思維導(dǎo)圖：

NAT概述

NAT產(chǎn)生背景

IPv4地址不足的權(quán)宜之計

公有地址與私有地址的區(qū)別：

• 公有地址：由專門的機構(gòu)管理、分配，可以在Internet上直接通信的IP地址；

• 私有地址：組織和個人可以任意使用，無法在Internet上直接通信，只能在內(nèi)網(wǎng)使用的IP地址。

A、B、C類地址中各預(yù)留了一些地址專門作為私有IP地址：

• A類：10.0.0.0 ~ 10.255.255.255

• B類：172.16.0.0 ~ 172.31.255.255

• C類：192.168.0.0 ~ 192.168.255.255

防火墻NAT的實現(xiàn) – NAT策略

防火墻的NAT功能可以通過配置NAT策略實現(xiàn)。

NAT策略由轉(zhuǎn)換后的地址（地址池地址或者出接口地址）、匹配條件和動作三部分組成。

• 地址池類型包括源地址池和目的地址池

• 匹配條件包括源/目的地址、源/目的安全區(qū)域、出接口、服務(wù)和時間段等

• 動作包括源地址轉(zhuǎn)換或者目的地址轉(zhuǎn)換或者不轉(zhuǎn)換

創(chuàng)建了多條NAT策略，按從上到下進行匹配，匹配后不再匹配

雙向NAT策略和目的NAT策略會在源NAT策略的前面，雙向NAT策略和目的NAT策略之間按配置先后順序排列，源NAT策略也按配置先后順序排列。新增的策略和被修改NAT動作的策略都會被調(diào)整到同類NAT策略的最后面。

NAT策略的匹配順序可根據(jù)需要進行調(diào)整，但是源NAT策略不允許調(diào)整到雙向NAT策略和目的NAT策略之前。

NAT分類與優(yōu)缺點

根據(jù)應(yīng)用場景的不同，NAT可以分為以下三類：

• 源NAT（Source NAT）：適用于用戶通過私網(wǎng)地址訪問Internet的場景；

• 目的NAT（Destination NAT）： 適用于用戶通過公網(wǎng)地址訪問私網(wǎng)服務(wù)器的場景；

• 雙向NAT（Bidirectional NAT）：適用于通信雙方訪問對方的時候目的地址都不是真實的地址，而是NAT轉(zhuǎn)換后的地址的場景。

NAT的優(yōu)點：

• 實現(xiàn)IP地址復(fù)用，節(jié)約寶貴的地址資源；

• 有效避免來自外網(wǎng)的攻擊，對內(nèi)網(wǎng)用戶提供隱私保護，可以很大程度上提高網(wǎng)絡(luò)安全性。

NAT的缺點：

• 網(wǎng)絡(luò)監(jiān)控難度加大；

• 限制某些具體應(yīng)用。

NAT處理流程

防火墻上針對不同的NAT類型會采用不同的NAT策略，具體處理流程如下：

NAT處理流程簡述如下：

• 步驟1：防火墻收到報文后，查找NAT Server生成的Server-Map表，如果報文匹配到Server-Map表，則根據(jù)表項轉(zhuǎn)換報文的目的地址，然后進行步驟3處理；如果報文沒有匹配到Server-Map表，則進行步驟2處理；

• 步驟2：查找NAT策略中目的NAT，如果報文符合匹配條件，則轉(zhuǎn)換報文的目的地址后進行路由處理；如果報文不符合目的NAT的匹配條件，則直接進行路由處理；

• 步驟3：根據(jù)報文當前的信息查找路由（包括策略路由），如果找到路由，則進入步驟4處理；如果沒有找到路由，則丟棄報文；

• 步驟4：查找安全策略，如果安全策略允許報文通過且之前并未匹配過NAT策略（目的NAT或者雙向NAT），則進行步驟5處理；如果安全策略允許報文通過且之前匹配過雙向NAT，則直接進行源地址轉(zhuǎn)換，然后創(chuàng)建會話并進入步驟6處理；如果安全策略允許報文通過且之前匹配過目的NAT，則直接創(chuàng)建會話，然后進行步驟6處理；如果安全策略不允許報文通過，則丟棄報文；

