華為防火墻配置（防火墻NAT）（華為防火墻配置(防火墻基礎(chǔ))）

前言

在內(nèi)外網(wǎng)的邊界，流量有出、入兩個方向，所以NAT技術(shù)包含源地址轉(zhuǎn)換和目標(biāo)地址轉(zhuǎn)換兩種，一般情況下，源地址轉(zhuǎn)換主要用于解決內(nèi)部局域網(wǎng)計算機(jī)訪問Internet的場景，而目標(biāo)地址轉(zhuǎn)換主要用于解決Internet用戶訪問局域網(wǎng)服務(wù)器的場景，目標(biāo)地址通常被稱為服務(wù)器地址映射

一、防火墻NAT概述

1、防火墻NAT策略介紹

NAT（Network Address Translation）是一種地址轉(zhuǎn)換技術(shù)，支持將報文的源地址進(jìn)行轉(zhuǎn)換，也支持將報文的目的地址進(jìn)行轉(zhuǎn)換，華為防火墻的NAT功能可以通過配置NAT策略實現(xiàn)，其中目的NAT策略不支持配置目的安全區(qū)域和出接口

2、NAT策略分類

（1）NAT No-PAT

NAT No-PAT類似于Cisco的動態(tài)轉(zhuǎn)換，只轉(zhuǎn)換源IP地址，不轉(zhuǎn)換端口，屬于多對多轉(zhuǎn)換，不能節(jié)約公網(wǎng)IP地址，實際情況下使用較少，主要適用于需要上網(wǎng)的用戶較少，而公網(wǎng)地址又足夠的場景下

（2）NAPT

NAPT （Network Address and Port Translation，網(wǎng)絡(luò)地址和端口轉(zhuǎn)換）類似于Cisco的PAT 轉(zhuǎn)換，NAPT既轉(zhuǎn)換報文的源地址，又轉(zhuǎn)換源端口，轉(zhuǎn)換后的地址不能是外網(wǎng)接口IP地址，屬于多對多或多對一轉(zhuǎn)換，可以節(jié)約IP地址，使用場景較多，主要適用于內(nèi)部大量用戶需要上網(wǎng)，同時僅有少數(shù)幾個公網(wǎng)IP地址可用的場景下

（3）Easy-IP

出接口地址（Easy-IP）因其轉(zhuǎn)換方式非常簡單，所以也稱為Easy-IP，和NAPT一樣，既轉(zhuǎn)換源IP地址，又轉(zhuǎn)換源端口，區(qū)別是出接口地址方式轉(zhuǎn)換后的地址只能是NAT設(shè)備外網(wǎng)接口所配置的IP地址，屬于多對一轉(zhuǎn)換，可以節(jié)約IP地址，主要適用于沒有額外的公網(wǎng)地址可用，內(nèi)部上網(wǎng)用戶非常多的場景下，直接通過外網(wǎng)接口本身的IP地址作為轉(zhuǎn)換目標(biāo)

（4）Smart NAT

Smart NAT（智能轉(zhuǎn)換）通過預(yù)留一個公網(wǎng)地址進(jìn)行 NAPT 轉(zhuǎn)換，而其他的公網(wǎng)地址用來進(jìn)行NAT No-PAT轉(zhuǎn)換，其主要用于平時上網(wǎng)用戶比較少，而申請的公網(wǎng)地址基本可以滿足這些少量用戶進(jìn)行NAT No-PAT轉(zhuǎn)換，但是偶爾會出現(xiàn)上網(wǎng)用戶倍增的情況下

（5）三元組NAT

三元組NAT是與源IP地址、源端口和協(xié)議類型有關(guān)的一種轉(zhuǎn)換，將源IP地址和源端口轉(zhuǎn)換為固定公網(wǎng)IP地址和端口，能解決一些特殊應(yīng)用在普通NAT中無法實現(xiàn)的問題，其主要用于外部用戶訪問局域網(wǎng)用戶的一些P2P應(yīng)用

3、NAT策略組成

NAT策略由轉(zhuǎn)換后的地址（地址池地址或者出接口地址）、匹配條件、動作三部分組成

地址池類型包括源地址池（NAT No-PAT、NAPT、三元組NAT、Smart NAT）和目的地址池，根據(jù)NAT轉(zhuǎn)換方式的不同，可以選擇不同類型的地址池或者出接口方式

匹配條件包括源地址、目的地址、源安全區(qū)域、目的安全區(qū)域、出接口、服務(wù)、時間段，根據(jù)不同的需求配置不同的匹配條件，對匹配上條件的流量進(jìn)行NAT轉(zhuǎn)換

動作包括源地址轉(zhuǎn)換或者目的地址轉(zhuǎn)換，無論源地址轉(zhuǎn)換或者目的地址轉(zhuǎn)換，都可以對匹配上條件的流量進(jìn)行選擇NAT轉(zhuǎn)換或者不轉(zhuǎn)換兩種方式

