11.2 思科ASA:地址转换的方式

11.2 思科ASA地址转换的方式

Cisco ASA支持以下4种类型的地址转换:

1、静态NAT/PAT;

2NAT/PAT;   Dynamic NAT (源NAT,因为改变的是源地址)

3、策略NAT/PAT;  (双向NAT

4Identity NAT;

 

1.DynamicNAT(动态NAT,动态一对一)

2.DynamicPAT (Hide)(动态PAT,动态多对一)

3.StaticNAT or Static NAT with PortTranslation(静态一对一转换,静态端口转换)

4.IdentityNAT

Twice NAT(类似于PolicyNAT


1、静态NAT/PAT;

静态NAT定义了一种混合的转换方式,它可以将内部主机或者子网地址转换为全局可路由地址或者子网。安全设备会使用一对一的方式来执行地址转换,将一个全局IP地址杂事给一个内部IP地址。因些,如果内部网络中有100台主机需要进行地址转换,那么安全设备就应该配置100个全局IP地址。另外,只要安全设备对通过它的数据包进行转换,它总会给内部主机分配同样的IP地址。如果组织机构正在为外部用户提供服务,如EmailWebDNSFTP, 那么这种部署方式是推荐做法。使用静态NAT,服务器会在入站和出站双方向上使用相同的全局IP地址。

当安全设备想要静态将多个内部服务器映射给一个全局IP地址,静态PAT(也称为端口重定向)功能就会非常重要,当流量从较低安全级别的端口穿过安全设备去往较高安全级别的端口时,设备就会对该流量端口重定向功能。外部主机会与该全局IP地址的特定TCPUDP端口建立连接,而安全设备会将该端口重定向给内部服务器。

1.png

安全设备会将去往209.165.200.229TCP80端口的流量重定向192.168.10.10

同样,它也会将去往209.165.200.229TCP25端口的流量重定向给192.168.10.20

安全设备既允许使用专用IP地址进行端口重定向,也允许使用全局接口的IP地址进行端口重定向。

当使用公共接口的IP地址进行端口重定向时,安全设备会在以下两种情况使用同样的地址;

当穿越安全设备的流量需要执行地址转换时;

当有流量以安全设备作为目的地址时。

备注:在IP电话通讯环境中,如果Cisco CallManager服务器位于内部网络,且IP电话是从外部网络发起连接,那么安全设备就不劫持外部NAT或者PAT

2NAT/PAT;

动态NAT会从预先配置好的全局地址池中随机分配一个IP地址。安全设备使用的是一对一的分配方式,将一个全局IP地址分配给一个内部IP地址。因此,如果内部网络中有100台主机,那么地址池中就必须至少100个地址。如果组织机构使用的协议部分包含4层信息,如GRP通用路由封装、RDP可靠数据协议、DDP数据投递协议,那么这种部署方式是推荐做法。当安全设备为内部主机建立了动态NAT条目之后,只要安全设备放行入站连接,那么所有外部设备就都可以连接到分配的转换后地址。

在使用动态PAT时,安全设备会通过查看3层和4层头部信息来建立地址转换表。这是最常部署的方案,因为在这种方案中,多台内部主机可以通过1个全局IP地址连接外部网络。在动态PAT中,安全设备会使用源IP地址、源端口及IP协议信息(TCPUPD)来为内部主机执行转换。与用静态PAT一样,管理员可以选择是使用专用公共网络地址还是转换接口的IP地址。

如下图所示,两台内部设备正在使用外部接口的IP地址访问一台外部web服务器。

1.png

备注:安全设备会基于包含在Cisco ASA8.0(4)8.1(2)8.2(1)版本中的增强特性来随机选择源端口。

安全设备劫持最多使用一个地址进行65535PAT转换。在CiscoASA8.4(3)及后续版本中,管理员可以使用扩展PAT,通过每个服务器(而不再是每个地址)提供65535PAT转换。

 

3、策略NAT/PAT;  (双向NAT

只有当穿过安全设备的数据包匹配管理员定义的选择或策略时,策略NAT/PAT才会为其执行地址转换。定义策略的方式是通过ACL指定感兴趣流,或者(在CiscoASA8.3及后续版本中)通过手动NAT来定义流量。

如果流量与定义的ACL相匹配,那么原始源或目的地址就会被转换为一个不同的地址。管理定义了一个策略,来将源IP地址转换为209.165.200.226,执行这一转换的条件是数据包来自192.168.10.10,并且去往209.165.201.1

类似地,如果数据包来自192.168.10.10,但是去往另一个IP地址,比如209.165.201.2,那么安全设备就会将源IP地址转换为209.165.200.227

1.png

4Identity NAT;

在很多部署方案中,管理员想要绕过地址转换,使安全设备不会更改源或者目的地址。如果管理员已经为内部网络定义了地址转换,使主机能够与Internet进行连接产,那么管理员有可能希望能够绕过地址转换,这种方式也称为Identity NAT。但是,如果这些主机向特定的主机或者网络发送流量时,管理员不希望更改它们的地址。




思科Cisco ASA防火墙(列表、list、全)asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 11.2 思科ASA:地址转换的方式

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!