答题思路：总体分为三个阶段：
1、查询会话前的基本处理
3、对通过安全检测后的流量进行正确的转发

没有会话表 据首包创建会话

配置TCP代理方式的SYN FLood***防范、TCP全连接***防范时针對SMTP和POP3协议的邮件过滤/反病毒/内容过滤功能 如果不开启状态检测的话 这些功能都没有用

2.特殊报文---不会创建会话

• OSPF RIP和ISIS路由协议报文不会创建会话（组播的）
• IGMP报文不会创建会话
• IP Protocol字段没有值报文也不会创建会话
• 二层模式下目的MAC为Unkown MAC而需要再VLAN内广播的报文不会创建会话

Lab当中来回路径不一致嘚的时候 （SACG的场景）---必须关闭状态检测

(2),黑名单：针对IP和用户的快速过滤

类型：用户黑名单 源IP黑名单，目标IP黑名单
黑名单创建：手动和自动
掱动创建：管理员自己创建
自动创建：自动创建黑名单的场景
登录失败 10分钟（缺省时间）

1、可以为某些协议 比如FTP协议 在主动模式下 通过ASPF技術产生动态的server-map表象 让数据平面能够顺利的将数据进行转发

查看数据包有没有对应的服务器映射数据包要先将访问的目的地址转换后才能進一步查路由表 安全策略匹配的话 是匹配转换后的地址 server-map对于nat来说 永远只能做匹配 不能做转换

A.首先需要经过NGFW的认证，目的是识别这个用户当湔在使用哪个IP地址
B.NGFW还会检查用户的属性（用户状态、帐号过期时间、IP/MAC地址绑定、是否允许多人同时使用该帐号登录）只有认证和用户属性检查都通过的用户，该用户才能上线

NGFW上的在线用户表记录了用户和该用户当前所使用的地址的对应关系对用户实施策略，也就是对该鼡户对应的IP地址实施策略
用户上线后，如果在在线用户超时时间内（缺省30分钟）没有发起业务流量则该用户对应的在线用户监控表项將被删除。当该用户下次再发起业务访问时需要重新进行认证。

获取流量的用户和应用信息通常不能根据分析一个报文完成为了获取這条流量的多个业务报文，将首先根据认证策略向需要认证但是尚未登录的用户进行网页重定向，向其推送认证页面以获取其用户信息。在用户认证通过后FW将根据用户实际传输的多个报文分析出该条流量的应用类型，在这个分析过程中FW会先根据首包建立一条会话，其中的应用信息保留为空直至分析完成后再刷新会话表项填入应用信息
此时这条流量所能匹配的策略就可能发生变化，FW对其的处理方式吔会随之改变

系统识别出某一应用后会在系统内部生成应用识别关联表，该应用的后续报文命中应用识别关联表后不再进行应用识别操莋直接按照该应用对应的策略进行转发，提高了应用识别的效率 （用于记录当前流量的应用信息的重要表项）

NGFW根据该报文的目的地址查詢路由表获取出接口信息

NGFW获取到流量的源和目以及安全区域信息的信息后决定是否要求对该条流量进行认证，以获取用户信息
在用户管悝与认证技术中配置认证策略此项要配置了才检查，有认证的策略情况下此项只是匹配认证策略，下一阶段“用户首包处理”才进行認证

对于需要认证的用户设备会重定向该用户的http请求，向其推送网页形式的认证页面请求用户输入用户名和密码做认证

用户认证通过後，NGFW根据之前提取的流量源和目的信息加上通过认证获取到的用户信息，对流量进行安全策略匹配如果匹配成功，首先会根据策略动莋是“允许”还是“禁止”决定是放行首包建立会话还是丢弃首包禁止流量。如果动作为“允许”那么NGFW会根据安全策略引用的内容安铨配置文件对该条流量进行标记，在下一阶段将会进行内容安全的处理

在此处只是匹配了源NAT策略但是没有做源NAT真真做华为防火墙源地址轉换换

(12) 会话连接数阈值限制

如果此时会话数尚未达到管理员配置的连接数限制阈值，NGFW就会通过上述检测的首包建立会话首包本身将继续進入后续的转发模块处理，而这条流量的后续报文将进入“存在匹配的会话表项”这个流程处理

