在本课程中你将了解如何配置网络地址转换(NAT)，用作源NAT和目的NAT，使流量穿越FortiGate。

在完成这一课程之后，你应该具备配置网络地址转换(NAT)，用作源NAT和目的NAT，使流量穿越FortiGate的实用技能。这包括：

• 在防火墙策略NAT和*NAT之间进行选择

• 配置防火墙策略源NAT和目的NAT(虚拟IP)

• 配置*NAT

• 使用SIP会话助手来进行VoIP

• 了解在FortiGate上的会话表

除了安全扫描之外，防火墙策略还决定了应用于每个数据包的网络地址转换(NAT)或端口地址转换(PAT)。

　　NAT和PAT，也称为NAPT，将内部的，通常是私有的IP地址转换为外部的，通常是公共的或者因特网的IP地址。

　　在FortiOS中，NAT和流量转发应用于相同的防火墙策略。但是，诊断方法清楚地显示NAT和转发作为单独的操作。

• 在防火墙策略和IP池中，NAT选项是源NAT。

• 虚拟IP是目标NAT。

当你使用防火墙策略NAT模式时，你必须为每个防火墙策略配置SNAT和DNAT。

　　*NAT是在每个虚拟域配置(稍后在培训中讨论)，这意味着SNAT和DNAT配置将自动应用于多个防火墙策略，根据你所指定的SNAT和DNAT规则，与防火墙策略NAT中的每个防火墙策略不同。

　　作为一种最佳实践，当你使用*NAT时，你应该确保配置特定的SNAT和DNAT规则，以便在你的配置中只匹配所需的防火墙策略。

　　防火墙策略NAT和*NAT都产生相同的结果。

　　例如，一个小的分支机构，你的防火墙策略更少。在这种情况下，你可以使用防火墙策略NAT。

　　在托管服务提供者的情况下，*NAT可以用于为包含大量防火墙策略的虚拟域进行SNAT和DNAT。你只需配置*SNAT和DNAT规则，它们就可以应用于多个防火墙策略。

在本节中，你将学习如何配置防火墙策略NAT来执行源NAT和目标NAT，以及如何将它应用于通过FortiGate的所有流量。

当NAT在防火墙策略上启用时，源NAT选项使用了流出接口地址。这是一个多对一的NAT，换句话说，使用了端口地址转换(PAT)，并且使用原始的源地址和源端口组合以及分配的源端口来跟踪连接。这是与重载IP池类型相同的行为，稍后将讨论。

　　你可以选择一个固定的端口，在这种情况下，源端口转换是禁用的。对于固定端口，如果两个或多个连接需要同一个IP地址的同一个源端口，那么只有一个连接可以建立。

　　在本例中，创建了从内部到wan1(IP地址172.20.20.200)的防火墙策略，用户将从源10.10.10.10:1025去到192.168.10.10:80，由于NAT是在防火墙策略上启用的，所以源IP地址被转换成带有端口转换的出口接口IP。

如果你使用IP池，源地址将被转换为来自该池的地址，而不是出口接口地址。池中地址的数量越大，可以支持的连接的数量就越大。

　　默认的IP池类型是过载。在IP池类型过载中，使用多对一或少量关系和端口转换。

　　在本例中，源IP 10.10.10.10将被转换为从IP地址池得到的IP地址(172.20.20.2-172.20.20.10)。

  【提示】如果启用了*NAT，就不会出现地址池设置。

在一对一池类型中，一个内部IP地址在先到先服务的基础上映射到一个外部地址。

　　有一个内部地址映射到外部地址的映射。映射不是固定的，如果没有更多可用的地址，就会拒绝连接。

　　另外，在一对一的情况下，端口地址转换是不需要的。在这个示例中，你可以看到在出口和入口处地址都显示了相同的源端口。

在固定端口范围池类型中，它提供了内部IP地址范围和外部IP地址范围之间的显式关系，并禁用了端口地址转换。它允许内部起始IP/内端IP范围的固定映射到外部起始IP/外部终端IP范围。

