Netscreen防火牆的地址翻譯主要包括五類:
NAT-src
NAT-dst
Mapped IP (MIP)
Virtual IP (VIP)
Untrust口的源地址翻譯
這五類地址翻譯可以從兩個角度分類:
一、 是源地址翻譯還是目的地址翻譯?
NAT-src和Untrust口的源地址翻譯是源地址翻譯。
NAT-dst和VIP是目的地址翻譯。
MIP是雙向地址翻譯。
二、 是基於策略的地址翻譯還是基於接口的地址翻譯?
NAT-src和NAT-dst是基於策略的地址翻譯。
Untrust口的源地址翻譯、MIP和VIP是基於接口的地址翻譯。
也就是說,NAT-src和NAT-dst是在制訂的防火牆Policy的基礎之上,即規定了源地址、目的地址、源端口、目的端口等之後,對符合這條策略的信息流進行NAT-src和NAT-dst方式的地址和端口翻譯。而另外三種地址翻譯都是和接口進行了綁定,而和Policy策略無關。
因此,這幾種地址翻譯方法總結來說具有以下應用特點:
NAT-src和NAT-dst可以完全覆蓋另外三種地址翻譯方法,也就是說另外三種地址翻譯方法可以完全翻譯成具有相同效果的NAT-src和NAT-dst,反之則不行。
NAT-src和NAT-dst由於是基於Policy進行地址翻譯,具有更好的信息流控制粒度。
NAT-src和NAT-dst可以在任意兩個安全域(zone)之間進行設置。
NAT-src和NAT-dst可以在一條Policy中同時設置執行,對源和目的地址同時翻譯,但是僅僅是單向的地址翻譯。
單向翻譯可以提供更好的控制與安全性能。
Untrust口的源地址翻譯只能在Untrust口實現。儘管可以將綁定到任意第 3 層區段的接口的操作模式定義爲 NAT,但是,安全設備只對通過該接口傳遞到 Untrust 區段的信息流執行 NAT。對於通往 Untrust 區段之外的其它任意區段的信息流,ScreenOS 不執行 NAT。還要注意,ScreenOS 允許您將 Untrust 區段接口設置爲 NAT 模式,但是這樣做並不會激活任何 NAT 操作。
VIP只能在Untrust口實現。
MIP和VIP一般需要與所配置的接口處於同一網段,但是爲 Untrust 區段中接口定義的 MIP 例外。該 MIP 可以在不同於 Untrust 區段接口IP 地址的子網中。但是,如果真是這樣,就必須在外部路由器上添加一條路由,指向 Untrust 區段接口,以便內向信息流能到達 MIP。此外,必須在與 MIP 相關的防火牆上定義一個靜態路由。
另外這幾種策略發生衝突重疊時具有以下規律:
入口接口處於“路由”或 NAT 模式時,可以使用基於策略的 NAT-src。如果配置策略以應用 NAT-src,且入口接口處於 NAT 模式下,則基於策略的 NAT-src 設置會覆蓋基於接口的 NAT。
不支持同時將基於策略的 NAT-dst 與 MIP、VIP 配合使用。如果您配置了 MIP 或 VIP,安全設備會在應用了基於策略的 NAT-dst 的任何信息流上應用MIP 或 VIP。換言之,如果安全設備偶然將 MIP 和 VIP 應用於同一信息流,則MIP 和 VIP 將禁用基於策略的 NAT-dst。
應該避免將接口IP地址、MIP、VIP、DIP設置重複,否則會不可設置或引起衝突。
通過實際調查,可以發現很多網管人員習慣於使用MIP、VIP和Untrust口的源地址翻譯來進行地址翻譯,這主要是因爲:
這三種地址翻譯方法是目前大多數防火牆普遍採用的地址翻譯方法,網管人員不需要學習就已經掌握。
一對一的靜態地址映射便於理解,也是目前大多數防火牆普遍採用的地址翻譯方法。