4、NAT策略匹配規(guī)則

如果創(chuàng)建了多條NAT策略，設(shè)備會從上到下依次進(jìn)行匹配，如果流量匹配了某個NAT策略，進(jìn)行NAT轉(zhuǎn)換后，將不再進(jìn)行下一個NAT策略的匹配，雙向NAT策略和目的NAT策略會在源NAT策略的前面，雙向NAT策略和目的NAT策略之間按配置先后順序排列，源NAT策略也按配置先后順序排列，新增的策略和被修改NAT動作的策略都會被調(diào)整到同類NAT策略的最后面，NAT策略的匹配順序可根據(jù)需要進(jìn)行調(diào)整，但是源NAT策略不允許調(diào)整到雙向NAT策略和目的NAT策略之前

5、NAT策略處理流程

不同的NAT類型對應(yīng)不同的NAT策略，在華為防火墻上處理順序不同

華為防火墻收到報文后，查找NAT Server生成的Server-Map表，如果報文匹配到Server-Map表，則根據(jù)表項轉(zhuǎn)換報文的目的地址，然后進(jìn)行步驟4處理，如果報文沒有匹配到Server-Map表，則進(jìn)行步驟2處理

查找基于ACL的目的NAT，如果報文符合匹配條件，則轉(zhuǎn)換報文的目的地址，然后進(jìn)行步驟4處理，如果報文不符合基于ACL的目的NAT的匹配條件，則進(jìn)行步驟3處理

查找NAT策略中目的NAT，如果報文符合匹配條件，則轉(zhuǎn)換報文的目的地址后進(jìn)行路由處理，如果報文不符合目的NAT的匹配條件，則直接進(jìn)行路由處理

根據(jù)報文當(dāng)前的信息查找路由（包括策略路由），如果找到路由，則進(jìn)入步驟5處理，如果沒有找到路由，則丟棄報文

查找安全策略，如果安全策略允許報文通過且之前并未匹配過NAT策略（目的NAT或者雙向NAT），則進(jìn)行步驟6處理，如果安全策略允許報文通過且之前匹配過雙向NAT，則直接進(jìn)行源地址轉(zhuǎn)換，然后創(chuàng)建會話并進(jìn)入步驟7處理，如果安全策略允許報文通過且之前匹配過目的NAT，則直接創(chuàng)建會話，然后進(jìn)行步驟7處理，如果安全策略不允許報文通過，則丟棄報文

查找NAT策略中源NAT，如果報文符合源NAT的匹配條件，則轉(zhuǎn)換報文的源地址，然后創(chuàng)建會話，如果報文不符合源NAT的匹配條件，則直接創(chuàng)建會話

華為防火墻發(fā)送報文

NAT策略中目的NAT會在路由和安全策略之前處理，NAT策略中源NAT會在路由和安全策略之后處理，因此，配置路由和安全策略的源地址是NAT轉(zhuǎn)換前的源地址，配置路由和安全策略的目的地址是NAT轉(zhuǎn)換后目的地址

6、源NAT的使用限制

地址池中的IP地址可以與NAT Server的公網(wǎng)IP地址、接口IP地址重疊，但是配置NAT No-PAT、三元組NAT這兩種源NAT時，請不要將設(shè)備接口的地址配置為NAT地址池的地址，因為這兩種源NAT會生成動態(tài)Server-map表，報文到達(dá)設(shè)備時優(yōu)先查詢Server-map表，會影響對設(shè)備本身的訪問

華為防火墻不支持對GRE和AH報文的NAPT方式的轉(zhuǎn)換，當(dāng)華為防火墻收到GRE或AH報文時，根據(jù)NAPT配置將報文的端口置為0，然而華為防火墻反向接收到的報文沒有端口信息，正反向報文端口信息不匹配，導(dǎo)致業(yè)務(wù)中斷

透明模式下（業(yè)務(wù)接口工作在交換模式）的源NAT的配置，華為防火墻支持采用地址池中的地址做為轉(zhuǎn)換后的源地址，不支持easy-ip方式

NAT地址池探測功能不支持在地址池是PCP模式下應(yīng)用

當(dāng)NAT地址池地址與出接口地址不在同一網(wǎng)段時，必須配置黑洞路由，當(dāng)公網(wǎng)用戶主動訪問NAT地址池中的地址時，華為防火墻收到此報文后，無法匹配到會話表，根據(jù)缺省路由轉(zhuǎn)發(fā)給路由器，路由器收到報文后，查找路由表再轉(zhuǎn)發(fā)給華為防火墻，此報文就會在華為防火墻和路由器之間循環(huán)轉(zhuǎn)發(fā)，造成路由環(huán)路，因此需要配置黑洞路由