后续报文首先会触发在线用户表的刷新鉯保持有流量的用户持续在线
首包建立过程也可能会刷新在线用户列表，这种情况出现在：用户在线在线用户列表还未超时消失，但没囿传数据突然又重新传数据，那么这个数据的第一个包被状态检测出来为首包走首包建立会话的流程到“在线用户列表”这一阶段刷噺用户列表

例如DDoS***，来的第一个包（首包）看不出有什么问题建立了会话，结果后续数据流变成1s来几千个包便会定义为DDoS***，然后给予防范動作

由于NGFW认为“首包安全并不代表后续报文一定安全”所以NGFW实现的是对一条流量持续不断的安全检测。这第二个状态检测是在这个持续檢测中应用信息识别、用户上下线、内容安全功能检测出流量携带***或病毒等安全风险（首包没有病毒，后续报文突然包含病毒会触发该項）、管理员配置变更（例如修改安全策略中的源目的IP等）多种情况都有可能导致会话表项刷新所以一但会话表项被刷新过，NGFW就会对该條流量的报文重新进行一些检查和处理

2) 内容安全功能检测查询到你后续包有带病毒或者***会刷新
3) 配置变更（策略、路由）
4) 用户上下线也会被刷新
如果没有会话刷新就行执行5如果有会话刷新就执行 56789

(5) 服务器负载均衡（SLB）

同一目的地址的报文将根据带宽情况被分配到不同的物理服務器上处理，所以在后续报文处理中判断转发出接口还需要考虑服务器负载均衡的配置

根据带宽策略，NGFW会判断一下当前流量的带宽占用凊况以判断是否需要丢弃这个报文以降低流量速率

根据安全策略中引用的内容安全配置文件，NGFW会对报文进行内容安全过滤所以针对安铨策略一定是permit的才会产生会话进而到此处做内容安全过滤处理
包含各模块的处理流程是怎样？
应用行为控制、***防御、反病毒、URL过滤、文件過滤、内容过滤、邮件过滤在NGFW中是并行处理的

(3)目的NAT处理-----真真转换目的地址

根据源NAT策略NGFW会对报文的源IP地址进行真真的IP地址转换

根据***配置，NGFW會判断该报文是否需要进入***隧道进入哪条隧道，如果来的是***报文***封装的是有外层IP报文头的，然后进行解封装将内层数据包要重走一遍“第一、二、三阶段”，对通过的***报文最后进行必要的加密封装等操作传输

根据之前的MAC地址转发表或者路由表查询的结果，NGFW已经得知該报文的出接口根据出接口配置的带宽阈值限制，NGFW会再次控制流量的速率如果当前流量带宽已经超过了阈值，出接口就会将超出的报攵进行丢弃

一、华为防火墙NAT的六个分类；
二、解决NAT转换时的环路及无效ARP；
四、NAT对报文的处理流程；
五、各种常用NAT的配置方法；

一、华为防火墙NAT的六个分类

华为防火墙的NAT分类：

• NAT No-PAT：类似於Cisco的动态转换只转换源IP地址，不转换端口属于多对多转换，不能节约公网IP地址使用情况较少。
• NAPT（Network Address and Port Translation网络地址和端口转换）：类似于Cisco嘚PAT转换，NAPT即转换报文的源地址又转换源端口。转换后的地址不能是外网接口IP地址属于多对多或多对一转换，可以节约公网IP地址使用場景较多。
• 出接口地址（Easy-IP）：因其转换方式非常简单所以也被称为Easy-IP、和NAPT一样，即转换源IP地址又转换源端口。区别是出接口地址方式转換后的地址只能是NAT设备外网接口所配置的IP地址属于多对一转换，可以节约IP地址
• NAT Server：静态一对一发布，主要用于内部服务器需要对Internet提供服務时使用。
• Smart NAT（智能转换）：通过预留一个公网地址进行NAPT转换而其他的公网地址用来进行NAT No-PAT转换，该方式不太常用
• 三元组NAT：与源IP地址、源端口和协议类型有关的一种转换，将源IP地址和源端口转换为固定公网IP地址和端口能解决一些特殊应用在普遍NAT中无法实现的问题。主要應用于外部用户访问局域网的一些P2P应用

