最近公司將外聯(lián)區(qū)防火墻從已經(jīng)服役了10年的Juniper Netscreen替換成了華為的USG系列。在這里不得不再佩服一下netscreen系列防火墻的穩(wěn)定性，公司之前有好幾套netscreen系列的墻，10年來只重啟過兩次并且沒有出過任何問題，在當(dāng)年一眾防火墻產(chǎn)品里我認為是很無敵的很好用的存在?？上П籎uniper收購后現(xiàn)在已經(jīng)成為了歷史，在我們公司這也同樣即將成為歷史了。

進入正題，這次實施防火墻替換的網(wǎng)絡(luò)區(qū)域是外聯(lián)區(qū)，即專門用于對接第三方合作伙伴的區(qū)域。由于我們是金融機構(gòu)，對于與合作伙伴外聯(lián)對接在金融行業(yè)的做法通常就是需要做雙向NAT，即一個訪問請求源地址要轉(zhuǎn)換，目的地址也需要轉(zhuǎn)換。我們的做法是將NAT功能放在防火墻上做，畢竟路由器等其他設(shè)備并沒有防火墻那么強的NAT能力。

在替換為華為USG防火墻之前對它的處理機制不是完全清楚，畢竟每個廠家處理的機制各不相同。但為了日后運維的時候能夠快速排錯還是有必要搞清楚其中的NAT轉(zhuǎn)發(fā)處理流程的，以下是查看官網(wǎng)文檔后梳理后的理解。

外聯(lián)區(qū)組網(wǎng)拓撲

首先講講為何金融機構(gòu)外聯(lián)訪問通常需要做雙向NAT。在兩個機構(gòu)之間通常都是用專線進行對接，比如我方發(fā)起請求訪問對方的場景，我方的源服務(wù)器IP地址在出局后，會做源NAT將我方服務(wù)器IP映射成另外一個IP，目的是為了隱藏內(nèi)部真實IP，是從安全性角度考慮。另外會把對方服務(wù)器IP在內(nèi)部做一個目的NAT，在內(nèi)部源服務(wù)器發(fā)起的請求是訪問這個映射后的IP，而不是訪問對方真實的IP，主要目的是對方的IP網(wǎng)段可能跟內(nèi)部網(wǎng)段會有沖突，因此在將外部地址引入進內(nèi)部網(wǎng)絡(luò)前，將這個IP地址轉(zhuǎn)換成內(nèi)部規(guī)劃好的網(wǎng)段，就可以避免此問題，同時在內(nèi)部一看這個請求的目標(biāo)地址就可以很清晰的知道是屬于外部網(wǎng)絡(luò)。

以下是簡化后的外聯(lián)區(qū)拓撲，我也會基于以下模擬的組網(wǎng)進行整個請求及NAT處理流程的講解。

NAT轉(zhuǎn)換關(guān)系

華為USG系列NAT處理流程

下圖是截取自華為官網(wǎng)的手冊，關(guān)于NAT的處理流程。

1) 當(dāng)請求的流量進入USG防火墻的入接口后，防火墻會查找目的NAT轉(zhuǎn)換表，匹配請求的目的地址是否需要轉(zhuǎn)換；

2) 如果命中轉(zhuǎn)換條目，目的地址會被轉(zhuǎn)換，不命中將會直接送到下一個流程；

3) 查找路由表，如命中路由表條目則送到下一個流程，路由表沒匹配將會被丟棄；

4) 接下來會送到安全策略里面檢查，如果檢查匹配安全策略的permit條目，則被放行進入下一個流程，否則請求將會被丟棄（安全策略需要配置業(yè)務(wù)流量最開始的源IP地址和最終的目的IP地址）；

5) 匹配源NAT轉(zhuǎn)換表，如果命中則會對源地址進行轉(zhuǎn)換并創(chuàng)建會話表，否則不進行轉(zhuǎn)換直接創(chuàng)建會話表；

6) 流量從出接口送出。

模擬場景轉(zhuǎn)發(fā)流程

根據(jù)以上對華為USG系列防火墻的NAT處理流程，以及結(jié)合以上外聯(lián)區(qū)模擬環(huán)境的拓撲，我們再來看看整個做了雙向NAT后的轉(zhuǎn)發(fā)過程。

華為USG防火墻主要配置我列一下出來：

ip route-static 172.16.0.10 255.255.255.255 1.1.1.2 description EXT_Route //根據(jù)處理流程，外部地址的路由需要寫成對方真實的IP ip route-static 10.0.0.0 255.255.255.0 2.1.1.2 description INT_Route //內(nèi)部DMZ區(qū)網(wǎng)段路由 # //源目轉(zhuǎn)換可以寫在一條NAT策略里，NAT轉(zhuǎn)換的地址池需要預(yù)先定義 nat-policy rule name DMZ_EXT_01 source-zone dmz source-address address-set 10.0.0.10/32 destination-address address-set 192.168.200.10/32 action source-nat address-group Pool_192.168.100.10 action destination-nat static address-to-address address-group Pool_172.16.0.10 # //安全策略放行 security-policy rule name DMZ_EXT_01 description NAT(DMZ_EXT_01) source-zone dmz destination-zone untrust source-address address-set 10.0.0.10/32 destination-address 172.16.0.10 mask 255.255.255.255 service https service icmp action permit

整個請求及NAT轉(zhuǎn)換過程如下：

內(nèi)部服務(wù)器發(fā)起請求

到達防火墻進行目的NAT轉(zhuǎn)換，匹配安全策略并查找路由表

進行源NAT轉(zhuǎn)換，流量送出給合作伙伴

如果是反過來，由對方發(fā)起請求到內(nèi)部服務(wù)器，其實整個處理流程也是一樣的，這里就不再贅述。