當(dāng)NAT地址池地址與出接口地址在同一網(wǎng)段時，建議配置黑洞路由，在這種情況下，不會產(chǎn)生路由環(huán)路，但當(dāng)公網(wǎng)用戶發(fā)起大量訪問時，華為防火墻將發(fā)送大量的ARP請求報文，也會消耗系統(tǒng)資源，因此需要配置黑洞路由，避免華為防火墻發(fā)送ARP報文請求報文，節(jié)省華為防火墻的系統(tǒng)資源，可以使用ip route-static ip-address NULL 0命令手工進(jìn)行配置，也可以使用route enable命令配置UNR路由，該UNR路由的作用與黑洞路由的作用相同，可以防止路由環(huán)路，同時也可以引入到OSPF等動態(tài)路由協(xié)議中發(fā)布出去

當(dāng)NAT地址池地址與出接口地址一致時，華為防火墻收到公網(wǎng)用戶的報文后，發(fā)現(xiàn)是訪問自身的報文，這時候取決于出接口所屬安全區(qū)域和Local安全區(qū)域之間的安全策略，安全策略允許通過，就處理，安全策略不允許通過，就丟棄，不會產(chǎn)生路由環(huán)路，也不需配置黑洞路由

配置三元組NAT時，建議配置Smart三元組NAT功能，這樣可以將一些僅需內(nèi)部主動訪問外部的應(yīng)用流量（比如單向訪問外部網(wǎng)站）排除不進(jìn)行三元組NAT轉(zhuǎn)化，以此來減少系統(tǒng)資源的消耗

7、目的NAT的使用限制

當(dāng)采用動態(tài)NAT策略的方式配置時，如果對外提供的公網(wǎng)地址與公網(wǎng)接口地址同網(wǎng)段，則需要在對端設(shè)備配置靜態(tài)ARP將流量引到華為防火墻上，否則華為防火墻接收不到流量

直接將設(shè)備接口的地址配置為NAT Server的公網(wǎng)地址后，無法通過該接口的地址使用Web方式或Telnet方式對設(shè)備進(jìn)行管理，也無法對設(shè)備進(jìn)行Ping探測，如果在實際應(yīng)用中確實需要將設(shè)備接口的地址配置為NAT Server的公網(wǎng)地址，又需要通過該接口的地址對設(shè)備進(jìn)行遠(yuǎn)程管理，您可以在配置NAT Server時選擇允許端口轉(zhuǎn)換，并配置協(xié)議和端口號，以縮小地址和端口轉(zhuǎn)換的范圍，從而避免與訪問設(shè)備本身的需求相沖突，

NAT策略配置目的NAT或者雙向NAT時，不支持下發(fā)UNR路由，為了防止路由環(huán)路，需要手工配置到轉(zhuǎn)換前的目的IP地址的黑洞路由

對于配置指定協(xié)議和端口的NAT Server并且NAT Server的Global地址和公網(wǎng)接口地址不在同一網(wǎng)段時，必須配置黑洞路由，當(dāng)公網(wǎng)用戶主動訪問NAT Server的global地址時，華為防火墻收到此報文后，無法匹配到會話表，根據(jù)缺省路由轉(zhuǎn)發(fā)給路由器，路由器收到報文后，查找路由表再轉(zhuǎn)發(fā)給華為防火墻，此報文就會在華為防火墻和路由器之間循環(huán)轉(zhuǎn)發(fā)，造成路由環(huán)路，因此需要配置黑洞路由

對于配置指定協(xié)議和端口的NAT Server并且NAT Server的Global地址和公網(wǎng)接口地址在同一網(wǎng)段時，建議配置黑洞路由，在這種情況下，不會產(chǎn)生路由環(huán)路，但當(dāng)公網(wǎng)用戶發(fā)起大量訪問時，華為防火墻將發(fā)送大量的ARP請求報文，也會消耗系統(tǒng)資源，因此需要配置黑洞路由，避免華為防火墻發(fā)送ARP報文請求報文，節(jié)省華為防火墻的系統(tǒng)資源

當(dāng)NAT Server的global地址與公網(wǎng)接口地址一致時，華為防火墻收到公網(wǎng)用戶的報文后，如果能匹配上Server-map表，就轉(zhuǎn)換目的地址，然后轉(zhuǎn)發(fā)到私網(wǎng)，如果不能匹配上Server-map表，就會認(rèn)為是訪問自身的報文，這時候取決于公網(wǎng)接口所屬安全區(qū)域和Local安全區(qū)域之間的安全策略，安全策略允許通過，就處理，安全策略不允許通過，就丟棄，不會產(chǎn)生路由環(huán)路，不需要配置黑洞路由

配置NAT Server時，如果內(nèi)網(wǎng)服務(wù)器的私網(wǎng)端口和其對外發(fā)布的公網(wǎng)端口同時使用了非知名端口，則需要配置端口映射功能，使華為防火墻可以將這些訪問非知名端口的報文識別為知名服務(wù)的報文

配置NAT Server時，對于同一個內(nèi)部服務(wù)器發(fā)布多個公網(wǎng)IP供外部網(wǎng)絡(luò)訪問的場景，如果不同公網(wǎng)IP所在的鏈路規(guī)劃在同一個安全區(qū)域，必須通過配置指定no-reverse參數(shù)的NAT Server來實現(xiàn)，另外，指定no-reverse參數(shù)后，內(nèi)部服務(wù)器將無法主動訪問外部網(wǎng)絡(luò)