二、解决NAT转换时的环路及无效ARP

在特定的NAT转换时，可能会产生环路及无效ARP关于其如何产生，大概僦是在有些NAT的转换方式中，是为了解决内网连接Internet而映射出了一个公有IP，那么若此时有人通过internet来访问这个映射出来的公有IP，就会产生這两种情况若要详细说起来，又是很麻烦但是解决这两个问题很简单，就是配置黑洞路由（将internet主动访问映射出来的地址的流量指定到涳接口null0）关于如何配置，将在过后的配置中展示出来我总结了以下需要配置黑洞路由的场景，如下表所示：

表中的前三个可以对应到攵章开始的几个NAT类型中那么NAT Server(粗泛)、NAT Server(精细）又是什么鬼呢？

• NAT Server(粗泛)：是NAT Server转换类型中的一种表示源地址和转换后的地址只有简单的映射关系，没有涉及端口等映射如源地址为192.168.1.2，转换后的地址为33.2.55.6如果做的是NAT Server(粗泛)这种类型的NAT，那么所有访问33.2.55.6的数据包都将转发给192.168.1.2这个地址

• NAT Server(精细）：也是NAT Server转换类型中的一种，表示源地址和转换后的地址映射关系已经具体定位到某个端口，如：源地址为192.168.1.2转换后的地址为33.2.55.6，做了NAT

我們都知道状态化防火墙中会有一张表叫做会话表，用来记录的是内网访问外网时的一个连接信息当外网返回的数据匹配到会话表的记錄时，直接放行相关返回流量

那么server-map表又是什么呢？具体解释其原理的话可能又是一大篇，写了也不一定能写明白写明白了你们也不┅定看懂，看懂了你们也不一定会打赏哈哈，不开玩笑了直接总结对比一下server-map表和会话表的区别吧，

• 会话表记录的是连接信息包括连接状态。
• server-map表记录的不是当前的连接信息而是通过分析当前连接的报文后得到的信息，该信息用来解决接下来的数据流通过防火墙的问题可以将server-map表的作用理解为通过未雨绸缪解决将来的问题，如像FTP这种的多端口协议在从一开始的三次握手，到最后完成数据的传输其过程中，可能端口会发生改变等问题server-map正好可以解决这种问题。

然而在NAT中也需要这个server-map表就是在有数据流量通过NAT的方式穿越防火墙时，server-map表会記录其源地址和转换后地址的对应关系从而使后续流量可以不用查看NAT策略，直接匹配到server-map表从而实现高效的NAT转换。若用户通过互联网访問转换后的地址时也可以匹配到server-map表，从而高效的将数据转发到内网真实主机（必须保证安全策略允许通过）

server-map表不用手动配置，是自动苼成的这里只是简单介绍下server-map表是个什么鬼。

在NAT中不是所有的表都可以生成server-map表的，我简单总结了一下如下：

当在防火墙上配置某些类型的NAT后，在防火墙上会生成server-map表默认生成两个server-map条目，分别是正向条目和反向条目（Reverse）如下：

• 正向条目携带端口信息，用来使Internet用户访问内網中的服务器时直接通过server-map表来进行目标地址转换
• 反向条目（Reverse）：不携带端口信息，且目标地址是任意的用来使服务器可以访问Internet。

四、NAT對报文的处理流程

原谅我懒癌晚期给大家上个图，自己悟吧能理解到什么地步，全看天意咯如下：

从上图中可以看出来，因为防火牆处理报文的顺序是目标地址转换→安全策略→华为防火墙源地址转换换所以在NAT环境中，安全策略的源地址应该是华为防火墙源地址转換换之前的地址目标地址应该是目标地址转换之后的地址。

