【每日一记】第10天+AF-IPv4地址转换
  

阿勒泰 26744人觉得有帮助

{{ttag.title}}
本帖最后由 阿勒泰 于 2022-8-24 18:02 编辑

简介:
AF的地址转换分为三种,源地址转换,目的地址转换,双向地址转换;
源地址转换:也称为代理上网或SNAT,一般用于内网电脑配置私有IP、防火墙外网口地址是公网IP,会把私有IP转换为公网IP,通过公网IP访问互联网;
目的地址转换:也称目的端口映射 或DNAT,主要用于内部服务器以公网地址向外网用户提供服务的情况;
双向地址转换:即在同一条地址转换规则中同时包含源地址和目标地址的转换,常用于内、外网用户通过公网IP或者公网域名访问内网的服务器;


区别:
1、源地址转换的主要作用是设置SNAT规则代理内网用户上网,也可以设置SNAT规则进行其他的源地址转换
2、目标地址转换的主要作用是发布内网服务器到公网,通过设置DNAT规则进行目标地址转换
3、双向地址转换是指在一条地址转换规则中,同时包含源地址和目标地址的转换,匹配规则的数据流将被同时转换源IP地址和目标IP地址,常用于内网用户通过公网IP或者域名访问内网的服务器


源地址转换:
源地址转换(SNAT)即内网地址访问外网时,将发起访问的内网IP地址转换为指定的IP地址,内网的多台主机可以通过同一个有效的公网IP地址访问外网

AF的源地址转换原理
源地址转换也称为代理上网,源地址转换是指通过策略匹配后会把对应数据包的源IP修改为另一个IP,一般用于内网电脑配置私有IP、防火墙外网口地址是公网IP,会把私有IP转换为公网IP,通过公网IP访问互联网

A
F的源地址转换配置
提醒:
1、需要获取内网用户的网段
2、路由模式才支持源地址转换
源地址转换配置步骤:
1、以标准版本AF8.0.35版本操作路径示例:可在【网络】-【策略】-【源地址转换】中配置
2、以标准版本AF7.4版本操作路径示例:可在【网络】-【地址转换】-【源地址转换】中配置
3、 以标准版本AF7.3版本操作路径示例:可在【防火墙】-【地址转换】-【目的地址转换】中配置
5627962f9b617ecd89.png

【8.0.35之后版本的地址转换的详细配置参考如下,也可直接点击这里查看】
步骤1.定义内外网区域。在配置源地址转换规则之前,首先要在[网络\接口\区域]定义好接口所属的[区域],[对象\网络对象]定义好内网网段所属的IP组。详细配置,例中将ETH1定义为[外网区],ETH2定义为[内网区]。172.16.1.0/24和192.168.1.0/24定义成IP组[内网]。
4750162f9b640401bb.png

步骤2.新增NAT,在[地址转换/IPv4地址转换]页面点击<新增>,弹出[新增NAT]页面,默认选择[源地址转换],在“基础信息”栏的[名称]中填写规则的名称,自定义好描述信息,添加到转换规则的位置以及生效时间。
5439862f9b654b68d5.png

步骤3.设置原始数据包的匹配条件。
源区域和网络对象:用于设置需要进行源地址转换即匹配此条规则的源IP条件,只有来自指定的源区域和指定网络对象的数据才会匹配该规则、进行源地址转换。如路由接口代理内网上网,则一般配置源区域为内网、源网络对象为内网IP网段,或者全部。此案例中选择区域为[内网区],网络对象为[内网]。
目的区域/接口和网络对象:用于设置匹配条件的目的数据,数据到哪个目标区域、访问哪些目标IP组、或者从哪个接口出去的数据,才匹配该规则。如路由接口代理内网上网,则一般配置目标区域为公网、网络对象为全部。本案例中选择目标区域为[外网区],网络对象为[全部]。协议:如果需要设置符合指定协议、源端口、目标端口的数据才进行源地址转换,则可以定义这部分。点击下拉框进行设置,本案例中不需要设置此项,使用默认“any”即可。
2782462f9b67ba4a2b.png

步骤4.设置转换后的数据包。[源地址转换]设置当源地址、目标地址、协议等条件都匹配的数据,进行IP地址转换时,将源IP转换为哪个IP地址。可以选择防火墙接口的出接口地址、某一段IP范围、单个指定IP、网络对象或者不转换。本案例中选择出接口地址。
6366862f9b693ac84b.png

步骤5.保存配置。最后点击<确定>,完成源地址转换规则的配置。

目的地址转换:
AF的目的地址转换原理
目的地址转换也称为反向地址转换或地址映射,目的地址转换是一种单向的针对数据包目标地址的地址转换,主要用于内部服务器以公网地址向外网用户提供服务的情况

AF的目的地址转换配置
AF目的地址转换配置步骤:
在AF7.4到AF8.0.32版本,:可通过【网络】-【地址转换】-【目的地址转换】中配置
200562f9b6d0e64fe.png