• 步驟5：查找NAT策略中源NAT，如果報文符合源NAT的匹配條件，則轉(zhuǎn)換報文的源地址，然后創(chuàng)建會話；如果報文不符合源NAT的匹配條件，則直接創(chuàng)建會話；

• 步驟6：防火墻發(fā)送報文。

源NAT技術(shù)

源NAT技術(shù)概述

背景：企業(yè)或家庭所使用的網(wǎng)絡(luò)為私有網(wǎng)絡(luò)，使用的是私有地址；運營商維護的網(wǎng)絡(luò)為公共網(wǎng)絡(luò)，使用的是公有地址。私有地址不能在公網(wǎng)中通信。

解決方案：多個用戶共享少量公網(wǎng)地址訪問Internet的時候，可以使用源NAT技術(shù)來實現(xiàn)。

• 源NAT技術(shù)只對報文的源地址進行轉(zhuǎn)換；

• 源NAT技術(shù)可以分為NAT No-PAT、NAPT、Easy IP和三元組NAT等。

NAT No-PAT原理

NAT No-PAT（No-Port Address Translation，也就是動態(tài)NAT，非端口地址轉(zhuǎn)換）是一種只轉(zhuǎn)換地址，不轉(zhuǎn)換端口，實現(xiàn)私網(wǎng)地址與公網(wǎng)地址一對一的地址轉(zhuǎn)換方式。NAT No-PAT無法提高公有地址利用率。

NAT No-PAT適用于上網(wǎng)用戶較少且公網(wǎng)地址數(shù)與同時上網(wǎng)的用戶數(shù)量相同的場景。

當內(nèi)部PC1和PC2需要訪問公網(wǎng)的主機時，防火墻使用NAT從地址池選擇公網(wǎng)地址進行映射，如果配置了No-PAT參數(shù)，那么設(shè)備會對內(nèi)網(wǎng)IP和外網(wǎng)IP進行一對一的映射，而不進行端口轉(zhuǎn)換。

如果地址池用盡了，只能等地址釋放才能轉(zhuǎn)換

轉(zhuǎn)換后會生成對應(yīng)的server-map，防火墻根據(jù)server-map進行轉(zhuǎn)發(fā)

NAPT原理

NAPT（Network Address and Port Translation，網(wǎng)絡(luò)地址端口轉(zhuǎn)換）是一種同時轉(zhuǎn)換地址和端口，實現(xiàn)多個私網(wǎng)地址共用一個或多個公網(wǎng)地址的地址轉(zhuǎn)換方式。NAPT可以有效地提高公有地址利用率。

NAPT適用于公網(wǎng)地址數(shù)量少，需要上網(wǎng)的私網(wǎng)用戶數(shù)量大的場景。

NAPT借助端口可以實現(xiàn)一個公有地址同時對應(yīng)多個私有地址。該模式同時對IP地址和端口號進行轉(zhuǎn)換，實現(xiàn)不同私有地址（不同的私有地址，不同的源端口）映射到同一個公有地址（相同的公有地址，不同的源端口）。

源NAT的兩種轉(zhuǎn)換方式的區(qū)別

源NAT有多種轉(zhuǎn)換方式，這里只介紹其中的兩種：

• 不帶端口轉(zhuǎn)換的地址池方式（No-PAT）

• 帶端口轉(zhuǎn)換的地址池方式（NAPT）

Easy IP：實現(xiàn)原理和NAPT相同，同時轉(zhuǎn)換IP地址和傳輸層端口，區(qū)別在于Easy IP沒有地址池的概念，使用出接口的公網(wǎng)IP地址作為NAT轉(zhuǎn)后的地址。

Easy IP適用于不具備固定公網(wǎng)IP地址的場景。例如：撥號上網(wǎng)（PPPoE）。

PPPoE（PPP over Ethernet）是在以太網(wǎng)鏈路上運行PPP協(xié)議，在小區(qū)組網(wǎng)等一系列應(yīng)用中被廣泛采用。

三元組NAT

三元組NAT是一種轉(zhuǎn)換時同時轉(zhuǎn)換地址和端口，實現(xiàn)多個私網(wǎng)地址共用一個或多個公網(wǎng)地址的地址轉(zhuǎn)換方式。

