《Cisco安全防火墙服务模块(FWSM)解决方案》——1.5 IP地址重用

本文涉及的产品
云防火墙,500元 1000GB
公网NAT网关,每月750个小时 15CU
简介:

本节书摘来异步社区《Cisco安全防火墙服务模块(FWSM)解决方案》一书中的第1章,第1.5节,作者:【美】Ray Blair ,Arvind Durai,更多章节内容可以访问云栖社区“异步社区”公众号查看

1.5 IP地址重用

Cisco安全防火墙服务模块(FWSM)解决方案
所有防火墙都有一个共同的特性,那就是网络地址转换(NAT)和端口地址转换(PAT)。NAT隐藏了内部使用的IP地址规划,而PAT功能有助于将公共IP地址空间的使用降至最低。

图1-5所示为如何使用防火墙来提供NAT和/或PAT功能。

94bd1cfb96211581320e8158bbcdf1cea5bc69fd

1.5.1 NAT

NAT能够改变源和/或目的IP地址,通常在内部使用私有地址空间时会用到NAT。NAT在内部IP地址和外部IP地址之间建立一一对应关系。

在图1-6中,两个客户端位于防火墙的内部。客户端1和客户端2的IP地址分别为192.168.1.2和192.168.1.3。已经为防火墙分派了一个NAT地址池,其使用的IP地址为172.16.1.2~172.16.1.254。

当客户端1试图连接Internet时,防火墙已经被配置为从地址池内取出一个IP地址,并把客户端的源地址转换成地址池中取出的地址。注意,当连接通过防火墙时,客户端的源地址已经从192.168.1.2转换成172.16.1.2(地址池中的第一个IP地址)了。

当客户端2建立通过防火墙的连接时,它会获得地址池内的第二个地址。可以看到,地址池的大小是与允许通过防火墙的客户端数量相对应的。当第255个客户端试图通过防火墙建立连接时,由于地址池已完全分配完毕,此连接会被拒绝。这个问题将在“PAT”一节中讲解。

也可以静态配置NAT功能,这称之为静态NAT。通过该特性建立起来的内部地址与外部地址之间的映射关系会永久不变。这样就可以使用映射IP地址来建立由外部到内部的连接。

9e71f62e07ee69e1a5b833fbd3a0cd2d9ab9c6f5

通过使用共享式的NAT池,可以节省宝贵的公共IP地址空间,还可以支持运行不是很好的应用程序打开随机端口进行通信。静态NAT无法节省公共IP地址,但是它提供了一种机制,使得公网(Internet)上的客户端能够访问具有私有地址的服务。

1.5.2 PAT

从另一方面来说,PAT具有一对多的IP地址对应关系。PAT经常用在内部使用私有地址空间,但是却只有一个公共IP地址的场景中。你的家庭网络可能就是这样的情况。私有地址与公共地址的转换发生在OSI模型的传输层。

图1-7与图1-6类似,不同的是,防火墙上没有配置地址池,而是将防火墙配置为将客户端的地址转换为防火墙外部的IP地址。

当客户端1通过防火墙建立连接时,防火墙把源地址192.168.1.2转换成172.16.1.1。

当客户端2通过防火墙建立连接时,防火墙把源地址192.168.1.3转换成172.16.1.1。

这两个客户端都使用同一个IP地址。那么,防火墙如何分辨该将数据回送到哪个客户端呢?此时,源端口号派上了用场。防火墙会创建一张表,其中记录了源IP地址和端口号与转换后的源IP地址和端口号之间的映射关系。这样,当流量返回共享的外部地址172.16.1.1时,通过端口号就得知其目的地是哪里了。

可以看到,从IP使用的角度来看,PAT具有更好的可扩展性,而且能够降低访问Internet所需要的公共IP地址的数量。第4章将会讲到客户端如何使用PAT来访问具有相同IP地址的多个资源。

36cd84fcd297937294dd47d22dd6a8c4887e1cb7

本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。

目录
打赏
0
0
0
0
1811
分享
相关文章
安全运维:入侵检测与防御实战指南
安全运维:入侵检测与防御实战指南 【10月更文挑战第9天】
169 3
【Azure 环境】ARM部署模板大于4MB的解决方案及Linked Template遇见存储账号防火墙无法访问
【Azure 环境】ARM部署模板大于4MB的解决方案及Linked Template遇见存储账号防火墙无法访问
全面提升系统安全:禁用不必要服务、更新安全补丁、配置防火墙规则的实战指南
全面提升系统安全:禁用不必要服务、更新安全补丁、配置防火墙规则的实战指南
68 12
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算
本文介绍了十个重要的网络技术术语,包括IP地址、子网掩码、域名系统(DNS)、防火墙、虚拟专用网络(VPN)、路由器、交换机、超文本传输协议(HTTP)、传输控制协议/网际协议(TCP/IP)和云计算。通过这些术语的详细解释,帮助读者更好地理解和应用网络技术,应对数字化时代的挑战和机遇。
144 3
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
140 2
安全至上:Web应用防火墙技术深度剖析与实战
【10月更文挑战第29天】在数字化时代,Web应用防火墙(WAF)成为保护Web应用免受攻击的关键技术。本文深入解析WAF的工作原理和核心组件,如Envoy和Coraza,并提供实战指南,涵盖动态加载规则、集成威胁情报、高可用性配置等内容,帮助开发者和安全专家构建更安全的Web环境。
92 1
ip和ip网段攻击拦截系统-绿叶结界防火墙系统shell脚本
这是一个名为“小绿叶技术博客扫段攻击拦截系统”的Bash脚本,用于监控和拦截TCP攻击。通过抓取网络数据包监控可疑IP,并利用iptables和firewalld防火墙规则对这些IP进行拦截。同时,该系统能够查询数据库中的白名单,确保合法IP不受影响。此外,它还具备日志记录功能,以便于后续分析和审计。
71 6
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
动态威胁场景下赋能企业安全,F5推出BIG-IP Next Web应用防火墙
74 3
【内网安全】 域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
【内网安全】 域防火墙&入站出站规则&不出网隧道上线&组策略对象同步
109 0
【Bug修复】秒杀服务器异常,轻松恢复网站访问--从防火墙到Docker服务的全面解析
【Bug修复】秒杀服务器异常,轻松恢复网站访问--从防火墙到Docker服务的全面解析
127 0

热门文章

最新文章