网络安全网关的地址转换特性(NAT)

1. nat是网络安全设备防火墙的核心特性之一，在边缘网关设备上，把内外私有ipv4地址转换为公网ipv4地址过程。其目的是为了解决ipv4设备在网络通信过程中地址不足的问题。

2. 按照转换的方式分为：静态转换、动态转换（包括PAT和NO-PAT模式）、内部服务器地址转换。

静态转换：内网地址始终唯一对应一个公网地址，除非修改网关NAT配置。

动态转换：内网ip地址通过动态转换为公网地址池里面的一个地址，no-pat模式，即与端口无关，

转换前后源端口不发生变化；而pat模式，端口相关模式，内网的ip和端口同时进行转换，

转换为公网地址+端口的方式，其中端口值转换前后基本不相同，例如192.168.1.1~3，

src-port为10000，可能转换为200.1.1.1+src-port 1025~1027。

内部服务器转换：内网服务器（一般私有ip）允许外网用户访问，需要在边缘设备配置地址转换，

服务器地址唯一的对应一个公网ip，这样从公网访问的流量，可以通过网关边缘设备，

访问内网私有地址服务器。

端口块方式：分为静态端口块模式和动态端口块模式。

3. NAT表项：网关设备所维护的NAT实时状态表项，一般包括一条流量转换前后的五元组信息（sip，dip，sport，dport，协议类型）。从内网穿过网关访问外网，网关上会

维持地址转换的表项，由协议的首报文创建，后续报文（包括反向报文）通过查找NAT

表项来进行地址转换，因为一个协议事务，对于单通道协议，只需要维持一个nat表项，

就足够。

4. nat日志 生成nat转换表项的日志，特别是动态转换，利于对已经结束的流量进行溯源。其次，

生成nat转换的告警信息，例如是否支持地址池或端口块已经用尽灯。

5. ALG: 全称应用层载荷网关，像FTP、SIP、RTSP等多通道协议，一般包括控制通道和数据通道，

控制通道在协商数据通道参数的时候，可能服务器端会基于载荷信息主动发起数据连接

，此时若客户端发送的载荷里面的私网ip和端口，不进行转换，则服务器的连接找不到

目的私网ip在哪。其次，ALG也会使得边界网关对多通道协议的所有连接生成记录表项并

放行，防止服务器端发起的主动连接被边缘安全设备丢掉。

6. nat与vpn-instance：vpn-instance隔离地址重叠的两个区域。两个vpn-instance实例的私有地址

重叠的设备可以通过在边缘网关设备上进行nat转换来进行通信，例如vpn1的1.1.1.1 转换

为vpn2的2.2.2.2，vpn2的1.1.1.1转换为vpn1的3.3.3.3等。

7. NAT ：与ipsec vpn、ssl vpn的关系待说明。