三元組NAT允許Internet上的用戶能主動訪問私網(wǎng)用戶，如文件共享、語音通信和視頻傳輸?shù)取?/span>

當Host A訪問Host B時，防火墻的處理流程如下：

• 防火墻收到Host A發(fā)送的報文后，根據(jù)目的IP地址判斷報文需要在Trust區(qū)域和Untrust區(qū)域之間流動，通過域間安全策略檢查后繼而查找域間NAT策略，發(fā)現(xiàn)需要對報文進行地址轉(zhuǎn)換。

• 防火墻從NAT地址池中選擇一個公網(wǎng)IP地址，替換報文的源IP地址為1.1.1.10，替換報文的端口號2296，并建立會話表和Server-map表，然后將報文發(fā)送至Host B。

• 防火墻收到Host B響應(yīng)Host A的報文后，通過查找會話表匹配到之前建立的表項，將報文的目的IP地址替換為192.168.1.2，端口號替換為6363，然后將報文發(fā)送至Host A。

防火墻上生成的Server-map表中存放Host的私網(wǎng)IP地址與公網(wǎng)IP地址的映射關(guān)系。

• 正向Server-map表項保證內(nèi)部PC轉(zhuǎn)換后的地址和端口不變；

• 反向Server-map表項允許外部設(shè)備可以主動訪問內(nèi)部PC。

源NAT策略配置舉例

需求描述：

• 某公司在網(wǎng)絡(luò)邊界處部署了防火墻作為安全網(wǎng)關(guān)。為了使私網(wǎng)中10.1.1.0/24網(wǎng)段的用戶可以正常訪問Internet，需要在防火墻上配置源NAT策略；

• 除公網(wǎng)接口IP地址之外，公司還向運營商申請了6個IP地址（1.1.1.10 ~ 1.1.1.15）作為私網(wǎng)地址轉(zhuǎn)換后的公網(wǎng)地址。如圖所示，其中Router是運營商提供的接入網(wǎng)關(guān)。

配置思路：

• 配置接口IP地址和安全區(qū)域，完成網(wǎng)絡(luò)基本參數(shù)配置；

• 配置安全策略，允許私網(wǎng)指定網(wǎng)段與Internet進行報文交互；

• 配置NAT地址池，配置時開啟允許端口轉(zhuǎn)換，以實現(xiàn)公網(wǎng)地址復(fù)用；

• 配置源NAT策略，實現(xiàn)私網(wǎng)指定網(wǎng)段訪問Internet時自動進行源地址轉(zhuǎn)換；

• 在防火墻上配置缺省路由，使私網(wǎng)與運營商路由器流量可以正常互通。

將防火墻接口加入相應(yīng)的安全區(qū)域。

[FW] firewall zone trust

[FW-zone-trust] add interface GigabitEthernet 0/0/1

[FW-zone-trust] quit

[FW] firewall zone untrust

[FW-zone-untrust] add interface GigabitEthernet 0/0/2

[FW-zone-untrust] quit

配置安全策略，允許私網(wǎng)指定網(wǎng)段與Internet進行報文交互。

[FW] security-policy

[FW-policy-security] rule name policy1

[FW-policy-security-rule-policy1] source-zone trust

[FW-policy-security-rule-policy1] destination-zone untrust

[FW-policy-security-rule-policy1] source-address 10.1.1.0 24

[FW-policy-security-rule-policy1] action permit

[FW-policy-security-rule-policy1] quit

配置NAT地址池，配置時開啟允許端口地址轉(zhuǎn)換，實現(xiàn)公網(wǎng)地址復(fù)用。

[FW] nat address-group group1

[FW-address-group-addressgroup1] mode pat

[FW-address-group-addressgroup1] section 0 1.1.1.10 1.1.1.15

[FW-address-group-addressgroup1] route enable

配置源NAT策略，實現(xiàn)私網(wǎng)指定網(wǎng)段訪問Internet時自動進行源地址轉(zhuǎn)換。

[FW] nat-policy

[FW-policy-nat] rule name policy1

[FW-policy-nat-rule-policy1] source-zone trust

[FW-policy-nat-rule-policy1] destination-zone untrust

[FW-policy-nat-rule-policy1] source-address 10.1.1.0 24

[FW-policy-nat-rule-policy1] action source-nat address-group group1

在防火墻上配置缺省路由，使私網(wǎng)流量可以正常轉(zhuǎn)發(fā)至運營商的路由器。

在私網(wǎng)主機上配置缺省網(wǎng)關(guān)，使私網(wǎng)主機訪問Internet時，將流量發(fā)往防火墻。

目的NAT技術(shù)