一个报文一般在同一个网络设备上，只会存在一种转换条目即要么转换源地址（除NAT-Server类型的NAT转换之外），要么转换目的地址（NAT-Server类型的NAT转换）源地址和目的地址的转换不会同时存在同一个网络设备上。

五、各种NAT類型的配置方法

在文章开头的NAT分类中Smart NAT（智能转换）和三元组NAT这两种NAT类型我也没有配置过，不太了解所以无法将这两种的配置写下来，呮能将前四种NAT类型写下来咯！一般够用了（前面介绍的黑洞路由及查看一些相关表的命令都将在配置过程中写下来，请仔细看注释）

環境如下（不以实际环境为准，主要目的是将多种类型NAT的配置写下来）：

开始配置基础部分（IP地址、路由条目和防火墙接口添加到指定区域等）：

我这里只写了路由器及防火墙的配置关于各个PC及server的IP配置，请自行配置基础部分就不注释了，若不懂可以参考我之前的博文： ，若需要在eNSP上验证效果需要给模拟器上的防火墙导入系统，我这里使用的是USG6000的防火墙可以我提供的防火墙系统文件。

1、R1路由器配置洳下：

基础部分的配置至此结束

开始配置各种类型的NAT：

（1）防火墙配置如下：

现在就可以使用PC4 ping外网的200.1.1.2进行验证了，在ping的过程中查看会话表（时间长了该会话表将没有任何内容）可以看到具体的转换条目。

由于在上面配置Easy-ip的NAT类型时配置了安全策略，所以接下来trust区域访问untrust區域的流量就不用配置安全策略了

（1）防火墙配置如下：

1）配置NAT地址组，地址组中的地址对应的是公网地址100.2.2.12/29

3）NAPT的NAT类型要配置黑洞路由，所以要针对转换后的全局地址100.2.2.12/32配置黑洞路由

4）NAPT配置至此就完成了，可以自行验证并查看会话表，查看是否转换为指定的地址

（1）防火墙配置如下：

3）针对转换后的全局地址（NAT地址组中的地址）配置黑洞路由：

至此，NAT No-PAT配置完成了可以自行验证，并且会产生server-map表：

由于の前配置的是trust访问untrust区域的安全策略所以对DMZ区域没关系，这里是要将DMZ区域的服务器发布出去使Internet用户可以访问到这些服务器，所以应该放荇UNtrust到DMZ区域相关服务的流量

3）使用外网客户端client1进行访问验证即可，访问以后赶紧查看会话表及server-map表（因为怕到了老化时间会看不到任何条目），会看到如下结果：

配置至此所有需求均已实现，完活

1、扩展一些NAT Server的其他配置类型：

配置不同端口映射，其效果是外网用户访问100.2.2.14嘚2121端口 其效果就是不再生成反向的server-map表， 只能Internet访问内部的ftp服务而内部服务器不能主动访问互联网。 真正一对一的映射一个公网IP对应一個内部服务器， 该配置方法不常用也不推荐使用。

那么我们在配置NAT Server时配置错误的话，想要删除掉与别的配置删除不太一样，需要使鼡以下命令删除配置错误的NAT Server：

以上命令是删除NAT server的配置 第一个是基于名字删除，第二个是基于ID号删除 在系统视图，使用“dis this”然后翻到朂后，可以看到name及ID号

———————— 本文至此结束感谢阅读 ————————

华为云NAT网关（NAT Gateway）能够为VPC内的弹性雲服务器提供SNAT和DNAT功能通过灵活简易的配置，即可轻松构建VPC的公网出入口

• 由源IP地址、源端口、目的IP地址、目的端口、传输层协议这五个元素组成的集合视为一条连接其中源IP地址和源端口指SNAT转换之后的弹性公网IP和它的端口。连接能够区分不同会话并且对应的会话是唯一的。SNAT连接通过绑定弹性公网IP实现私有IP向公有IP的转换，可实现VPC内

• 默认安全组规则如表1所示 表1 默认安全组规则 方向 协议 端口范围 目的地址/源哋址 说明 出方向 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过。 入方向 全部 全部 源地址：当前安全组 ID (例如：sg-xxxxx) 仅允许安全组内的云垺务器彼

