Netscreen防火墙的地址翻译主要包括五类:
NAT-src
NAT-dst
Mapped IP (MIP)
Virtual IP (VIP)
Untrust
口的源地址翻译
这五类地址翻译可以从两个角度分类:
一、 是源地址翻译还是目的地址翻译?
NAT-src
Untrust口的源地址翻译是源地址翻译。
NAT-dst
VIP是目的地址翻译。
MIP
是双向地址翻译。
二、 是基于策略的地址翻译还是基于接口的地址翻译?
NAT-src
NAT-dst是基于策略的地址翻译。
Untrust
口的源地址翻译、MIPVIP是基于接口的地址翻译。
也就是说,NAT-srcNAT-dst是在制订的防火墙Policy的基础之上,即规定了源地址、目的地址、源端口、目的端口等之后,对符合这条策略的信息流进行NAT-srcNAT-dst方式的地址和端口翻译。而另外三种地址翻译都是和接口进行了绑定,而和Policy策略无关。
因此,这几种地址翻译方法总结来说具有以下应用特点:
NAT-src
NAT-dst可以完全覆盖另外三种地址翻译方法,也就是说另外三种地址翻译方法可以完全翻译成具有相同效果的NAT-srcNAT-dst,反之则不行。
NAT-src
NAT-dst由于是基于Policy进行地址翻译,具有更好的信息流控制粒度。
NAT-src
NAT-dst可以在任意两个安全域(zone)之间进行设置。
NAT-src
NAT-dst可以在一条Policy中同时设置执行,对源和目的地址同时翻译,但是仅仅是单向的地址翻译。
单向翻译可以提供更好的控制与安全性能。
Untrust
口的源地址翻译只能在Untrust口实现。尽管可以将绑定到任意第 3 层区段的接口的操作模式定义为 NAT,但是,安全设备只对通过该接口传递到 Untrust 区段的信息流执行 NAT。对于通往 Untrust 区段之外的其它任意区段的信息流,ScreenOS 不执行 NAT。还要注意,ScreenOS 允许您将 Untrust 区段接口设置为 NAT 模式,但是这样做并不会激活任何 NAT 操作。
VIP
只能在Untrust口实现。
MIP
VIP一般需要与所配置的接口处于同一网段,但是为 Untrust 区段中接口定义的 MIP 例外。该 MIP 可以在不同于 Untrust 区段接口IP 地址的子网中。但是,如果真是这样,就必须在外部路由器上添加一条路由,指向 Untrust 区段接口,以便内向信息流能到达 MIP。此外,必须在与 MIP 相关的防火墙上定义一个静态路由。
另外这几种策略发生冲突重叠时具有以下规律:
入口接口处于路由 NAT 模式时,可以使用基于策略的 NAT-src。如果配置策略以应用 NAT-src,且入口接口处于 NAT 模式下,则基于策略的 NAT-src 设置会覆盖基于接口的 NAT
不支持同时将基于策略的 NAT-dst MIPVIP 配合使用。如果您配置了 MIP VIP,安全设备会在应用了基于策略的 NAT-dst 的任何信息流上应用MIP VIP。换言之,如果安全设备偶然将 MIP VIP 应用于同一信息流,则MIP VIP 将禁用基于策略的 NAT-dst
应该避免将接口IP地址、MIPVIPDIP设置重复,否则会不可设置或引起冲突。
通过实际调查,可以发现很多网管人员习惯于使用MIPVIPUntrust口的源地址翻译来进行地址翻译,这主要是因为:
这三种地址翻译方法是目前大多数防火墙普遍采用的地址翻译方法,网管人员不需要学习就已经掌握。
一对一的静态地址映射便于理解,也是目前大多数防火墙普遍采用的地址翻译方法。
如果从其它防火墙迁移到Netscreen防火墙,这种配置迁移便于一对一的翻译。
但是,以MIP为主的地址翻译也存在着一些问题:
MIP
VIP属于Global区段,这一点容易让一些网管人员在理解上产生偏差,而不能正确配置。
从不同区段到达MIP需要配置两条策略,也容易产生配置错误。
对于策略配置中何时使用MIP,何时使用服务器的真实IP,经常容易搞错。
当涉及到多个安全区段都存在MIP时,并且这些MIP地址有可能引起各种地址段重合的现象时,配置更加复杂和难于理解,甚至无法实现。
这些传统的地址翻译方法粒度太粗,可控性不强,不能实现最大程度的安全性和灵活性。
一对一的地址映射在实践中无法满足企业用户复杂的网络需求,如实现一对多、多对一的翻译,实现源地址和目的地址的同时翻译,等等。
因此,考虑到企业业务的实践,建议尽可能采用NAT-srcNAT-dst来实现业务需要,理由如下:
NAT-src
NAT-dst可以完全覆盖另外三种地址翻译方法。
NAT-src
NAT-dst由于是基于Policy进行地址翻译,具有更好的信息流控制粒度。
NAT-src
NAT-dst可以在任意两个安全域(zone)之间进行设置。另外三种地址翻译方法都有一些安全域限制,无法实现任意方向的地址翻译。
NAT-src
NAT-dst可以在一条Policy中同时设置执行,对源和目的地址同时翻译。
单向翻译可以提供更好的控制与安全性能。如果需要双向翻译可以在反方向单独再定义一条策略。
基于策略的NAT-srcNAT-dst容易理解和配置。
可以更好地将地址翻译和策略管理结合起来,更加方便企业的日常策略维护工作。
当然,另外三种翻译方法在实现从其它防火墙向Netscreen防火墙的策略迁移,适应不同管理员的配置习惯,适应特定的网络环境等方面具有自己的优点