注意事项:
1、映射前需要保证AF和服务器端口可以相互通信
2、需要做映射 的公网IP地址配置在AF设备上
3、AF7.3及以下版本操作步骤一致,但页面稍有不同,可在【防火墙】-【地址转换】-【目的地址转换】中配置!
4、AF的8.0.35版本到AF8.0.48版本,可以在【策略】-【地址转换】-【新增】-【源地址转换】中配置,【原始数据包】是转换前的源区域、源地址、目的地址与服务,【转换后数据包】是选择源地址转换后的IP与端口;
目的地址转换和双向地址转换配置指导:点击这里

双向地址转换:
AF的双向地址转换原理
双向地址转换是指在一条地址转换规则中,同时包含源地址和目标地址的转换,匹配双向地址转换规则的数据流将被同时转换源IP地址和目标IP地址;
AF双向地址转换应用场景:
1、内网用户使用公网地址来访问内网服务器;
2、限制请求的源ip与目的ip地址
注:配置双向地址转换时,若源区域勾选了外网区域,同样可以实现外网用户通过外网地址访问内网服务器(即目的地址转换功能)

AF的双向地址转换配置
AF双向地址转换配置步骤:
679862f9b71c3df5d.png

4866362f9b7319daa7.png

注意事项:
1、映射前需要保证AF和服务器端口可以相互通信
2、需要做映射 的公网IP地址配置在AF设备上
3、AF的8.0.35版本到AF8.0.48版本,可以在【策略】-【地址转换】-【新增】-【双向地址转换】中配置,【原始数据包】是转换前的源区域、源地址、目的地址与服务,【转换后数据包】是配置转换后的源IP地址与转换后的目的IP地址;
目的地址转换和双向地址转换配置指导:点击这里

手记
好了,看了上面内容的人应该能猜出来,上面的内容都是智能客服的自动回复,下面说一下我自己的实际情况。

环境
AF 807R2

配置区域
网络-接口/区域-区域
7599362f9b794b0acb.png

首先在区域标签页,根据自己的情况设置好区域,区分开外网和内网,名字自己能分辨出来就好,最好别人也能分辨出来(省的有像我一样的菜鸟小倒霉蛋接锅以后还要重新分析)。上面智能客服的回答,以及后面会说为啥要区分好。

网络对象
对象-网络对象
4869462f9b7ae2afc3.png

根据自己的网络情况设置好网络对象,方便配置的时候直接进行对象的选择

地址转换
策略-地址转换,新增时可选源地址转换和服务器映射(服务器映射中设置目的转换和双向转换)。
3728762f9b7c833b6c.png

地址转换-源地址转换
5412062f9b7e29afaa.png

源地址转换转换后的源是范围的时候,支持一对一nat,方便溯源。

地址转换-服务器映射
4121562f9b7f278a43.png

地址转换-双向地址转换
服务器映射-高级设置
1235462f9b80287959.png

如需双向地址转换,在做服务器映射时,源区域需要同时勾选外网区域和内网区域

疑问
如果需要对受到的攻击进行溯源,那么做地址转换的时候应该怎么操作,或者开启防火墙的哪些日志。
希望有明白的大佬给点指点,或者各位大佬在回复里讨论下。

打赏鼓励作者,期待更多好文!

打赏
29人已打赏

Sangfor43876 发表于 2022-8-22 23:18
  
感谢楼主分享!文章对于配置和理解AF的地址转换功能很有帮助,如能增加新老架构的对比和分析及一些特殊转换的案例等则能让大家对于地址转换问题处理的更有思路,另外对于楼主提出的疑问,如果是将内网服务器发布出去的场景,建议只做目的地址转换,不要转换公网进来的源地址,这样即使有攻击,也可以根据具体的IP地址能进行溯源,另外,如果需要记录地址转换的日志,建议配置syslog服务器来记录,方便后续对于安全事件进行溯源分析,期待楼主带来更多有价值的分享~
阿勒泰 发表于 2022-8-15 11:07
  
沙发自留,收集大佬讨论后,总结在这里。
飞翔的苹果 发表于 2022-8-16 11:52
  
感谢楼主分享,每日学习打卡
新手527146 发表于 2022-8-16 14:52
  

感谢楼主分享,每日学习打卡
怪兽君 发表于 2022-8-16 16:51
  
感谢楼主分享,每日学习打卡
天堂之龙 发表于 2022-8-16 23:14
  
感谢楼主分享,每日学习打卡
sangfor_1126 发表于 2022-8-17 09:08
  
感谢分享有助于工作和学习!
新手719320 发表于 2022-8-17 11:09
  
感谢分享有助于工资和学习!
奔走的公牛 发表于 2022-8-18 10:08
  
坚持每日学习打卡!!!
新手741261 发表于 2022-8-18 14:38
  
感谢楼主分享,每日学习打卡
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
每周精选
技术笔记
干货满满
技术咨询
新版本体验
信服课堂视频
标准化排查
产品连连看
安装部署配置
功能体验
自助服务平台操作指引
秒懂零信任
GIF动图学习
2023技术争霸赛专题
通用技术
技术晨报
社区帮助指南
安全攻防
每日一记
玩转零信任
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

396
135
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人