不建議公網(wǎng)地址同時被NAT地址池和NAT Server使用，如果必須使用，需要精細(xì)配置NAT Server映射的公網(wǎng)地址和端口，并在地址池中排除該端口，當(dāng)公網(wǎng)地址同時被NAT地址池和NAT Server使用時，可能會出現(xiàn)Server-map表項沖突，導(dǎo)致地址轉(zhuǎn)換失敗

8、與雙機(jī)熱備結(jié)合使用的限制

雙機(jī)熱備組網(wǎng)下，不支持NAT地址池探測功能

雙機(jī)熱備的負(fù)載分擔(dān)場景下，當(dāng)NAT方式是NAPT模式時，必須在一臺華為防火墻上配置hrp nat resource primary-group命令，另外一臺華為防火墻上配置hrp nat resource secondary-group命令，將地址池中地址的端口分為前后兩端，保證NAT地址池端口不沖突

雙機(jī)熱備的負(fù)載分擔(dān)場景下，當(dāng)NAT方式是NAT NO-PAT模式時，必須執(zhí)行nat resource load-balance enable命令，將地址和端口的分配轉(zhuǎn)移到同一臺設(shè)備上執(zhí)行，保證兩臺設(shè)備分配到的地址和端口不沖突， 開啟該命令后，心跳口的流量會有所增加（增加大小視現(xiàn)網(wǎng)業(yè)務(wù)大小而定，一般為首包流量大小），需要確定心跳口的帶寬是否足夠

雙機(jī)熱備場景下，NAT地址池不允許包含主機(jī)、備機(jī)接口的IP地址，如果NAT地址池包含了接口的IP地址，上行設(shè)備請求該地址池IP的ARP的時候，主機(jī)和備機(jī)都會回應(yīng)，導(dǎo)致ARP沖突

雙機(jī)熱備場景下，NAT策略中的源或目的地址不允許包含心跳接口IP地址，以免心跳報文被NAT轉(zhuǎn)換引發(fā)心跳鏈路通信異常

在負(fù)載分擔(dān)方式的雙機(jī)熱備組網(wǎng)中，地址池模式不能為三元組模式（包括靜態(tài)映射），只能為PAT模式（包括端口預(yù)分配）和NO-PAT模式

在非鏡像模式雙機(jī)熱備場景中，不能使用Easy-ip，由于Easy-ip是直接使用接口的公網(wǎng)地址作為轉(zhuǎn)換后的地址，所以在非鏡像模式雙機(jī)熱備場景中，如果使用Easy-ip，NAT轉(zhuǎn)換后的地址是主機(jī)的接口IP地址，因為備機(jī)上沒有主機(jī)的接口IP地址，所以主機(jī)的會話備份到備機(jī)后是不可用的，上行設(shè)備進(jìn)行ARP學(xué)習(xí)時，學(xué)到的是主機(jī)MAC地址，并沒有學(xué)習(xí)到備機(jī)MAC地址，因此，在非鏡像模式雙機(jī)熱備場景中是不能使用Easy-ip的

9、其它使用限制

不帶UDP/TCP報文頭的RAW IP報文無法命中NAT策略進(jìn)行地址轉(zhuǎn)換

當(dāng)NAT與VPN功能同時工作時，請精確定義NAT策略的匹配條件，確保NAT功能不會將原本是需要進(jìn)行VPN封裝的數(shù)據(jù)流做地址轉(zhuǎn)換

通過nat statistics enable開啟NAT地址池統(tǒng)計功能時，統(tǒng)計期間中性能下降5%左右， 在NAT地址池統(tǒng)計的10秒內(nèi)，CPU使用率會有一定的上升（5%左右），統(tǒng)計完成后CPU使用率恢復(fù)正常

通過ip-detect healthcheck開啟NAT地址池探測功能后，華為防火墻會周期性的向遠(yuǎn)端服務(wù)器發(fā)送探測報文，其中探測報文的源地址是地址池中的地址，地址池中地址中的數(shù)量越大，發(fā)送探測報文的數(shù)量越多，會占用一定的系統(tǒng)資源，影響設(shè)備的性能

更改NAT配置后，基于ACL的目的NAT相關(guān)的會話不會刷新，NAT策略和NAT Server相關(guān)的會話會刷新，但是NAT策略中地址池的變更不會立即刷新會話，如果希望配置立即生效，則需要使用reset firewall session table命令清除相關(guān)的會話表信息，清除會話表信息時，可以使用reset firewall session table命令帶上指定參數(shù)進(jìn)行小范圍清除，否則將導(dǎo)致業(yè)務(wù)中斷

