Conociendo las modalidades de NAT en el origen en los firewalls de Huawei tercera parte Destacado

Última respuesta jul. 17, 2019 17:20:44 40 2 5 1

Aquí estamos de nueva cuenta para revisar este interesante tema de NAT en el origen, en esta publicación seguimos revisando las diferentes modalidades que se tienen para implementar esta tecnología.


Easy IP

Easy IP utiliza la dirección IP pública de la interfaz de salida como la dirección posterior a NAT y traduce tanto la dirección IP como el puerto. Easy IP también se aplica a los escenarios en los que la dirección IP de la interfaz se obtiene de forma dinámica.


Cuando la interfaz de salida del FW obtiene la dirección IP pública a través del acceso telefónico, no puede agregar la dirección IP pública al conjunto de direcciones porque la dirección pública se obtiene dinámicamente. En este caso, debe configurar el modo Easy IP para que el FW pueda traducir las direcciones cuando cambie la dirección IP pública. La figura 1 muestra su mecanismo.


Figura 1. Mecanismo de Easy IP


164009p66w6iwfd9ed9ika.png?image.png


El FW muestra el proceso de Easy IP cuando el host accede al servidor web.


1. Después de que el host envia un paquete al FW, el FW encuentra que el paquete necesita viajar desde la zona segura o trust a la zona insegura o untrust y que el paquete coincide con una política de seguridad. El FW también encuentra que el paquete coincide con una política de NAT específica, de modo que se debe realizar la traducción de la dirección de NAT.


2. El FW reemplaza la dirección IP de origen en el paquete con una dirección IP pública de una interfaz WAN y reemplaza el número de puerto de origen con un número de puerto público. Luego, el FW crea una entrada de sesión en la tabla de sesión y reenvía el paquete a través de Internet.


3. El servidor web envía un paquete de respuesta destinado al host. El FW recibe la respuesta y busca en la tabla de sesión la entrada creada en 2. El FW traduce la dirección de destino del paquete en la dirección IP del host y el número de puerto de destino en el número de puerto privado según la entrada. El FW luego reenvía el paquete al host a través de la intranet.


Como se traducen tanto las direcciones como los puertos, varios usuarios privados pueden compartir una dirección pública para acceder a Internet. El FW puede distinguir a los usuarios en función de los puertos, por lo que más usuarios pueden acceder a Internet al mismo tiempo.


Triplet NAT

Triplet NAT puede traducir las direcciones de origen y los puertos de los paquetes. Permite a los usuarios de Internet acceder a usuarios privados, coexistiendo con el intercambio de archivos basado en P2P, la comunicación de audio y la transmisión de video.


Si el FW utiliza quintuple NAT (NAPT) en un escenario en el que las PC de la intranet acceden a Internet, los dispositivos de la extranet no pueden acceder de manera proactiva a las PC de la intranet a través de los puertos y las direcciones IP traducidas.


Triplet NAT puede resolver perfectamente el problema porque triplet NAT tiene las siguientes dos características. La figura 2 muestra su mecanismo.


1. Los puertos después del triplet NAT no se pueden reutilizar Esto garantiza la consistencia del puerto de las PC de la intranet, pero reduce el uso de la dirección IP pública.


2. Los dispositivos de Extranet pueden acceder de manera proactiva a las PC de la intranet a través de las direcciones IP y los puertos traducidos. El FW permite dichos paquetes de acceso, incluso cuando no se configura una política de seguridad para dichos paquetes.


Figura 2. Mecanismo del triplete NAT

164115mwzncam0z1amxam0.png?image.png


El FW muestra el proceso de NAT triplete cuando el host A accede al host B.


1. Después de recibir un paquete enviado desde el host A, el FW determina que el paquete debe viajar entre las zonas seguras o trust e insegura o untrust en función de la dirección IP de destino. Después de que se realiza la verificación de la política de seguridad entre zonas, el FW busca la política de NAT entre zonas y descubre que NAT debe realizarse en el paquete.


2. El FW selecciona una dirección IP pública del grupo de direcciones NAT para reemplazar la dirección IP de origen del paquete con 1.1.1.10 y el número de puerto de origen del paquete con 2296. Después de establecer una entrada de sesión y una entrada de mapa de servidor, el FW envía el paquete al host B.


3. Después de recibir un paquete de respuesta enviado desde el host B, el FW busca en la tabla de sesión la entrada de sesión establecida en 2. El FW reemplaza la dirección IP de destino del paquete con 192.168.1.2 y el número de puerto del paquete con 6363 y luego envía el paquete al host A.


4. Cuando se recibe la solicitud del host C para acceder al host A antes de que la tabla de mapas del servidor caduque, el FW también puede buscar en la tabla del mapa del servidor y enviar el paquete al host A según las asignaciones de la tabla.

El FW genera una tabla de mapas de servidor que almacena las asignaciones entre las direcciones IP privadas del host y las direcciones IP públicas.


Las entradas de mapa de servidor de reenvío garantizan que las direcciones y puertos posteriores a NAT de las PC de la intranet permanezcan sin cambios.


Las entradas de retorno del mapa del servidor permiten que los dispositivos de la extranet accedan proactivamente a las PC de la intranet.


Triplet NAT se puede clasificar en dos tipos:


Triplet local NAT

La tabla de mapa del servidor generada por el triplet local NAT contiene parámetros de zona de seguridad. Solo los hosts en la zona de seguridad pueden acceder a los hosts de Intranet. Como se muestra en la Figura 2, si el host B y el host C se encuentran en diferentes zonas de seguridad y se ha establecido la relación NAT triplet entre el host A y el host B, el host C no puede usar la tabla de mapa de servidor establecida para acceder al host A.


Triplet global NAT

La tabla de mapa del servidor generada por el triplet NAT global no contiene parámetros de zona de seguridad. Una vez establecida la tabla de mapas de servidor, los hosts en todas las zonas de seguridad pueden acceder a los hosts de Intranet. Como se muestra en la Figura 2, si el host B y el host C se encuentran en diferentes zonas de seguridad y se ha establecido la relación NAT triplet entre el host A y el host B, el host C también puede usar la tabla de mapa de servidor establecida para acceder al host A.


El FW admite Smart triplet NAT y determina el modo de asignación de puertos según los puertos de destino de paquetes, lo que permite la reutilización de algunas direcciones IP públicas. Si el número de puerto de destino de un paquete está en el rango configurado, el modo NAPT se utiliza para la asignación de puertos; de lo contrario, se utiliza el modo NAT triplet.


Concluimos de momento con este interesante tema, como podrán ver existen diferentes opciones de configuración que podemos utilizar para proteger a nuestros usuarios internos cuando estos se quieren conectar a internet. Mantente en sintonía porque este tema no termina aquí, las próximas publicaciones hablaremos de la tecnología NAT en el destino.

 

FIN


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Kanimol_Tech Publicado hace 3 días Útil(0) Útil(0)
Interesante conocer las aportaciones que NAT ofrece a una red, gracias por compartir. Saludos.
  • x
  • convención:

Jorge Publicado Antes de ayer 17:20 Útil(0) Útil(0)
Gustavo.HdezF, buen día.

Muy interesante esta publicación, sobre todo muy bien explicada.

Para nuestros miembros de la comunidad Huawei Enterprise, comparto el siguiente link (vídeo en youtube) de como configurar Server Mapping (NAT Server) en nuestros appliance USG6000: https://youtu.be/0aktBoKaDP8

Saludos!
  • x
  • convención:

Senior Cybersecurity Engineer

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba