華為防火墻NAT技術

一、NAT類別

二、NAT工作流程

三、源NAT知識點

四、目的NAT知識點

nat address-group pool 0 #定義地址組名稱pool

route enable #為地址池生成UNR路由，該UNR路由的作用與黑洞路由作用相同，可以防止路由環路

mode no-pat local #表示本地的三元組模式或no-pat模式，會生成Server-Map表
section 0 123.126.1.1 123.126.1.100 #公網地址段

nat-policy
 rule name no-pat
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 24
  action nat address-group pool

nat-policy interzone trust untrust outbound 源地址轉換
policy 1
action source-nat
easy-ip G0/0/2

 nat server IPS1 zone 10M protocol tcp global 123.226.100.202 211 inside 192.168.2.22 211
 nat server IPS2 zone 100M protocol tcp global 222.226.100.202 211 inside 192.168.2.22 211

nat server mail protocol tcp global 123.124.1.1 1414 inside 192.168.100.100 81 #服務器端口映射

nat server OA protocol tcp global 123.124.1.1 8000 inside 192.168.1.3 80 no-reverse #可以訪問外網

firewall interzone untrust dmz
detect ftp

六、黑洞路由

display nat server 查看服務器映射關系

display firewall session aging-time #查看session老化時間
display firewall server-map 查看server-map

NAT地址池中的地址不一定為連續的地址（使用排除地址功能可以排除這個地址范圍某些特殊的IP地址）

配置源NAT策略：設備對報文進行轉換時，先查找域間的安全策略，只有通過安全策略檢查，命中域間NAT策略匹配條件才會進行地址轉換
配置NAT Server:設備收到匹配Server-map表的報文后，先轉換報文的目的地址，然后再檢查安全策略，因此安全策略中指定的源地址為轉換后的地址，私網地址
NAT轉換是否對ESP報文生效：不允許端口轉換的源NAT策略和NAT Server對ESP報文生效

防火墻僅對首包過匹配，形成會話表，后續報文按照規則轉發
UDP也可以形成會話表，ICMP也可以
同一鏈接的前后報文具有相關性

某企業在部署網絡邊界防火墻時，配置了NAT Server，源NAT,OSPF路由和相關安全策略，數據到達防火墻時，防火墻墻處理順序為
NAT server>OSPF路由>安全策略>源NAT(在配置NAT Server時防火墻會產生靜態Server MAP表項)
NAT支持FTP協議，不能兼容所有的IPsec協議，比如AH

NO-PAT只支持網絡層的協議地址轉換，也就是僅僅進行3層的轉換，不做4層的端口轉換

NAT server或SLB（server load balancing）時
在配置NAT server后，設備會生成正反兩個方向的靜態server-map表項，用于存放global地址與inside地址映射關系。設備根據這種映射關系對報文的地址進行轉換并轉發

在SLB功能中，由于需要將內網多個服務器以同一個IP地址對外發布，所以也會建立與NAT server類似的server-map表項，只不過根據內網服務器的個數需要建立1個正向表項和N個反向表項

NO-PAT：設備會為有實際的流量的數據流建立server-map表，用于存放私網IP地址與公網IP地址的映射關系

NO-PAT方式生成的server-map表項，有正反兩個方向的表項
正向server-map用于保證trust區域訪問internet時，可以快速轉換地址，提高效率
反向server-map可以讓internet上的用戶主動訪問trust區域的主機（需要通過安全策略檢查）
dis firewall server-map no-pat

NAT ALG(應用級網關)是特定的應用協議的轉換代理，可以完成應用層數據中攜帶的地址及端口號信息的轉換