优点:因为路由的原因没有办法直接将包扔到外网,但是我们可以将包扔到防火墙处,然后在防火墙处做一个域间双向NAT实现内外网通讯。
缺点:若外网传递一个攻击包,那么内网收到的包因为防火墙处做了NAT策略破坏了数据包的完整性(所有包的源地址都相同),造成内网用户分辨不了攻击包,这样就会出现内网用户被攻击的现象。
注意:
NAT策略:注意转换前数据包源、目的地址是什么,及转换后源、目的地址是什么
安全策略:注意没有做NAT时数据应该放行的参数,即做完NAT后应该放行的参数
现象:内网用户请求的是同在内网服务器的公网地址,但是返回时是服务器的私网地址,此时用户等待的IP地址却是服务器公网地址,返回的IP地址不同,此时的数据包不会被采用。
域内NAT转换:
现象:在出口连接的有两个运营商,此时有两个结构:主备结构、负载结构。我们去往不同服务器就要走不同的线路。此时就有一个问题就是数据包出去的时候走的第一天网段,回来的时候在没有做策略的情况下有可能会转移到第二条线路返回。
主备结构如何设置:使用浮动静态路由,两条缺省