1.状态检测机制
同一个数据流的系列报文不是独立的个体,而是存在联系的, 比如SYN后面只认SYN ACK;
状态检测机制开启的状态下,只有首包通过设备才能建立会话表项。会话表匹配上之后, 就不需要再去做安全策略的检测。
通过会话中的五元组信息可以唯一确定通信双方的一条连接;
防火墙将要删除会话的时间称为会话的老化时间(一般为20s;像FTP这种可以配置长连接,延长时间);
一条会话表示通信双方的一个连接,多条会话的集合叫做会话表。
查看会话表
display firewall session table
display firewall session table verbose
2.ASPF技术(application specific packet filter)
为了解决多通道应用层协议访问控制的不足。
比如FTP的主动模式和被动模式,
FTP主动模式:服务器21口建立控制,再主动启用自身20口进行数据传输;
FTP被动模式:服务器21口建立控制,被客户端临时扒拉一个高口(1024以上)进行数据传输

客户端在被动模式扒拉服务器被动口,被ASPF捕获(主动模式一样可以被捕获),生成Server-map表(可看成临时的安全策略, 命中Server-map表就不再走安全策略, 但它不做转发, 转发操作是由会话表来操作的)

在trust和dmz之间配置ASPF
firewall interzone trust dmz
detect ftp
查看Server-map表
display firewall server-map
3.防火墙上的NAT
源NAT
NAT
No-PAT "一一对应,无法使用端口"
会生成双向server-map表,实现双向访问

NAPT "用端口号区分私网用户,一个IP用多次"
不会生成server-map表

Easy IP "不固定出口IP,无池"
不生成server-map表, 靠会话表跟踪连接状态

三元组NAT "在No-PAT基础上实现了同时转换IP和端口"

三元组NAT和NAPT的区别
- 端口复用情况
- 三元组 NAT:端口不能复用,内部 PC 对外呈现的端口具有一致性,不会动态变化,这在某些对端口稳定性要求高的场景很重要。
- NAPT:可以复用端口,通过将不同私网地址的不同端口转换到同一个公网地址的不同端口,实现多个私网用户共用一个或多个公网 IP 地址,提高了公网地址的利用率。例如,多个内部主机可以通过同一个公网 IP 地址的不同端口与外部通信,NAPT 根据端口号来区分不同的内部主机。
- 公网地址利用率
- 三元组 NAT:由于端口不能复用,相对来说公网地址利用率较低。每一个内部主机的特定端口对应一个公网地址和端口组合,即使在某个时刻该端口没有数据传输,这个公网地址和端口也不能被其他内部主机使用。
- NAPT:能通过端口复用让多个私网用户共享公网 IP 地址,公网地址利用率高,在公网地址数量少而私网用户数量大的场景中优势明显。
- 外部访问支持方式
- 三元组 NAT:明确支持外部设备通过转换后的地址和端口主动访问内部 PC。开启端点无关过滤功能后,当 Internet 上的用户主动访问位于内部网络的用户时,将会匹配目的 Server - map 表,设备根据目的 Server - map 表中的转换关系进行地址转换,然后不进行安全策略处理,直接转发报文。
- NAPT:主要用于实现私网用户访问公网资源,对于外部主动访问内部通常不是其主要设计目的,若要实现需额外配置等操作。
- 应用场景针对性
- 三元组 NAT:主要应用于外部用户访问局域网的一些 P2P 应用,如基于 P2P 技术的文件共享、语音通信、视频传输等业务,能很好地支持这些需要端口固定且外部可主动访问内部的应用场景。
- NAPT:适用于大量私网用户需要访问公网的场景,如企业内部员工使用少量公网 IP 地址访问互联网资源等。
配置

将接口加入相应的安全区域
firewall zone trust
add interface GigabitEthernet 0/0/1
quit
firewall zone untrust
add interface GigabitEthernet 0/0/2
quit
配防火墙策略,指定私网网段与外网交互
security policy
rule name policy1
source-zone trust
destination-zone untrust
source-address 192.168.10.0 24
action permit
quit
配NAT模式,这里我用NAPT
nat address-group group1
mode pat
section 0 1.1.1.10 1.1.1.15
route enable
配NAT策略
nat-policy
rule name policy1
source-zone trust
destination-zone untrust
source-address 192.168.10.0 24
action source-nat address-group group1
4.目的NAT
静态目的NAT "固定的映射关系"
动态目的NAT "不固定; 常见如移动终端访问无线网络"
5.双向NAT

"同时给你穿上出门的衣服和指明出门的方向"
6.NAT ALG 与 NAT Server
NAT ALG "一般和ASPF同时开启"


NAT Server


2930

被折叠的 条评论
为什么被折叠?



