De acuerdo

Conoce las diferencias entre NAT ALG, NAT traversal y ASPF

52 0 0 0 0

Diferencia entre NAT ALG, NAT traversal y ASPF

Como se sabe, el protocolo multicanal más famoso, el FTP utiliza el puerto TCP 20 como puerto de conexión de datos y utiliza el puerto TCP 21 como puerto de conexión de control. Debido al mecanismo de detección del firewall, este tipo de protocolo será bloqueado por el puerto inconsistente durante las dos fases.

 

Para resolver este problema, se han desarrollado el NAT ALG y el ASPF, y en el capítulo de IPSec, hemos introducido el NAT traversal, así que ¿cuál sería la diferencia entre estas tres tecnologías? ¿Cuál deberíamos elegir para la red en vivo? En este post, vamos a ayudar a responder a eso.

* Las direcciones IP de abajo son falsas.

 

¿Por qué falla el FTP al atravesar el firewall?

El protocolo FTP utiliza el puerto TCP 21 para establecer la conexión de control, y luego intercambia el puerto que se utilizará para establecer la conexión de datos (modo FTP activo). Dado que el puerto se elige aleatoriamente, el firewall dejará descartara el tráfico debido a que no hay entrada de sesión.


falla conexión ftp activo

 

Figura 1. Establecimiento de la conexión de datos en modo FTP activo FTP no exitoso.

 

conexión FTP pasivo no exitoso


Figura 2. Establecimiento de una conexión de datos en modo FTP pasivo no exitoso.


NAT ALG

Para resolver los problemas inherentes a los protocolos multicanal, como el FTP, el NAT ALG elige una forma de traducir el puerto intercambiado que se utilizará para establecer la conexión de datos. De este modo, habrá una entrada de sesión en el firewall para que se permitan los paquetes SYN de la conexión de datos.

NAT ALG traduce el puerto intercambiado


Figura 3. NAT ALG traduce el puerto lógico intercambiado.

 

ASPF

A diferencia del NAT ALG, el ASPF utiliza el mapa del servidor para resolver este problema. Cuando el FTP intercambia el puerto TCP que se utilizará para el establecimiento de la conexión de datos, el firewall detectará ese puerto y creará una entrada de mapa de servidor ASPF cuando el cliente FTP intente conectarse al puerto de conexión de datos del servidor FTP (no el famoso, TCP 20, sino uno elegido al azar), el tráfico coincidirá con la entrada de mapa de servidor, y el firewall creará una entrada de tabla de sesiones directamente, sin comprobar la política de seguridad.


tabla de sesiones con ASPF

 

Figura 4. La entrada del mapa del servidor ASPF generada y la entrada de la tabla de sesiones.

 

NAT transversal.

A diferencia de los NAT ALG y ASPF, el NAT traversal utiliza la cabecera UDP para encapsular el tráfico de forma que ambos terminales puedan identificar el servicio. La aplicación más conocida del NAT traversal es el NAT traversal IPSec.


captura NAT tranversal

 

Figura 5. IKE añadiendo una cabecera UDP extra para atravesar el dispositivo NAT.

 

¿Cuál es la diferencia entre NAT ALG, ASP y NAT traversal?

A partir de la descripción anterior, podemos saber que estas tres características se pueden dividir en dos partes principales, el NAT traversal es totalmente diferente del NAT ALG y ASPF.

 

En el caso de NAT ALG y ASPF, todos se utilizan para resolver los problemas de los protocolos multicanal que pasa a través del dispositivo NAT, sólo que lo hacen de diferentes maneras. El NAT ALG traduce el puerto, mientras que el ASPF crea una entrada de mapa de servidor.


Saludos.


FIN.


También te puede interesar:

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000

                                                

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

Foro de Internet de las Cosas

                                                         

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.