安全防御设备---防火墙2

1.防火墙支持那些NAT技术，主要应用场景是什么？

1）域间双向NAT

优点：因为路由的原因没有办法直接将包扔到外网，但是我们可以将包扔到防火墙处，然后在防火墙处做一个域间双向NAT实现内外网通讯。

缺点：若外网传递一个攻击包，那么内网收到的包因为防火墙处做了NAT策略破坏了数据包的完整性（所有包的源地址都相同），造成内网用户分辨不了攻击包，这样就会出现内网用户被攻击的现象。

注意：

• NAT策略：注意转换前数据包源、目的地址是什么，及转换后源、目的地址是什么

• 安全策略：注意没有做NAT时数据应该放行的参数，即做完NAT后应该放行的参数

2）域内双向路由

现象：内网用户请求的是同在内网服务器的公网地址，但是返回时是服务器的私网地址，此时用户等待的IP地址却是服务器公网地址，返回的IP地址不同，此时的数据包不会被采用。

域内NAT转换：

• 在防火墙处服务器回包时：源IP=私网IP，目的IP=公网IP
• 在防火墙NAT转换后：源IP=公网IP，目的IP=客户端私网IP

3）双出口NAT

现象：在出口连接的有两个运营商，此时有两个结构：主备结构、负载结构。我们去往不同服务器就要走不同的线路。此时就有一个问题就是数据包出去的时候走的第一天网段，回来的时候在没有做策略的情况下有可能会转移到第二条线路返回。

主备结构如何设置：使用浮动静态路由，两条缺省