如果從其它防火牆遷移到Netscreen防火牆,這種配置遷移便於一對一的翻譯。
但是,以MIP爲主的地址翻譯也存在着一些問題:
MIP和VIP屬於Global區段,這一點容易讓一些網管人員在理解上產生偏差,而不能正確配置。
從不同區段到達MIP需要配置兩條策略,也容易產生配置錯誤。
對於策略配置中何時使用MIP,何時使用服務器的真實IP,經常容易搞錯。
當涉及到多個安全區段都存在MIP時,並且這些MIP地址有可能引起各種地址段重合的現象時,配置更加複雜和難於理解,甚至無法實現。
這些傳統的地址翻譯方法粒度太粗,可控性不強,不能實現最大程度的安全性和靈活性。
一對一的地址映射在實踐中無法滿足企業用戶複雜的網絡需求,如實現一對多、多對一的翻譯,實現源地址和目的地址的同時翻譯,等等。
因此,考慮到企業業務的實踐,建議儘可能採用NAT-src和NAT-dst來實現業務需要,理由如下:
NAT-src和NAT-dst可以完全覆蓋另外三種地址翻譯方法。
NAT-src和NAT-dst由於是基於Policy進行地址翻譯,具有更好的信息流控制粒度。
NAT-src和NAT-dst可以在任意兩個安全域(zone)之間進行設置。另外三種地址翻譯方法都有一些安全域限制,無法實現任意方向的地址翻譯。
NAT-src和NAT-dst可以在一條Policy中同時設置執行,對源和目的地址同時翻譯。
單向翻譯可以提供更好的控制與安全性能。如果需要雙向翻譯可以在反方向單獨再定義一條策略。
基於策略的NAT-src和NAT-dst容易理解和配置。
可以更好地將地址翻譯和策略管理結合起來,更加方便企業的日常策略維護工作。
當然,另外三種翻譯方法在實現從其它防火牆向Netscreen防火牆的策略遷移,適應不同管理員的配置習慣,適應特定的網絡環境等方面具有自己的優點
NAT-src
NAT-dst
Mapped IP (MIP)
Virtual IP (VIP)
Untrust口的源地址翻譯
這五類地址翻譯可以從兩個角度分類:
一、 是源地址翻譯還是目的地址翻譯?
NAT-src和Untrust口的源地址翻譯是源地址翻譯。
NAT-dst和VIP是目的地址翻譯。
MIP是雙向地址翻譯。
二、 是基於策略的地址翻譯還是基於接口的地址翻譯?
NAT-src和NAT-dst是基於策略的地址翻譯。
Untrust口的源地址翻譯、MIP和VIP是基於接口的地址翻譯。
也就是說,NAT-src和NAT-dst是在制訂的防火牆Policy的基礎之上,即規定了源地址、目的地址、源端口、目的端口等之後,對符合這條策略的信息流進行NAT-src和NAT-dst方式的地址和端口翻譯。而另外三種地址翻譯都是和接口進行了綁定,而和Policy策略無關。
因此,這幾種地址翻譯方法總結來說具有以下應用特點:
NAT-src和NAT-dst可以完全覆蓋另外三種地址翻譯方法,也就是說另外三種地址翻譯方法可以完全翻譯成具有相同效果的NAT-src和NAT-dst,反之則不行。
NAT-src和NAT-dst由於是基於Policy進行地址翻譯,具有更好的信息流控制粒度。
NAT-src和NAT-dst可以在任意兩個安全域(zone)之間進行設置。
NAT-src和NAT-dst可以在一條Policy中同時設置執行,對源和目的地址同時翻譯,但是僅僅是單向的地址翻譯。
單向翻譯可以提供更好的控制與安全性能。