目的NAT概述

目的NAT是指對報文中的目的地址和端口進行轉(zhuǎn)換。通過目的NAT技術(shù)將公網(wǎng)IP地址轉(zhuǎn)換成私網(wǎng)IP地址，使公網(wǎng)用戶可以利用公網(wǎng)地址訪問內(nèi)部Server。

當外網(wǎng)用戶訪問內(nèi)部Server時，防火墻的處理過程如下：

• 當外網(wǎng)用戶訪問內(nèi)網(wǎng)Server的報文到達防火墻時，防火墻將報文的目的IP地址由公網(wǎng)地址轉(zhuǎn)換為私網(wǎng)地址；

• 當回程報文返回至防火墻時，防火墻再將報文的源地址由私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址。

根據(jù)轉(zhuǎn)換后的目的地址是否固定，目的NAT分為靜態(tài)目的NAT和動態(tài)目的NAT。

靜態(tài)目的NAT

靜態(tài)目的NAT是一種轉(zhuǎn)換報文目的IP地址的方式，且轉(zhuǎn)換前后的地址存在一種固定的映射關(guān)系。

通常情況下，出于安全的考慮，不允許外部網(wǎng)絡(luò)主動訪問內(nèi)部網(wǎng)絡(luò)。但是在某些情況下，還是希望能夠為外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)提供一種途徑。

當Host訪問Server時，防火墻的處理過程如下：

• 防火墻收到Internet上用戶訪問1.1.1.10（Server對外發(fā)布的公網(wǎng)IP地址）的報文的首包后，將匹配NAT策略的報文的目的地址進行轉(zhuǎn)換。

• 防火墻選擇一個私網(wǎng)IP地址，替換報文的目的地址，同時可以選擇使用新的端口替換目的端口號或者端口號保持不變。公網(wǎng)地址與私網(wǎng)地址一對一進行映射的場景下，公網(wǎng)地址與目的地址池地址按順序一對一進行映射，防火墻從地址池中依次取出私網(wǎng)IP地址，替換報文的目的地址。

• 報文通過安全策略后，防火墻建立會話表，然后將報文發(fā)送至內(nèi)網(wǎng)服務(wù)器。

• 防火墻收到Server響應(yīng)Host的報文后，通過查找會話表匹配到步驟3中建立的表項，用原Host報文的目的地址（1.1.1.10）替換Server的IP地址（192.168.1.2），然后將報文發(fā)送至Host。

• 后續(xù)Host繼續(xù)發(fā)送給Server的報文，防火墻都會直接根據(jù)會話表項的記錄對其進行轉(zhuǎn)換。

動態(tài)目的NAT

動態(tài)目的NAT是一種動態(tài)轉(zhuǎn)換報文目的IP地址的方式，轉(zhuǎn)換前后的地址不存在一種固定的映射關(guān)系。

通常情況下，靜態(tài)目的NAT可以滿足大部分目的地址轉(zhuǎn)換的場景。但是在某些情況下，希望轉(zhuǎn)換后的地址不固定。例如，移動終端通過轉(zhuǎn)換目的地址訪問無線網(wǎng)絡(luò)。

當Host訪問Server時，防火墻的處理過程如下：

• 防火墻收到Host發(fā)送的報文后，將匹配NAT策略的報文進行目的地址轉(zhuǎn)換，從地址池中隨機選擇一個地址作為轉(zhuǎn)換后的地址，將報文的目的IP地址由172.16.16.2轉(zhuǎn)換為192.168.1.2；

• 防火墻通過域間安全策略檢查后建立會話表，然后將報文發(fā)送至Server；

• 防火墻收到Server響應(yīng)Host的報文后，通過查找會話表匹配到相應(yīng)的表項，將報文的源地址替換為172.16.16.2，然后將報文發(fā)送至Host。

目的NAT策略配置舉例?