　　本例使用一个固定端口范围的IP池。

　　内部地址范围为10.0.1.10-10.0.1.11映射到外部地址范围10.200.1.7-10.200.1.8。

这两个CLI输出说明了端口块分配类型和默认过载类型之间的行为差异。

　　使用hping，一个流氓客户端每秒生成多个SYN包。在第一个示例中，端口块分配类型限制客户机到该IP池的64个连接。其他用户不会受到这个流氓客户的影响。

　　在第二个示例中，重载类型没有限制，而流氓客户端在会话表中使用了更多的连接。其他用户现在也会受到影响。

虚拟IP(VIP)是目标NAT对象。对于匹配VIP的会话，目标地址将被翻译：通常一个公共Internet地址被转换为服务器的私有网络地址。在防火墙策略的目标地址字段中选择VIP。

　　默认的VIP类型是静态NAT。这是一个一对一的映射，适用于传入和传出的连接。也就是说，使用NAT启用的出站策略将使用VIP地址而不是出站接口地址。但是，可以通过使用IP池来覆盖此行为。

　　静态NAT VIP可以限制在某些端口上。例如，连接到端口8080上的外部IP，映射到端口80上的内部IP。

　　从CLI中，你可以选择作为NAT类型的负载平衡和服务器负载平衡。简单的负载均衡分布从外部IP地址到多个内部地址的连接。稍后将在该机制上构建，使用虚拟服务器和实际服务器，并提供会话持久性和服务器可用性检查机制。

　　重要的是要对外部接口(出口)接口进行路由。增强了对VIP和IP池对象的ARP请求的响应。ARP响应是可配置的。

在本例中，源IP地址192.168.10.10正在尝试访问目标IP地址172.20.20.222，端口TCP 80。

　　连接到VIP 172.20.20.222是NAT到内部主机10.10.10.10。

　　因为这是静态NAT，所有来自10.10.10.10的外出连接将在包的目的地字段中使用VIP地址，而不是出站接口的地址。

在FortiOS 5.2和5.4，流量被允许进入下一条策略。但是，当你使用VIP防火墙策略时，可能会有一些例外。

　　当配置VIP时，对于传入(WAN到LAN)连接，它将首先与VIP表匹配。

　　在这个工作示例中，从WAN到LAN的防火墙策略配置了一个特定的源，而操作是被拒绝的。而第二条防火墙策略允许访问VIP(目标地址)。尽管拒绝的防火墙策略处于列表的顶部，但是第二条防火墙策略仍然允许被拒绝的源访问VIP。

　　为了阻止来自被拒绝的消息源的流量，你必须启用在拒绝防火墙策略的隔离防火墙策略，该策略跳过了VIP id检查。或者，你可以将目标地址配置为拒绝策略中的虚拟IP，而不是全部。

在本节中，你将学习如何配置*NAT来执行源NAT和目标NAT。

　　*SNAT和DNAT(VIP)是定义源和目标NAT的另一种方法，这使得网络地址转换在控制IP地址、协议和端口转换方面具有更大的粒度。

在FortiGate固件版本5.4之前，*NAT只能配置为源NAT，在FortiGate固件版本5.4中，它允许你配置*SNAT和DNAT(VIP)。

　　默认情况下，*NAT是禁用的，只能从CLI启用。一旦启用了*NAT，你就可以从GUI配置这两个选项：

• *SNAT：源网络地址转换

• DNAT或虚拟IP：目标网络地址转换

　　如果你尝试启用*NAT，但是在防火墙策略中配置了IP池或VIP，会发生什么情况呢？

　　CLI将不允许这种情况，并将使用一个带有虚拟IP或IP池的消息引用防火墙策略ID。为了启用*NAT，你必须从现有的防火墙策略中删除虚拟IP或IP池引用。

　　另外值得一提的是，如果*NAT在FortiGate固件5.2中启用，那么在系统设置下的*NAT表不会转换，如果你试图升级到FortiGate固件5.4。这将导致使用*NAT的防火墙策略使用传出的接口IP地址。你必须重新配置*SNAT策略，将FortiGate固件升级到5.4。

从FortiGate 5.4开始，*SNAT策略应用于虚拟域(VDOM)，而不是针对特定的防火墙策略。NAT在防火墙策略控制*SNAT是否被使用。如果在防火墙策略上启用NAT，则使用*SNAT。(稍后将在培训中讨论VDOM。)

　　如果*SNAT策略标准与基于多个防火墙策略的流量匹配，那么只要在这些防火墙策略上启用NAT，*SNAT策略将应用于这些防火墙策略。

　　如果在没有匹配的*SNAT策略或没有配置中心SNAT策略时，如果NAT启用了防火墙策略，会发生什么情况？在这种情况下，如果没有匹配的*SNAT规则，那么ForiGate将自动地为源NAT使用输出接口IP地址。

　　与防火墙策略类似，*SNAT策略是从上到下处理的，如果找到匹配，源地址和源端口将根据*SNAT策略进行翻译。

　　通过在*SNAT策略中定义匹配的标准，你可以对通过防火墙策略的流量进行更细粒度的控制。基于：

• 源地址

• 目标地址

• 协议

• 源端口

在本例中，*SNAT策略将源IP地址转换为已定义的IP池地址(172.20.20.10)。然而，只有当流量匹配*SNAT策略中定义的所有变量时，才会进行转换，即来自源IP地址的流量必须为目的地IP地址(192.168.10.10)和TCP协议。为了说明目的，只使用一个IP地址作为目标，并且IP池类型被设置为一个单一IP地址的过载。

　　防火墙策略是通过NAT启用的内部创建的。请记住，在防火墙策略上的NAT选项控制是否使用了*SNAT策略。

　　如果用户尝试任何基于tcp的会话(例如http、https)到目标IP地址192.168.10.10。源IP地址将被转换为在*NAT策略中定义的IP池地址。如果用户试图将任何ICMP或基于udp的通信发送到192.168.10.10，该怎么办？源地址是否会被转换为*NAT策略中定义的IP池？

　　由于中心的SNAT策略不匹配，FortiGate自动使用流出接口IP地址(wan1)作为源NAT。如果用户尝试基于tcp的通信到另一个目标IP地址192.168.10.20怎么办？源地址是否会被转换为*NAT策略中定义的IP池？

　　同样，192.168.10.20的目标IP地址与*NAT策略不匹配，因此FortiGate将使用流出接口IP地址(wan1)作为源NAT。

FortiGate习惯上会在防火墙策略中选择虚拟IP作为目标地址。

　　从FortiGate 5.4固件开始，你可以为目标NAT配置DNAT或Virtual IP，也就是每个VDOM。一旦配置了VIP，就会自动在内核中创建一个规则，以允许目的地NAT发生，而不需要额外的配置。

　　你是否失去了为特定的VIP和服务定义防火墙策略的粒度?

　　不，你没有，假设你有几个想要的内部策略和多个VIP，你想要为其他VIP提供一些VIP和其他服务的服务。你可以使用VIP的映射IP的目标地址定义每个防火墙策略，并选择适当的服务来允许或拒绝。

　　请注意，如果配置*SNAT和*DNAT(VIP)，那么外向(内部到wan)的流量将根据*SNAT和DNAT(VIP)配置，将NAT发送到DNAT/VIP地址。

在本例中，创建了一个DNAT&Virtual IPs规则，将外部IP地址映射为172.20.20.222到内部IP地址10.10.10.10。请记住，一旦创建了一个虚拟IP，就会在内核中创建一个规则，以允许DNAT发生。

　　从Wan1到内部的防火墙策略是由目标地址所有或映射的IP地址/范围(10.10.10.10)来创建的。

　　源IP地址192.168.10.10正试图通过端口TCP 80访问目标IP地址172.20.20.222。连接到VIP 172.20.20.222的连接到内部主机10.10.10.10，没有任何额外的配置。

*NAT可以通过从CLI执行〖config system setting〗下面的〖set central-nat disable〗命令来禁用，如果*NAT被禁用，那么使用*SNAT和DNAT规则的防火墙策略会发生什么情况呢？

　　本地的流量日志可以直接提供关于FortiGate的有关流量的信息。默认情况下，这个选项是禁用的，因为它们可以生成大量的日志。

　　流入到流出的防火墙策略仍然可以使用出站接口IP地址。但是，流入到流出的防火墙策略将不会使用IP池地址，此前，这一政策与*SNAT策略有关。如果需要使用IP池，则需要编辑防火墙策略以使用IP池。

　　使用DNAT&Virtual IP的隔离防火墙策略将停止工作，因为在*NAT中，防火墙策略中的目标地址只是一个地址对象，而不是真正的VIP。如果没有*nat连接到DNAT表，address对象将导致前策略检查失败——策略ID 0将拒绝通信。

　　你需要编辑出口到入口防火墙策略，并选择VIP作为目标地址

在本节中，你将了解如何使用会话帮助来分析某些协议数据包中的数据，以及如何允许这些协议通过FortiGate传递流量。

有些应用程序层协议并不是完全独立于底层的，例如网络或传输层。例如，地址可以在应用程序层中重复。如果会话帮助检测到这种模式，它可能会更改应用程序头或创建所需的辅助连接。

　　一个很好的例子就是应用程序具有控制和数据或媒体通道，例如使用FTP。防火墙通常允许控制通道，并依赖会话助手来处理动态数据或媒体传输连接。

　　当需要更高级的应用程序跟踪和控制时，可以使用应用程序层网关(ALG)。VoIP配置文件是一个ALG的例子。

在这个示例中，SIP SDP有效负载中的媒体接收地址被修改为映射的NAT之后的IP地址。

　　注意，由于防火墙策略是有状态的，所以打开了一个针孔，以允许应答通信

　　要即使你没有明确地创建防火墙策略来允许传入的流量。这个概念也与其他一些协议一起使用，比如IPsec的NAT-T。

在本节中，你将了解一个会话表如何跟踪会话信息，这有助于理解应用于通信的操作，例如源NAT、目的地NAT和路由。

你可以从GUI查看所有会话页面，但是CLI提供了关于会话表中的会话的更多信息。

　　会话表显示了每个会话连接的防火墙性能和连接的最大连接数。但是请记住，如果你的FortiGate包含FortiASIC NP芯片用于加速处理而不加载CPU，那么这可能不是完全准确的。会话表反映了CPU的已知和处理过程。

在防御工事上的每一个会话都可以在有限时间内空闲，这是由时间来定义的(TTL)。一旦在某个时间不活动和TTL到达后，该会话就会发现会话是空闲的，会话将从会话表中删除。

　　由于会话表有一个有限数量的RAM，可以在你的FortiGate上使用，因此调整会话TTL可以提高性能。有全局缺省计时器、会话状态计时器和在防火墙对象中可配置的计时器。

诊断系统提供了许多选项，可以过滤、清除或显示会话列表。你还可以通过运行〖get system session list〗命令来列出关于会话的简要信息。

　　在查看会话表之前，首先要构建一个过滤器。要查看我们的测试连接，你可以在dst 10.200.1.254和dport 80上进行过滤。

在本例中，你可以看到会话TTL，它反映了在将会话从表中删除之前，FortiGate可以接收到多长时间。

　　在这里，你可以看到应用于流量的路由和NAT操作。防火墙策略ID也被跟踪。

　　TCP的proto_state是从它的状态机中获取的，我们将在下一讲中讨论它。

在前面的幻灯片中，请记住，会话表中包含一个表示连接当前TCP状态的数字。这些是TCP状态机的状态。它们是单个数字的值，但是原始状态总是显示为两个数字。这是因为FortiGate是有状态的防火墙，并且跟踪原始的方向(客户端状态)和应答方向(服务器端状态)。如果在长时间内，在SYN状态中有太多的连接，这就表明了一个SYN的洪水，你可以用DoS策略来减轻它。

　　这个表和流程图将第二个数字值与不同的TCP会话状态关联起来。例如，当FortiGate接收到SYN包时，第二个数字是2。一旦接收到SYN/ACK，它就会变成3。在三次握手之后，状态值将更改为1。

　　当一个会话被双方关闭时，FortiGate将在会话表中保留几秒钟，以允许任何可能在FIN/ACK包之后到达的无序包。这是状态值5。

尽管UDP是面向消息的、无状态的协议，但它并不需要像TCP那样被确认的双向连接，因此没有连接状态。但是，FortiGate的会话表使用原始状态=字段来跟踪单向UDP为状态0，并将双向UDP作为状态1。

　　当第一个包接收到第一个包时，它创建条目并将状态设置为0。如果目标应答，那么在对话的其余部分中，FortiGate将把状态标志更新为1。

　　值得注意的是，ICMP，如ping和traceroute，没有协议状态，它将始终显示proto_state=00。

回顾一下我们讨论过的内容：

• 在防火墙策略NAT和*NAT之间进行选择

• 源NAT的不同类型的IP池配置

• 目标NAT的虚拟ip配置

• 源NAT的*SNAT策略配置

• DNAT & Virtual IPs

• 使用SIP会话助手来进行VoIP

• 如何解释会话表

飞塔技术 - 老梅子   QQ：57389522

---