Untrust口的源地址翻譯只能在Untrust口實現。儘管可以將綁定到任意第 3 層區段的接口的操作模式定義爲 NAT,但是,安全設備只對通過該接口傳遞到 Untrust 區段的信息流執行 NAT。對於通往 Untrust 區段之外的其它任意區段的信息流,ScreenOS 不執行 NAT。還要注意,ScreenOS 允許您將 Untrust 區段接口設置爲 NAT 模式,但是這樣做並不會激活任何 NAT 操作。
VIP只能在Untrust口實現。
MIP和VIP一般需要與所配置的接口處於同一網段,但是爲 Untrust 區段中接口定義的 MIP 例外。該 MIP 可以在不同於 Untrust 區段接口IP 地址的子網中。但是,如果真是這樣,就必須在外部路由器上添加一條路由,指向 Untrust 區段接口,以便內向信息流能到達 MIP。此外,必須在與 MIP 相關的防火牆上定義一個靜態路由。
另外這幾種策略發生衝突重疊時具有以下規律:
入口接口處於“路由”或 NAT 模式時,可以使用基於策略的 NAT-src。如果配置策略以應用 NAT-src,且入口接口處於 NAT 模式下,則基於策略的 NAT-src 設置會覆蓋基於接口的 NAT。
不支持同時將基於策略的 NAT-dst 與 MIP、VIP 配合使用。如果您配置了 MIP 或 VIP,安全設備會在應用了基於策略的 NAT-dst 的任何信息流上應用MIP 或 VIP。換言之,如果安全設備偶然將 MIP 和 VIP 應用於同一信息流,則MIP 和 VIP 將禁用基於策略的 NAT-dst。
應該避免將接口IP地址、MIP、VIP、DIP設置重複,否則會不可設置或引起衝突。
通過實際調查,可以發現很多網管人員習慣於使用MIP、VIP和Untrust口的源地址翻譯來進行地址翻譯,這主要是因爲:
這三種地址翻譯方法是目前大多數防火牆普遍採用的地址翻譯方法,網管人員不需要學習就已經掌握。
一對一的靜態地址映射便於理解,也是目前大多數防火牆普遍採用的地址翻譯方法。
如果從其它防火牆遷移到Netscreen防火牆,這種配置遷移便於一對一的翻譯。
但是,以MIP爲主的地址翻譯也存在着一些問題:
MIP和VIP屬於Global區段,這一點容易讓一些網管人員在理解上產生偏差,而不能正確配置。
從不同區段到達MIP需要配置兩條策略,也容易產生配置錯誤。
對於策略配置中何時使用MIP,何時使用服務器的真實IP,經常容易搞錯。
當涉及到多個安全區段都存在MIP時,並且這些MIP地址有可能引起各種地址段重合的現象時,配置更加複雜和難於理解,甚至無法實現。
這些傳統的地址翻譯方法粒度太粗,可控性不強,不能實現最大程度的安全性和靈活性。
一對一的地址映射在實踐中無法滿足企業用戶複雜的網絡需求,如實現一對多、多對一的翻譯,實現源地址和目的地址的同時翻譯,等等。
因此,考慮到企業業務的實踐,建議儘可能採用NAT-src和NAT-dst來實現業務需要,理由如下:
NAT-src和NAT-dst可以完全覆蓋另外三種地址翻譯方法。
NAT-src和NAT-dst由於是基於Policy進行地址翻譯,具有更好的信息流控制粒度。
NAT-src和NAT-dst可以在任意兩個安全域(zone)之間進行設置。另外三種地址翻譯方法都有一些安全域限制,無法實現任意方向的地址翻譯。
NAT-src和NAT-dst可以在一條Policy中同時設置執行,對源和目的地址同時翻譯。
單向翻譯可以提供更好的控制與安全性能。如果需要雙向翻譯可以在反方向單獨再定義一條策略。
基於策略的NAT-src和NAT-dst容易理解和配置。
可以更好地將地址翻譯和策略管理結合起來,更加方便企業的日常策略維護工作。
當然,另外三種翻譯方法在實現從其它防火牆向Netscreen防火牆的策略遷移,適應不同管理員的配置習慣,適應特定的網絡環境等方面具有自己的優點