本節書摘來異步社群《cisco安全防火牆服務子產品(fwsm)解決方案》一書中的第1章,第1.5節,作者:【美】ray blair ,arvind durai,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視
cisco安全防火牆服務子產品(fwsm)解決方案
所有防火牆都有一個共同的特性,那就是網絡位址轉換(nat)和端口位址轉換(pat)。nat隐藏了内部使用的ip位址規劃,而pat功能有助于将公共ip位址空間的使用降至最低。
圖1-5所示為如何使用防火牆來提供nat和/或pat功能。
nat能夠改變源和/或目的ip位址,通常在内部使用私有位址空間時會用到nat。nat在内部ip位址和外部ip位址之間建立一一對應關系。
在圖1-6中,兩個用戶端位于防火牆的内部。用戶端1和用戶端2的ip位址分别為192.168.1.2和192.168.1.3。已經為防火牆分派了一個nat位址池,其使用的ip位址為172.16.1.2~172.16.1.254。
當用戶端1試圖連接配接internet時,防火牆已經被配置為從位址池内取出一個ip位址,并把用戶端的源位址轉換成位址池中取出的位址。注意,當連接配接通過防火牆時,用戶端的源位址已經從192.168.1.2轉換成172.16.1.2(位址池中的第一個ip位址)了。
當用戶端2建立通過防火牆的連接配接時,它會獲得位址池内的第二個位址。可以看到,位址池的大小是與允許通過防火牆的用戶端數量相對應的。當第255個用戶端試圖通過防火牆建立連接配接時,由于位址池已完全配置設定完畢,此連接配接會被拒絕。這個問題将在“pat”一節中講解。
也可以靜态配置nat功能,這稱之為靜态nat。通過該特性建立起來的内部位址與外部位址之間的映射關系會永久不變。這樣就可以使用映射ip位址來建立由外部到内部的連接配接。
通過使用共享式的nat池,可以節省寶貴的公共ip位址空間,還可以支援運作不是很好的應用程式打開随機端口進行通信。靜态nat無法節省公共ip位址,但是它提供了一種機制,使得公網(internet)上的用戶端能夠通路具有私有位址的服務。
從另一方面來說,pat具有一對多的ip位址對應關系。pat經常用在内部使用私有位址空間,但是卻隻有一個公共ip位址的場景中。你的家庭網絡可能就是這樣的情況。私有位址與公共位址的轉換發生在osi模型的傳輸層。
圖1-7與圖1-6類似,不同的是,防火牆上沒有配置位址池,而是将防火牆配置為将用戶端的位址轉換為防火牆外部的ip位址。
當用戶端1通過防火牆建立連接配接時,防火牆把源位址192.168.1.2轉換成172.16.1.1。
當用戶端2通過防火牆建立連接配接時,防火牆把源位址192.168.1.3轉換成172.16.1.1。
這兩個用戶端都使用同一個ip位址。那麼,防火牆如何分辨該将資料回送到哪個用戶端呢?此時,源端口号派上了用場。防火牆會建立一張表,其中記錄了源ip位址和端口号與轉換後的源ip位址和端口号之間的映射關系。這樣,當流量傳回共享的外部位址172.16.1.1時,通過端口号就得知其目的地是哪裡了。
可以看到,從ip使用的角度來看,pat具有更好的可擴充性,而且能夠降低通路internet所需要的公共ip位址的數量。第4章将會講到用戶端如何使用pat來通路具有相同ip位址的多個資源。
本文僅用于學習和交流目的,不代表異步社群觀點。非商業轉載請注明作譯者、出處,并保留本文的原始連結。