需求描述：

• 某公司在網(wǎng)絡(luò)邊界處部署了防火墻作為安全網(wǎng)關(guān)。為了使私網(wǎng)Web服務(wù)器能夠?qū)ν馓峁┓?wù)，需要在防火墻上配置目的NAT；

• 除了公網(wǎng)接口的IP地址外，公司還向運營商申請了IP地址（1.1.10.10）作為內(nèi)網(wǎng)服務(wù)器對外提供服務(wù)的地址。網(wǎng)絡(luò)環(huán)境如圖所示，其中Router是運營商提供的接入網(wǎng)關(guān)。

配置思路：

• 配置接口IP地址和安全區(qū)域，完成網(wǎng)絡(luò)基本參數(shù)配置；

• 配置安全策略，允許外部網(wǎng)絡(luò)用戶訪問內(nèi)部服務(wù)器；

• 通過目的NAT，使得外網(wǎng)用戶能夠訪問內(nèi)部服務(wù)器時，防火墻將流量能夠送給內(nèi)網(wǎng)的服務(wù)器；

• 在防火墻和Router上配置缺省路由，使內(nèi)網(wǎng)服務(wù)器與運營商路由器流量可以正?；ネ?。

將防火墻接口加入相應(yīng)的安全區(qū)域。

[FW] firewall zone DMZ

[FW-zone-dmz] add interface GigabitEthernet 0/0/2

[FW-zone-dmz] quit

[FW] firewall zone untrust

[FW-zone-untrust] add interface GigabitEthernet 0/0/1

[FW-zone-untrust] quit

配置安全策略，允許外部網(wǎng)絡(luò)用戶訪問內(nèi)部服務(wù)器。

[FW] security-policy

[FW-policy-security] rule name policy1

[FW-policy-security-rule-policy1] source-zone untrust

[FW-policy-security-rule-policy1] destination-zone dmz

[FW-policy-security-rule-policy1] destination-address 10.2.0.0 24

[FW-policy-security-rule-policy1] action permit

[FW-policy-security-rule-policy1] quit

配置目的NAT地址池，配置時開啟允許端口地址轉(zhuǎn)換，實現(xiàn)公網(wǎng)地址復(fù)用。

[FW1]destination-nat? address-group? group1

[FW1-dnat-address-group-group1]section 10.2.0.7 10.2.0.8

[FW-address-group-group1] quit

配置目的NAT策略，使得外網(wǎng)用戶能夠訪問內(nèi)部服務(wù)器時，防火墻將流量能夠送給內(nèi)網(wǎng)的服務(wù)器。

[FW] nat-policy

[FW-policy-nat] rule name policy1

[FW-policy-nat-rule-policy1] source-zone untrust

[FW-policy-nat-rule-policy1] destination-address 1.1.10.10 1.1.10.11

[FW-policy-nat-rule-policy1] service http

[FW-policy-nat-rule-policy1] action destination-nat static address-to-address address-group group1

[FW-policy-nat-rule-policy1] quit

雙向NAT技術(shù)

雙向NAT

雙向NAT指的是在轉(zhuǎn)換過程中同時轉(zhuǎn)換報文的源/目的IP地址。雙向NAT不是一個單獨的功能，而是源NAT和目的NAT的組合。

雙向NAT是針對同一條流，在其經(jīng)過防火墻時同時轉(zhuǎn)換報文的源地址和目的地址。

雙向NAT主要應(yīng)用在以下兩個場景：

• ?外網(wǎng)用戶訪問內(nèi)部服務(wù)器；

• ?私網(wǎng)用戶訪問內(nèi)部服務(wù)器。

當外部網(wǎng)絡(luò)中的用戶訪問內(nèi)部服務(wù)器時，使用該雙向NAT功能同時轉(zhuǎn)換該報文的源和目的地址可以避免在內(nèi)部服務(wù)器上設(shè)置網(wǎng)關(guān)，簡化配置。

