Kaynak NAT güvenlik duvarı türleri
Yönlendirici gibi bir güvenlik duvarı, adres çevirisini gerçekleştirmek için NAT işlevini dağıtabilir. Ancak yönlendiricilerle karşılaştırıldığında, güvenlik duvarının NAT işlevi, yöneticilerin NAT işlevini daha esnek bir şekilde kullanmasına izin vererek daha zengin seçenekler sunar. Bu yazıda, kaynak NAT işlevindeki güvenlik duvarını tartışacağız. Güvenlik duvarının kaynak NAT’ı iki türe ayrılabilir: yalnızca adres çevirisi ve aynı anda adres ve bağlantı noktası çevirisi. Yalnızca adres çevirisi modu, NAT No-PAT’ı içerirken, adres ve bağlantı noktası çevirisi modu, NAPT, Akıllı NAT, kolay IP ve üçlü NAT’ı içerir. NAT No-PAT NAT No-PAT yalnızca basit kaynak adres çevirisini gerçekleştirir. Yönetici NAT No-PAT’i yapılandırdığında, bir NAT adres havuzunun belirtilmesi gerekir. Cihaz, kullanıcı mesajlarının kaynak adres çevirisini gerçekleştirdiğinde, adres havuzundan bir IP adresi seçecek, mesajdaki kaynak IP adresini değiştirecek ve bir sunucu haritası girişi ve oturum girişi oluşturacak ve ardından mesajı gönderecektir. Her kullanıcının kaynak adres değiştirmeyi gerçekleştirmek için bir genel ağ adresine ihtiyacı olacağından, 100 dahili ağ kullanıcısı varsa, eş zamanlı kaynak adres çeviri isteklerini karşılamak için 100 genel ağ adresine ihtiyaç duyulur. Bu nedenle, NAT No-PAT genel ağ adresleri kaynağını kaydetmeyecektir.
Şekil 1: Kaynak IP başına benzersiz bir genel IP adresine NAT No-PAT çevirisi NAPT NAT No-PAT ile karşılaştırıldığında, NAPT yalnızca kaynak IP adresini değil, aynı zamanda kaynak bağlantı noktasını da çevirecektir. Bu mekanizma nedeniyle NAPT, bir genel IP adresinin birden çok özel ağ kullanıcısına karşılık gelmesine izin verir ve güvenlik duvarı, farklı kullanıcıları bağlantı noktası numaralarına göre ayırır. Ek olarak, NAPT, NAT No-PAT’in yaptığı gibi aynı anda her dönüşüm için bir sunucu eşleme tablosu ve bir oturum girişi oluşturmaz. Bunun yerine, yalnızca her dönüşüm için bir oturum girişi oluşturur.
Şekil 2: NAPT, hem IP’yi hem de bağlantı noktasını çevirir Akıllı NAT Smart NAT’ın ortaya çıkışı, NAT No-PAT’in intranet kullanıcılarına yalnızca birkaç adres çeviri ihtiyacı sağlayabildiği çelişkisini çözmek içindir. Akıllı NAT, iki NAT No-PAT ve NAPT modunu birleştirir. Adres havuzundaki bir IP adresini ayrılmış bir IP olarak belirtir. Adres havuzunda kalan adresler NAT No-PAT tarafından tükendiğinde, adres çeviri hizmetlerine ihtiyaç duyan ek kullanıcılar varsa, bu kullanıcıların adres çeviri gereksinimleri için güvenlik duvarı tarafından NAPT çevirisi yapılacaktır. Kolay IP Kolay IP modu, her ikisi de kaynak IP adresini ve kaynak bağlantı noktasını aynı anda dönüştüren NAPT moduna çok benzer. Ancak NAPT, PPPoE çevirmeli ağ kullanıcısı gibi kullanıcının genel IP’sinin sabit bir IP olmadığı senaryolarla karşılaşacaktır. Şu anda cihazda bir NAT adres havuzu belirtmenin bir yolu yoktur ve kolay IP modu kullanılabilir. Kolay IP modu, mesajın kaynak IP adresini dışa aktarma arayüzünün IP adresiyle değiştirerek, bir NAT adres havuzu belirleme işlemine olan ihtiyacı ortadan kaldırır. Bu, PPPoE senaryolarında adres çevirisini mümkün kılar. Üçlü NAT Üçlü NAT aynı zamanda adresleri ve bağlantı noktalarını aynı anda çeviren bir moddur. Ancak diğer kaynak NAT yöntemlerinden en büyük farkı, üçlü NAT’ın genel ağ kullanıcılarının özel ağ kullanıcılarına erişmesine izin vermesidir. Bunun nedeni, diğer kaynak NAT modlarının 5-demetli NAT modunda gerçekleştirilmesi ve aynı genel IP’nin aynı bağlantı noktası numarasını paylaşan farklı özel ağ kullanıcılarının olabilmesidir, örneğin: NAT adresinin 1.1.1.1 olduğunu varsayarsak, 10.1.1.1 kaynak adresi 2.2.2.2’nin TCP 80 bağlantı noktasına eriştiğinde, konuşmayı işaretlemek için 1.1.1.1’in 1000 numaralı bağlantı noktası kullanılır. Şu anda, 10.1.1.2, 2.2.2.2’nin TCP 200 bağlantı noktasına eriştiğinde, 1.1.1.1’in 1000 bağlantı noktası yeni görüşmeyi işaretlemek için kullanılabilir. Ancak 10.1.1.2, 2.2.2.2’nin TCP 80 bağlantı noktasına da eriştiğinde, oturumu 1.1.1.1’in diğer bağlantı noktalarıyla işaretlemek gerekir.
Şekil 3: 5’li NAT’ta bağlantı noktasının yeniden kullanımı Diğer bir deyişle, güvenlik duvarı oturumu beşli (kaynak bağlantı noktası, hedef bağlantı noktası, kaynak adres, hedef adres, protokol numarası) ile işaretlediğinde, kaynak adresi ve kaynak bağlantı noktası değiştirildikten sonra çoğaltılsa bile, hedef bağlantı noktası veya hedef IP adresi aynı değilse, güvenlik duvarı bu iki oturumu birbirinden ayırabilir . Beş gruplu NAT’tan farklı olarak, üç gruplu NAT modu, bağlantı noktası numaralarını yeniden kullanmaz, böylece bir kullanıcıyı benzersiz bir şekilde tanımlayabilir ve genel ağdan özel ağ kullanıcılarına erişmeyi mümkün kılar. NAT No-PAT gibi, üçlü NAT da aynı anda sunucu haritası girişi ve oturum girişi oluşturur . özetle Tablo 1, bu beş kaynak NAT modunun benzerliklerini ve farklılıklarını ayrıntılı olarak göstermektedir. NAT No-PAT / NAPT / Akıllı NAT / Kolay IP / Üçlü NAT Çeviri kaynağı IP’si – Y / Y / Y / Y / Y Dönüşüm kaynağı bağlantı noktası – N / Y / Y / Y / Y Sunucu haritası girişi oluştur – Y / N / N / N / Y Oturum girişi oluştur – Y / Y / Y / Y / Y Genel ağ kullanıcılarının aktif olarak erişmesine izin ver – Y / N / N / N / Y NAT adres havuzuna ihtiyacınız var – Y / Y / Y / N / Y Kaynak: https://forum.huawei.com/enterprise/en/source-nat-types-of-firewall/thread/804939-867