华为防火墙: NAT匹配顺序 (先做策略路由,再做源NAT, 不过注意Servermap在最前面,)
华为防火墙: NAT匹配顺序
防火墙对于入包,是先过server map,然后路由,再做源NAT的。而“服务器映射”会产生静态的server map。
NAT策略
FW的NAT功能可以通过配置NAT策略实现。NAT策略由转换后的地址(地址池地址或者出接口地址)、匹配条件、动作三部分组成。
地址池类型包括源地址池(NAT No-PAT、NAPT、三元组NAT、Smart NAT)和目的地址池。根据NAT转换方式的不同,可以选择不同类型的地址池或者出接口方式。
匹配条件包括源地址、目的地址、源安全区域、目的安全区域、出接口、服务、时间段。根据不同的需求配置不同的匹配条件,对匹配上条件的流量进行NAT转换。
目的NAT策略不支持配置目的安全区域和出接口。
动作包括源地址转换或者目的地址转换。
无论源地址转换或者目的地址转换,都可以对匹配上条件的流量进行选择NAT转换或者不转换两种方式。
如果创建了多条NAT策略,设备会从上到下依次进行匹配。
如果流量匹配了某个NAT策略,进行NAT转换后,将不再进行下一个NAT策略的匹配。
双向NAT策略和目的NAT策略会在源NAT策略的前面。
双向NAT策略和目的NAT策略之间按配置先后顺序排列,源NAT策略也按配置先后顺序排列。
新增的策略和被修改NAT动作的策略都会被调整到同类NAT策略的最后面。
NAT策略的匹配顺序可根据需要进行调整,但是源NAT策略不允许调整到双向NAT策略和目的NAT策略之前。
NAT处理流程
不同的NAT类型对应不同的NAT策略,在FW上处理顺序不同。
如上图所示,NAT处理流程简述如下:
(1)FW收到报文后,查找NAT Server生成的Server-Map表,如果报文匹配到Server-Map表,则根据表项转换报文的目的地址,然后进行步骤4处理;如果报文没有匹配到Server-Map表,则进行步骤2处理。
(2)查找基于ACL的目的NAT,如果报文符合匹配条件,则转换报文的目的地址,然后进行步骤4处理;如果报文不符合基于ACL的目的NAT的匹配条件,则进行步骤3处理。
(3)查找NAT策略中目的NAT,如果报文符合匹配条件,则转换报文的目的地址后进行路由处理;如果报文不符合目的NAT的匹配条件,则直接进行路由处理。
(4)根据报文当前的信息查找路由(包括策略路由),如果找到路由,则进入步骤5处理;如果没有找到路由,则丢弃报文。
(5)查找安全策略,如果安全策略允许报文通过且之前并未匹配过NAT策略(目的NAT或者双向NAT),则进行步骤6处理;如果安全策略允许报文通过且之前匹配过双向NAT,则直接进行源地址转换,然后创建会话并进入步骤7处理;如果安全策略允许报文通过且之前匹配过目的NAT,则直接创建会话,然后进行步骤7处理;如果安全策略不允许报文通过,则丢弃报文。
(6)查找NAT策略中源NAT,如果报文符合源NAT的匹配条件,则转换报文的源地址,然后创建会话;如果报文不符合源NAT的匹配条件,则直接创建会话。
(7)FW发送报文。
NAT策略中目的NAT会在路由和安全策略之前处理,NAT策略中源NAT会在路由和安全策略之后处理。因此,配置路由和安全策略的源地址是NAT转换前的源地址,配置路由和安全策略的目的地址是NAT转换后目的地址。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为防火墙: NAT匹配顺序 (先做策略路由,再做源NAT, 不过注意Servermap在最前面,)
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm