NAT alg 和 ASPF

NAT的部署已经在企业网中必不可少,当防火墙作为网络的出口或者在网络中充当安全网关时,内网用户访问外网或者外网用户访问内网的服务器都要经过NAT穿越。

由于防火墙的特殊性,出于安全的考虑,需要建立相应的安全策略。当防火墙检测到这个数据包是一个首包时,就会根据相应的安全策略进行检查,符合安全策略就给通过并生成对应的会话表项。后续数据包到达是就无须在进行安全策略的检查,直接匹配会话表进行转发,这样就大大提高了转发效率。

先上一张防火墙转发数据的流程图:

双向NAT

出现背景:


在防火墙上部署了NATserver后,外网用户可以访问内部服务器。一般内部服务器都会通过一个域名进行解析。但如果内网用户也想通过此域名访问服务器就会出现问题。