内网用户单方向主动访问外网。为了解决这一类问题,FW引入了Server-map表,Server-map用于存放一种映射关系,这种映射关系可以是控制数据协商出来的数据连接关系,也可以是配置NAT中的地址映射关系,使得外部网络能透过设备主动访问内部网络生成Server-map表之后,如果一个数据连接匹配了Server-map表项,那么就能够被设备正常转发,并在匹配Server-map表后创建会话,保证后续报文能够按照会话表转发。
华为防火墙技术之NAT Server
m0_67598829的博客
06-29 3972
Nat server:指定和形成一对一映射关系——映射表。这也是Nat server其他nat的区别之一,Nat server可以指定端口进行映射。
华为防火墙STUN server-map
qq_47529104的博客
04-29 1606
概述 一开始我学到这里的时候,我是不太理解的,现在看来其实也很简单,STUN是英文simple traversal of UDP network ,翻译过来就是UDP网络的简单穿越。那么为什么会出现这个东西?其本质原因就是有些协议像TFTP ...
网络工程师必修课 | 华为路由器NAT-Server配置全指南
最新发布
m0_67420754的博客
05-18 943
在企业的网络架构中,如何让外部用户访问内部服务器是一个常见需求。今天我们就来详细讲解华为路由器上NAT-Server的配置方法,这是实现内网服务对外发布的关键技术。优先使用端口映射而非全IP映射采用非标准端口提高安全性配合ACL实现访问控制如果你在配置过程中遇到问题,欢迎在评论区留言讨论!
华为防火墙基本配置ASPFServer-map
sjsjshhs134654的博客
11-14 3114
Server-map表不是当前的连接信息,而是防火墙对当前连接分析后得到的即将到来报文的预测;如果没有命中则检查是否命中Server-map表;命中Server-map表的报文不受安全策略控制;防火墙最后为命中Server-map表的数据创建会话表。设备通过检测报文的应用层数据,自动获取相关信息并创建相应的会话表项,以保证这些应用的正常通信。这个功能称为ASPF,所创建的会话表项叫做Server-map表。分析报文,产生Server-map表。中的关键信息,报文命中该表后,
华为防火墙natserver 双向nat
荆盼的博客
01-14 9386
示例1  配置NAT Inbound+NAT Server #  nat address-group 1 10.1.1.20 10.1.1.25  //地址池中的IP为私网IP ,且和server的私网IP同网段  nat server 0 global 210.1.1.15 inside 10.1.1.3 # nat-policy interzone dmz untrust inbound...
华为防火墙NAPT---Easy-IP-------NAT Server策略及配置
weixin_45986422的博客
04-27 4385
NAPT配置方式 pc1:ip----192.168.2.100 255.255.255.0 192.168.2.1 pc2:ip ----100.1.1.10 255.255.255.0 100.1.1.1 )实...
华为防火墙NAT源地址转换基础配置详解
2301_77508242的博客
08-09 5461
本实验主要针对防火墙NAT基本的配置进行详解,内容主要有防火墙Easy IP NAT的基础配置和NAPT以及NO-PAT基本配置实验最后再通过防火墙NAT服务器映射转换
华为防火墙NAT策略原理+实验验证!
CN_TangZheng的博客
02-11 5271
华为防火墙主要分为NAT NO-PAT ,NAPT,出接口地址( Easy-IP),Smart NAT,三元组NAT
华为防火墙NAT
ATM_32的博客
12-05 4095
AAA介绍 AAA是验证(Authentication )、授权(Authorization)和记账(Accouting)三个英文单词的简称,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权的用户提供服务。其中 验证:哪些用户可以访问网络服务器 授权:具有访问权限的用户可以得到哪些服务,有什么权限 记账:如何对正在使用网络资源的用户进行审计。 华为防火墙的管理方式有 console管理 带内管理,不占用户带宽 web管理 带内管理,可以基于图形化管理 ssh管理 带
华为--NAT-防火墙
weixin_72907400的博客
10-27 2223
NAT-防火墙
华为防火墙地址映射(NATserver
不定期分享一些自己的学习笔记
10-16 2656
华为防火墙地址映射(NATserver
Server-map
Jian Sun_的博客
01-08 3824
1. server-map是一种映射关系,当数据连接匹配了动态Server-map表项时,不需要再查找包过滤策略,保证了某些特殊应用的正常转发。 2.多通道协议会由客户端和服务器之间的控制通道动态协商出数据通道,即通信双方的端口号是不固定的,而在配置ASPF功能后,设备检测到控制通道的协商,根据关键报文载荷中的地址信息动态创建server-map表项,用于数据通过发起连接时进行查找,这个server-map表项包含了多通道协议报文中协商的数据通道的信息。 3.一句话总结Server map:为特殊应用
浅谈华为防火墙NAT策略
:Struggle.
09-01 8635
博文目录 一、什么是NAT? 二、如何解决源地址转换环境下的环路和无效ARP问题? 三、什么是Server-map表? 四、NAT对报文的处理流程 五、开始配置NAT 一、什么是NATNAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术。此博文重点是华为相关的NAT知识上。 1、NAT分类 在内外网的...