當(dāng)NAT策略中需要指定源IP地址時，源IP地址應(yīng)該設(shè)置為NAT轉(zhuǎn)換前的私網(wǎng)IP地址，如果與NAT Server配合使用時，當(dāng)NAT策略中需要指定目的IP地址時，目的地址應(yīng)該為NAT Server的私網(wǎng)地址

用于登錄SSL VPN虛擬網(wǎng)關(guān)、設(shè)備Web界面的IP地址和端口不能與NAT Server配置的公網(wǎng)IP地址和端口沖突，否則將無法正常登錄虛擬網(wǎng)關(guān)或設(shè)備Web界面

10、源NAT簡介

源NAT是指對報文中的源地址進(jìn)行轉(zhuǎn)換，通過源NAT技術(shù)將私網(wǎng)IP地址轉(zhuǎn)換成公網(wǎng)IP地址，使私網(wǎng)用戶可以利用公網(wǎng)地址訪問Internet

當(dāng)主機(jī)訪問外網(wǎng)時，華為防火墻的處理過程如下

當(dāng)私網(wǎng)地址用戶訪問Internet的報文到達(dá)華為防火墻時，華為防火墻將報文的源IP地址由私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址

當(dāng)回程報文返回至華為防火墻時，華為防火墻再將報文的目的地址由公網(wǎng)地址轉(zhuǎn)換為私網(wǎng)地址

11、源NAT分類

根據(jù)轉(zhuǎn)換源地址時是否同時轉(zhuǎn)換端口，源NAT分為僅源地址轉(zhuǎn)換的NAT（NAT No-PAT），源地址和源端口同時轉(zhuǎn)換的NAT（NAPT、Smart NAT、Easy IP、三元組NAT）

（1）NAT No-PAT

NAT No-PAT是一種NAT轉(zhuǎn)換時只轉(zhuǎn)換地址，不轉(zhuǎn)換端口，實現(xiàn)私網(wǎng)地址到公網(wǎng)地址一對一的地址轉(zhuǎn)換方式，適用于上網(wǎng)用戶較少且公網(wǎng)地址數(shù)與同時上網(wǎng)的用戶數(shù)量相同的場景

當(dāng)主機(jī)通過NAT No-PAT訪問Internet時，華為防火墻的處理過程如下

華為防火墻收到主機(jī)發(fā)送的報文后，根據(jù)目的IP地址判斷報文需要在Trust區(qū)域和Untrust區(qū)域之間流動，通過安全策略檢查后繼而查找NAT策略，發(fā)現(xiàn)需要對報文進(jìn)行地址轉(zhuǎn)換

華為防火墻根據(jù)輪詢算法從NAT地址池中選擇一個空閑的公網(wǎng)IP地址，替換報文的源IP地址，并建立Server-map表和會話表，然后將報文發(fā)送至Internet

華為防火墻收到Web Server響應(yīng)Host的報文后，通過查找會話表匹配到步驟2中建立的表項，將報文的目的地址替換為主機(jī)的IP地址，然后將報文發(fā)送至Intranet

此方式下，公網(wǎng)地址和私網(wǎng)地址屬于一對一轉(zhuǎn)換，如果地址池中的地址已經(jīng)全部分配出去，則剩余內(nèi)網(wǎng)主機(jī)訪問外網(wǎng)時不會進(jìn)行NAT轉(zhuǎn)換，直到地址池中有空閑地址時才會進(jìn)行NAT轉(zhuǎn)換

華為防火墻上生成的Server-map表中存放主機(jī)的私網(wǎng)IP地址與公網(wǎng)IP地址的映射關(guān)系

正向Server-map表項保證特定私網(wǎng)用戶訪問Internet時，快速轉(zhuǎn)換地址，提高了華為防火墻處理效率

反向Server-map表項允許Internet上的用戶主動訪問私網(wǎng)用戶，將報文進(jìn)行地址轉(zhuǎn)換

NAT NO-PAT有兩種

①本地（Local）NO-PAT

本地NO-PAT生成的Server-Map表中包含安全區(qū)域參數(shù)，只有此安全區(qū)域的Server可以訪問內(nèi)網(wǎng)主機(jī)

②全局（Global）NO-PAT

全局NO-PAT生成的Server-Map表中不包含安全區(qū)域參數(shù)，一旦建立，所有安全區(qū)域的Server都可以訪問內(nèi)網(wǎng)主機(jī)

（2）NAPT

NAPT是一種轉(zhuǎn)換時同時轉(zhuǎn)換地址和端口，實現(xiàn)多個私網(wǎng)地址共用一個或多個公網(wǎng)地址的地址轉(zhuǎn)換方式，適用于公網(wǎng)地址數(shù)量少，需要上網(wǎng)的私網(wǎng)用戶數(shù)量大的場景

當(dāng)主機(jī)通過NAPT訪問Internet時，華為防火墻的處理過程如下

華為防火墻收到主機(jī)發(fā)送的報文后，根據(jù)目的IP地址判斷報文需要在Trust區(qū)域和Untrust區(qū)域之間流動，通過安全策略檢查后繼而查找NAT策略，發(fā)現(xiàn)需要對報文進(jìn)行地址轉(zhuǎn)換