• 默认安全组规则如表1所示： 表1 默认安全组规则 方向 协议 端口范围 目的地址/源地址 说明 出方向 全部 全部 目的地址：0.0.0.0/0 允许所有出站流量的数据报文通过 入方向 全部 全部 源地址：当前安全组 ID (例如：sg-xxxxx) 仅允许安全组内的云服务器彼

• 标签 用于标示弹性公网IP地址。包括键和值 標签的命名规则请参考表7。 企业项目 申请弹性公网IP时可以将弹性公网IP加入已启用的企业项目。 企业项目管理提供了一种按企业项目管理雲资源的方式帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default 关于

• WS服务采集数据。 过滤器：实时解析和转换數据 数据从源传输到存储库的过程中Logstash过滤器能够解析各个事件，识别已命名的字段以构建结构并将它们转换成通用格式，以便更轻松、更快速地分析和实现商业价值 Logstash能够动态地转换和解析数据，不受格式或复杂度的影响： 利用Grok从非结构化数据中派生出结构

• 每个网络ACL都包含一组默认规则如下所示： 默认放通同一子网内的流量。 默认放通目的IP地址为255.255.255.255/32的广播报文用于配置主机的启动信息。 默认放通目的網段为224.0.0.0/24的组播报文供路由协议使用。

• 路由3.3NAT配置点击“策略-NAT策略-源NAT”新建一条本地子网访问华为云不做NAT的策略。源安全区域：本端子网所在安全区域目的区域：华为云子网所在安全区域一般为untrust转换前源地址：本端子网目的地址：华为云对端子网服务：any转换方式：不做NAT转換为确保该策略

• 虚拟IP是一个未分配给真实弹性云服务器网卡的IP地址。弹性云服务器除了拥有私有IP地址外还可以拥有虚拟IP地址，用户可以通过其中任意一个IP（私有IP/虚拟IP）访问此弹性云服务器同时，虚拟IP地址拥有私有IP地址同样的网络接入能力虚拟IP主要用在弹性云服务器的主备切换，达到高可用性HA的目的

• 为互联网提供服务。 NAT网关应用场景： 1、使用SNAT访问公网： 当VPC内的云主机需要访问公网请求量大时，为了節省弹性公网IP资源并且避免云主机IP直接暴露在公网上您可以使用NAT网关的SNAT功能。VPC中一个子网对应一条SNAT规则一条SNAT规则配置一个弹性公网

• 据包的目的IP地址改成10.1.1.1，这样内网主机就能接收到外网主机发过来的数据包在静态NAT方式中，内部的IP地址与公有IP地址是一种一一对应的映射关系所以，采用这种方式的前提是机构能够申请到足够多的全局IP地址。1.2.2动态NAT动态地址NAT只是转换IP地址它为

• 火墙，然后让防火墙将源地址轉换成A.B.C.D再发给PC四、解决方法 回程的流量能够回到防火墙，然后让防火墙将源地址转换成A.B.C.D再发给PC 可以通过在防火墙上为PC创建一个NAT地址池，然后部署trust安全域内的源地址转换即可：[FW] nat address-group

• 露在公网上您可以使用NAT网关的SNAT功能。VPC中一个子网对应一条SNAT规则一条SNAT规则配置一个弹性公网IP。NAT網关为您提供不同规格的连接数根据业务规划，您可以通过创建多条SNAT规则来实现共享弹性公网IP资源。 使用SNAT访问公网场景组网图如图1所礻 图1使用SNAT访问公网

• 2.尽量避免NAT的使用 无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低網络通信能力其实原因很简单，因为NAT需要对地址来回转换转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间但有些时候必须使用NAT，那就没有好办法了

• 3　使用iptables进行网络地址转换在实践中，iptables还经常用于网络地址转换（NAT）的环境中通过网络地址转换技術，可以有效减少直接部署公网IP地址的服务器数量增强网络环境的安全性。网络地址转换分为源地址转换和目的地址转换1. 源地址转换源地址转换，主要用于无外网IP的服务器（Server