华为防火墙nat技术之服务器映射
杜颐的博客
02-23 1万+
如下图所示: 配置服务器一对一映射: 互联网的另一个单位想访问公司的服务器但是没有连接到内网,这里服务器的地址ishi私网地址,需要对防火墙进行nat serve把192.168.1.1映射到202.10.1.1,这个时候外网用户直接访问202.10.1.1就可以访问了。 下面配置,首先将服务器和客户端配置一个IP地址 服务器: 客户端: 下面我们配置防火墙: 首先初始化防火墙: 用户名为:admin 密码为:Admin@123 在系统视图下进行配置 进入防火墙接口1/..
16--华为防火墙NAT-Server配置指南:从青铜到王者的通关秘籍(含ensp实验配置全过程,包你看一遍全记住)
2302_77698668的博客
03-28 1213
想象你的服务器是个社恐宅男,既想给外网用户提供服务,又不想暴露真实住址。这时候就需要华为防火墙nat-server功能来当翻译官——对外报假地址,对内说暗号。本文将用最接地气的方式,带你玩转这个"地址变形术"。
华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置
热门推荐
lehe99的专栏
11-03 2万+
华为防火墙USG6000V示例配置,展示了访问防火墙、内网服务器、外网和外网访问内网服务器(NAT服务器)的配置。
华为防火墙 nat server 多个端口_华为USG2201防火墙配置基于端口的DSNAT
weixin_39743622的博客
12-09 2768
华为防火墙WAN口IP是10.10.10.10,LAN口在192.168.0.0,所有掩码都是/24。需求:防火墙的10001端口映射到192.168.0.11:88,不配置源进源出。1,命令方式:nat server 6 protocol tcp global 10.10.10.10 10001 inside 192.168.0.11 88 no-reverse2,web方式:2.1,...
网工排错日记:一台服务器同时做NAT SERVER、SNAT,后者不生效
weixin_44799797的博客
01-28 3127
发现问题问题分析NAT SERVER的no-reverse 发现问题 偶然碰到个问题,内网中存在一台服务器,针对于内网用户在防火墙做了一个NAT SERVER,映射成了内网的某个IP,现在服务器新增连接外网的需求,但做了SNAT以后,服务器无法上内网 环境拓扑如下: 简单说明下,设服务器IP为A,在FW处通过nat server映射成了B(内网IP),FW的WAN口IP为C(公网IP),在FW上通过SNAT将A映射成C后,服务器无法连通外网 问题分析 1、SNAT配置没有问题,且服务器能正常访问内网,服.
华为防火墙nat原理
12-27
### 华为防火墙 NAT 工作原理 #### 一、NAT 基本概念 在网络环境中,NAT(Network Address Translation, 网络地址转换)用于实现内部网络中的私有IP地址外部公共互联网之间的通信。华为防火墙支持多种类型的NAT配置,包括Easy IP、静态NAT、动态NAT (No-PAT) 和 NAPT。 #### 二、具体工作流程 对于进出流量,华为防火墙依据预设的安全策略执行相应的处理动作: - **入站数据包**:当接收到目标为本地服务的数据包时,设备查找是否存在匹配的Server Map条目或会话记录;如果找到,则按照设定好的规则进行目的地址翻译。 - **出站数据包**:对于来自内网主机发起连接请求的情况,系统先判断是否有适用的源地址转换政策(policy),若有则实施相应变更操作——这可能涉及简单的IP替换或是更复杂的端口号调整[^1]。 #### 三、不同模式下的特点说明 ##### Easy IP 方式 适用于小型企业场景下简化部署需求。它允许单个WAN接口上的所有LAN侧设备共享同一个公有IPv4地址访问Internet,而无需额外设置PAT功能来管理多个并发连接。 ##### 静态NAT/No-PAT 方法 此方法建立一对一映射关系,即每一个内部真实地址都固定关联着一个唯一的外网可见身份。这种方式适合对外提供稳定的服务接入点,比如Web服务器等应用场合[^3]。 ```bash [USG2100]nat address-group 1 202.38.160.1 202.38.160.4 [USG2100]nat-policy interzone untrust trust outbound [USG2100-nat-policy-interzone-untrust-inbound]policy 1 action source-nat address-group 1 no-pat ``` 上述命令展示了如何创建一个名为`1`的地址池,并将其应用于从信任区域到非信任区域的出口流量上实行仅改变源IP而不做端口变换的操作。 ##### 动态NAPT 技术 为了提高有限公网资源利用率并增强灵活性,采用多对一同址复用机制。这意味着可以允许多台机器共用少量甚至单一公网IP完成上网活动的同时保持各自独立的身份识别能力。值得注意的是,在这种情况下不会自动生成server-map表项而是依赖于实际发生的对话信息形成临时性的映射关系[^4]。 ```bash nat address-group SNAT mode pat ``` 该指令片段指示开启PAT特性以适应更大规模用户的并发访问要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mllllk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值