華為防火墻根據(jù)源IP Hash算法從NAT地址池中選擇一個公網(wǎng)IP地址，替換報文的源IP地址，同時使用新的端口號替換報文的源端口號，并建立會話表，然后將報文發(fā)送至Internet

華為防火墻收到Web Server響應(yīng)Host的報文后，通過查找會話表匹配到步驟2中建立的表項，將報文的目的地址替換為Host的IP地址，將報文的目的端口號替換為原始的端口號，然后將報文發(fā)送至Intranet

此方式下，由于地址轉(zhuǎn)換的同時還進(jìn)行端口的轉(zhuǎn)換，可以實現(xiàn)多個私網(wǎng)用戶共同使用一個公網(wǎng)IP地址上網(wǎng)，華為防火墻根據(jù)端口區(qū)分不同用戶，所以可以支持同時上網(wǎng)的用戶數(shù)量更多，此外，NAPT方式不會生成Server-map表，這一點(diǎn)也與NAT No-PAT方式不同

（3）Smart NAT

Smart NAT是No-PAT方式的一種補(bǔ)充，Smart NAT是一種可以在No-PAT的NAT模式下，指定某個IP地址預(yù)留做NAPT方式的地址轉(zhuǎn)換方式，適用于平時上網(wǎng)的用戶數(shù)量少，公網(wǎng)IP地址數(shù)量與同時上網(wǎng)用戶數(shù)基本相同，但個別時段上網(wǎng)用戶數(shù)激增的場景

使用No-PAT方式時，進(jìn)行地址池的一對一轉(zhuǎn)換，隨著內(nèi)部用戶數(shù)量的不斷增加，地址池中的地址數(shù)可能不再能滿足用戶上網(wǎng)需求，部分用戶將得不到轉(zhuǎn)換地址而無法訪問Internet，此時，用戶可以利用預(yù)留的IP地址進(jìn)行NAPT地址轉(zhuǎn)換，然后訪問Internet

當(dāng)內(nèi)部網(wǎng)絡(luò)中多臺主機(jī)通過Smart NAT同時訪問Server時，處理過程如下

華為防火墻收到Intranet發(fā)送的報文后，根據(jù)目的IP地址判斷報文需要在Trust區(qū)域和Untrust區(qū)域之間流動，通過域間安全策略檢查后繼而查找域間NAT策略，發(fā)現(xiàn)需要對報文進(jìn)行地址轉(zhuǎn)換

如果NAT地址池中有空閑地址，華為防火墻從NAT地址池中選擇一個空閑的公網(wǎng)IP地址，替換報文的源IP地址，并建立會話表，然后將報文發(fā)送至Server

如果NAT地址池中沒有空閑地址，華為防火墻使用預(yù)留的NAPT地址替換報文的源IP地址，同時使用新的端口號替換報文的源端口號，并建立會話表，然后將報文發(fā)送至Internet

此方式下，華為防火墻優(yōu)先采用No-PAT的方式轉(zhuǎn)換地址，當(dāng)可被No-PAT方式的公網(wǎng)地址用完時，新的用戶連接將使用預(yù)留的這個IP地址做NAPT方式的地址轉(zhuǎn)換

此方式下，華為防火墻優(yōu)先采用No-PAT的方式轉(zhuǎn)換地址，當(dāng)可被No-PAT方式的公網(wǎng)地址用完時，新的用戶連接將使用預(yù)留的這個IP地址做NAPT方式的地址轉(zhuǎn)換

（4）Easy IP

Easy IP是一種利用出接口的公網(wǎng)IP地址作為NAT轉(zhuǎn)后的地址，同時轉(zhuǎn)換地址和端口的地址轉(zhuǎn)換方式，對于接口IP是動態(tài)獲取的場景，Easy IP也一樣支持

當(dāng)華為防火墻的公網(wǎng)接口通過撥號方式動態(tài)獲取公網(wǎng)地址時，如果只想使用這一個公網(wǎng)IP地址進(jìn)行地址轉(zhuǎn)換，此時不能在NAT地址池中配置固定的地址，因為公網(wǎng)IP地址是動態(tài)變化的，此時，可以使用Easy IP方式，即使出接口上獲取的公網(wǎng)IP地址發(fā)生變化，華為防火墻也會按照新的公網(wǎng)IP地址來進(jìn)行地址轉(zhuǎn)換

當(dāng)主機(jī)通過Easy IP訪問Web Server時，華為防火墻的處理過程如下

華為防火墻收到主機(jī)發(fā)送的報文后，根據(jù)目的IP地址判斷報文需要在Trust區(qū)域和Untrust區(qū)域之間流動，通過安全策略檢查后繼而查找NAT策略，發(fā)現(xiàn)需要對報文進(jìn)行地址轉(zhuǎn)換