如圖所示，當Host訪問Server時，防火墻的處理過程如下：

• ?防火墻對匹配雙向NAT處理的策略的報文進行地址轉(zhuǎn)換；

• ?防火墻從目的NAT地址池中選擇一個私網(wǎng)IP地址替換報文的目的IP地址，同時使用新的端口號替換報文的目的端口號；

• ?判斷是否滿足安全策略的要求，通過安全策略后從源NAT地址池中選擇一個私網(wǎng)IP地址替換報文的源IP地址，同時使用新的端口號替換報文的源端口號，并建立會話表，然后將報文發(fā)送至Intranet；

• ?防火墻收到Server響應(yīng)Host的報文后，通過查找會話表匹配到建立的表項，將報文的源地址和目的地址替換為原先的IP地址，將報文源和目的端口號替換為原始的端口號，然后將報文發(fā)送至Internet。

NAT ALG與NAT Server

NAT ALG概述

ASPF與NAT ALG兩者區(qū)別如下：

• ASPF功能的主要目的是通過對應(yīng)用層協(xié)議的報文分析，為其開放相應(yīng)的包過濾規(guī)則；

• NAT ALG（Application Level Gateway，應(yīng)用級網(wǎng)關(guān)）的主要目的是為其開放相應(yīng)的NAT規(guī)則；

• 由于兩者通常都是結(jié)合使用的，所以使用同一條命令就可以將兩者同時開啟。

多通道協(xié)議和一些應(yīng)用層數(shù)據(jù)字段，NAT無法轉(zhuǎn)換，而NAT ALG對多通道協(xié)議進行應(yīng)用層報文信息的解析和地址轉(zhuǎn)換，將載荷中需要進行地址轉(zhuǎn)換的IP地址和端口或者需特殊處理的字段進行相應(yīng)的轉(zhuǎn)換和處理，從而保證應(yīng)用層通信的正確性。

NAT ALG實現(xiàn)原理

私網(wǎng)側(cè)的主機要訪問公網(wǎng)的FTP服務(wù)器。NAT設(shè)備上配置了私網(wǎng)地址192.168.1.2到公網(wǎng)地址2.1.1.11的映射，實現(xiàn)地址的NAT轉(zhuǎn)換，以支持私網(wǎng)主機對公網(wǎng)的訪問。組網(wǎng)中，若沒有ALG對報文載荷的處理，私網(wǎng)主機發(fā)送的PORT報文到達服務(wù)器端后，服務(wù)器無法根據(jù)私網(wǎng)地址進行尋址，也就無法建立正確的數(shù)據(jù)連接。

整個通信過程包括如下四個階段：

• 私網(wǎng)主機和公網(wǎng)FTP服務(wù)器之間通過TCP三次握手成功建立控制連接；

• 控制連接建立后，私網(wǎng)主機向FTP服務(wù)器發(fā)送PORT報文，報文中攜帶私網(wǎng)主機指定的數(shù)據(jù)連接的目的地址和端口，用于通知服務(wù)器使用該地址和端口和自己進行數(shù)據(jù)連接；

• PORT報文在經(jīng)過支持ALG特性的NAT設(shè)備時，報文載荷中的私網(wǎng)地址和端口會被轉(zhuǎn)換成對應(yīng)的公網(wǎng)地址和端口。即設(shè)備將收到的PORT報文載荷中的私網(wǎng)地址192.168.1.2轉(zhuǎn)換成公網(wǎng)地址2.1.1.11，端口1084轉(zhuǎn)換成12487；

• 公網(wǎng)的FTP服務(wù)器收到PORT報文后，解析其內(nèi)容，并向私網(wǎng)主機發(fā)起數(shù)據(jù)連接，該數(shù)據(jù)連接的目的地址為2.1.1.11，目的端口為12487（注意：一般情況下，該報文源端口為20，但由于FTP協(xié)議沒有嚴格規(guī)定，有的服務(wù)器發(fā)出的數(shù)據(jù)連接源端口為大于1024的隨機端口，如本例采用的是FTP服務(wù)器，采用的源端口為3004）。由于該目的地址是一個公網(wǎng)地址，因此后續(xù)的數(shù)據(jù)連接就能夠成功建立，從而實現(xiàn)私網(wǎng)主機對公網(wǎng)服務(wù)器的訪問。