華為防火墻使用與Internet連接的接口的公網(wǎng)IP地址替換報文的源IP地址，同時使用新的端口號替換報文的源端口號，并建立會話表，然后將報文發(fā)送至Internet

華為防火墻收到Web Server響應(yīng)主機(jī)的報文后，通過查找會話表匹配到步驟2中建立的表項，將報文的目的地址替換為主機(jī)的IP地址，將報文的目的端口號替換為原始的端口號，然后將報文發(fā)送至Intranet

此方式下，由于地址轉(zhuǎn)換的同時還進(jìn)行端口的轉(zhuǎn)換，可以實現(xiàn)多個私網(wǎng)用戶共同使用一個公網(wǎng)IP地址上網(wǎng)，華為防火墻根據(jù)端口區(qū)分不同用戶，所以可以支持同時上網(wǎng)的用戶數(shù)量更多

（5）三元組NAT

三元組NAT是一種轉(zhuǎn)換時同時轉(zhuǎn)換地址和端口，實現(xiàn)多個私網(wǎng)地址共用一個或多個公網(wǎng)地址的地址轉(zhuǎn)換方式，它允許Internet上的用戶主動訪問私網(wǎng)用戶，與基于P2P技術(shù)的文件共享、語音通信、視頻傳輸?shù)葮I(yè)務(wù)可以很好地共存

當(dāng)內(nèi)網(wǎng)PC訪問Internet時，如果華為防火墻采用五元組NAT（NAPT）方式進(jìn)行地址轉(zhuǎn)換，外部設(shè)備無法通過轉(zhuǎn)換后的地址和端口主動訪問內(nèi)部PC

三元組NAT方式可以很好的解決上述問題，因為三元組NAT方式在進(jìn)行轉(zhuǎn)換時有以下兩個特點(diǎn)

三元組NAT的端口不能復(fù)用，保證了內(nèi)部PC對外呈現(xiàn)的端口的一致性，不會動態(tài)變化，但是公網(wǎng)地址利用率低

支持外部設(shè)備通過轉(zhuǎn)換后的地址和端口主動訪問內(nèi)部PC，華為防火墻即使沒有配置相應(yīng)的安全策略，也允許此類訪問報文通過

華為防火墻上生成的Server-map表中存放主機(jī)的私網(wǎng)IP地址與公網(wǎng)IP地址的映射關(guān)系

正向Server-map表項保證內(nèi)部PC轉(zhuǎn)換后的地址和端口不變

反向Server-map表項允許外部設(shè)備可以主動訪問內(nèi)部PC

三元組NAT有兩種

①本地（Local）三元組NAT

本地三元組NAT生成的Server-Map表中包含安全區(qū)域參數(shù)，只有此安全區(qū)域的主機(jī)可以訪問內(nèi)網(wǎng)主機(jī)

②全局（Global）三元組NAT

全局三元組NAT生成的Server-Map表中不包含安全區(qū)域參數(shù)，一旦建立，所有安全區(qū)域的主機(jī)都可以訪問內(nèi)網(wǎng)主機(jī)

華為防火墻支持Smart三元組NAT功能，可以根據(jù)報文的目的端口來選擇分配端口的模式，在一定程度上提高公網(wǎng)地址的利用率，當(dāng)報文的目的端口屬于設(shè)置的端口范圍之內(nèi)，就采用NAPT模式來分配端口，如果報文的目的端口不屬于設(shè)置的端口范圍之內(nèi)，則采用三元組NAT模式來分配端口

12、目的NAT簡介

目的NAT是指對報文中的目的地址和端口進(jìn)行轉(zhuǎn)換，通過目的NAT技術(shù)將公網(wǎng)IP地址轉(zhuǎn)換成私網(wǎng)IP地址，使公網(wǎng)用戶可以利用公網(wǎng)地址訪問內(nèi)部Server

當(dāng)外網(wǎng)用戶訪問內(nèi)部Server時，華為防火墻的處理過程如下

當(dāng)外網(wǎng)用戶訪問內(nèi)網(wǎng)Server的報文到達(dá)華為防火墻時，華為防火墻將報文的目的IP地址由公網(wǎng)地址轉(zhuǎn)換為私網(wǎng)地址

當(dāng)回程報文返回至華為防火墻時，華為防火墻再將報文的源地址由私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址

13、目的NAT分類

根據(jù)轉(zhuǎn)換后的目的地址是否固定，目的NAT分為靜態(tài)目的NAT和動態(tài)目的NAT

（1）靜態(tài)目的NAT

靜態(tài)目的NAT是一種轉(zhuǎn)換報文目的IP地址的方式，且轉(zhuǎn)換前后的地址存在一種固定的映射關(guān)系，通常情況下，出于安全的考慮，不允許外部網(wǎng)絡(luò)主動訪問內(nèi)部網(wǎng)絡(luò)，但是在某些情況下，還是希望能夠為外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)提供一種途徑，例如，公司需要將內(nèi)部網(wǎng)絡(luò)中的資源提供給外部網(wǎng)絡(luò)中的客戶和出差員工訪問

當(dāng)主機(jī)通過靜態(tài)目的NAT訪問Server時，華為防火墻的處理過程如下

華為防火墻收到Internet上用戶訪問的報文的首包后，將匹配NAT策略的報文的目的地址進(jìn)行轉(zhuǎn)換

華為防火墻選擇一個私網(wǎng)IP地址，替換報文的目的地址，同時可以選擇使用新的端口替換目的端口號或者端口號保持不變，公網(wǎng)地址與私網(wǎng)地址一對一進(jìn)行映射的場景下，公網(wǎng)地址與目的地址池地址按順序一對一進(jìn)行映射，華為防火墻從地址池中依次取出私網(wǎng)IP地址，替換報文的目的地址

報文通過安全策略后，華為防火墻建立會話表，然后將報文發(fā)送至內(nèi)網(wǎng)服務(wù)器

華為防火墻收到Server響應(yīng)主機(jī)的報文后，通過查找會話表匹配到3中建立的表項，用源主機(jī)報文的目的地址替換Server的IP地址，然后將報文發(fā)送至主機(jī)

后續(xù)主機(jī)繼續(xù)發(fā)送給Server的報文，防火墻都會直接根據(jù)會話表項的記錄對其進(jìn)行轉(zhuǎn)換

NAT Server會生成Server-map表，并通過Server-map保存地址轉(zhuǎn)換前后的映射關(guān)系，與NAT Server不同，基于NAT策略的靜態(tài)目的NAT不會產(chǎn)生Server-map表，但如果轉(zhuǎn)換前的地址沒有變化,轉(zhuǎn)換后的目的地址也不會改變，轉(zhuǎn)換前后的目的依然會存在固定的映射關(guān)系，華為防火墻在進(jìn)行地址轉(zhuǎn)換的過程中還可以選擇是否多個地址轉(zhuǎn)換為同一個目的地址，是否選擇端口轉(zhuǎn)換，以滿足不同場景的需求

（2）動態(tài)目的NAT

動態(tài)目的NAT是一種動態(tài)轉(zhuǎn)換報文目的IP地址的方式，轉(zhuǎn)換前后的地址不存在一種固定的映射關(guān)系，通常情況下，靜態(tài)目的NAT可以滿足大部分目的地址轉(zhuǎn)換的場景，但是在某些情況下，希望轉(zhuǎn)換后的地址不固定，例如，移動終端通過轉(zhuǎn)換目的地址訪問無線網(wǎng)絡(luò)

當(dāng)主機(jī)通過動態(tài)目的NAT訪問Server時，華為防火墻的處理過程如下

華為防火墻收到主機(jī)發(fā)送的報文后，將匹配NAT策略的報文進(jìn)行目的地址轉(zhuǎn)換，從地址池中隨機(jī)選擇一個地址作為轉(zhuǎn)換后的地址，將報文的目的IP地址進(jìn)行轉(zhuǎn)換

華為防火墻通過域間安全策略檢查后建立會話表，然后將報文發(fā)送至Server

華為防火墻收到Server響應(yīng)主機(jī)的報文后，通過查找會話表匹配到2中建立的表項，將報文的源地址替換，然后將報文發(fā)送至主機(jī)

基于ACL的目的NAT將符合特定條件的報文的目的地址以及目的端口轉(zhuǎn)換為指定的地址及端口，其中特定條件包含“安全區(qū)域”和“ACL”兩項，即設(shè)備只對來自某一安全區(qū)域且命中特定ACL的報文進(jìn)行目的NAT，工作原理與基于NAT策略的動態(tài)目的NAT的工作原理類似，區(qū)別在于轉(zhuǎn)換地址的匹配條件不同，基于ACL的目的NAT通過特定條件匹配，而基于NAT策略的動態(tài)目的NAT通過NAT策略匹配

二、防火墻NAT配置

1、案例

2、配置過程

（1）USG1

（2）USG2

（3）AR1

（4）AR2

（5）AR3

3、測試

（1）客戶機(jī)1

（2）客戶機(jī)2

結(jié)語

缺省情況下，端點(diǎn)無關(guān)過濾功能處于開啟狀態(tài)，端點(diǎn)無關(guān)過濾功能開啟后，當(dāng)Internet上的用戶主動訪問位于內(nèi)部網(wǎng)絡(luò)的用戶時，將會匹配目的Server-map表，華為防火墻根據(jù)目的Server-map表中的轉(zhuǎn)換關(guān)系進(jìn)行地址轉(zhuǎn)換，然后不進(jìn)行安全策略處理，直接轉(zhuǎn)發(fā)報文，如果沒有開啟端點(diǎn)無關(guān)過濾功能，則還是會查找安全策略規(guī)則，由安全策略規(guī)則決定是否轉(zhuǎn)發(fā)報文

NAT TCP/IP 網(wǎng)絡(luò)

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。