NAT Server

NAT Server也稱靜態(tài)映射，是一種轉(zhuǎn)換報文目的IP地址的方式，它提供了公網(wǎng)地址和私網(wǎng)地址的映射關(guān)系，將報文中的公網(wǎng)地址轉(zhuǎn)換為與之對應(yīng)的私網(wǎng)地址

如圖所示，當Host訪問Server時，防火墻的處理過程如下：

• 防火墻收到Internet上用戶訪問1.1.1.10的報文的首包后，查找并匹配到Server-Map表項，將報文的目的IP地址轉(zhuǎn)換為192.168.1.2；

• 防火墻根據(jù)目的IP地址判斷報文需要在Untrust區(qū)域和DMZ區(qū)域之間流動，通過域間安全策略檢查后建立會話表，然后將報文發(fā)送至Intranet；

• 防火墻收到Server響應(yīng)Host的報文后，通過查找會話表匹配到上一步驟中建立的表項，將報文的源地址替換為1.1.1.10，然后將報文發(fā)送至Internet；

• 后續(xù)Host繼續(xù)發(fā)送給Server的報文，防火墻都會直接根據(jù)會話表項的記錄對其進行轉(zhuǎn)換，而不會再去查找Server-map表項。

另外，防火墻在進行地址映射的過程中還可以選擇是否允許端口轉(zhuǎn)換，是否允許服務(wù)器采用公網(wǎng)地址上網(wǎng)，以滿足不同場景的需求。

NAT Server配置舉例?

需求描述：

• 某公司在網(wǎng)絡(luò)邊界處部署了防火墻作為安全網(wǎng)關(guān)。為了使FTP服務(wù)器能夠?qū)ν馓峁┓?wù)，需要在防火墻上配置NAT Server功能。

• 除了公網(wǎng)接口的IP地址外，公司還向運營商申請了一個IP地址（1.1.1.10）作為內(nèi)網(wǎng)服務(wù)器對外提供服務(wù)的地址。網(wǎng)絡(luò)環(huán)境如圖所示，其中Router是運營商提供的接入網(wǎng)關(guān)。

配置思路：

• 配置接口IP地址和安全區(qū)域，完成網(wǎng)絡(luò)基本參數(shù)配置；

• 配置安全策略，允許外部網(wǎng)絡(luò)用戶訪問內(nèi)部服務(wù)器；

• 通過配置NAT Server，分別映射FTP服務(wù)器；

• 通過開啟FTP協(xié)議的NAT ALG功能，完成應(yīng)用層數(shù)據(jù)中攜帶的地址及端口號信息的轉(zhuǎn)換；

• 在防火墻跟Router上配置缺省路由，使內(nèi)網(wǎng)服務(wù)器與運營商路由器流量可以正?；ネā?/span>

將防火墻接口加入相應(yīng)的安全區(qū)域。

[FW] firewall zone dmz

[FW-zone-dmz] add interface GigabitEthernet 0/0/2

[FW-zone-dmz] quit

[FW] firewall zone untrust

[FW-zone-untrust] add interface GigabitEthernet 0/0/1

[FW-zone-untrust] quit

配置安全策略，允許外部網(wǎng)絡(luò)用戶訪問內(nèi)部服務(wù)器。

[FW] security-policy

[FW-policy-security] rule name policy1

[FW-policy-security-rule-policy1] source-zone untrust

[FW-policy-security-rule-policy1] destination-zone dmz

[FW-policy-security-rule-policy1] destination-address 10.2.0.0 24

[FW-policy-security-rule-policy1] action permit

[FW-policy-security-rule-policy1] quit

配置NAT Server功能。

[FW] nat server policy_ftp protocol tcp global 1.1.1.10 ftp inside 10.2.0.8 ftp unr-route

開啟FTP協(xié)議的NAT ALG功能。

[FW] firewall interzone dmz untrust

[FW-interzone-dmz-untrust] detect ftp

[FW-interzone-dmz-untrust] quit

配置缺省路由，使內(nèi)網(wǎng)服務(wù)器對外提供的服務(wù)流量可以正常轉(zhuǎn)發(fā)至運營商的路由器。

[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254