NAT网关竟然有防火墙功能?
发布时间:2017-09-25 14:52
摘要: NAT网关的基于状态的SNAT功能是可以对内部服务器提供安全防护功能的,正确的使用NAT网关可以构筑更安全的云上网络。
防火墙扫盲
之前在没学网络的时候,认为防火墙真的是可以防火的墙。10多年前还有不少人问,防火墙多少钱一个平方。
但现在大家都知道,防火墙是用来防黑客的,是内部网络和外部网络的分界,是用来保护内部服务器和网络的,是一种信息安全防护系统。
图片来源:https://www.tunnelsup.com/what-is-a-firewall/
防火墙有几个最重要的特征:
1. 部署在内部网络和外部网络之间。这个和建筑上的防火墙真的很类似,也是叫Firewall的原因。
2. 提供基于状态的安全防护。这个描述很专业,也最恰当的描述了防火墙的本质。最开始的防火墙是基于路由器的访问控制列表ACL实现的包过滤防火墙,之后逐步发展和演进为基于状态的防火墙。所谓的状态浅显的讲就是说防火墙会维护一个源IP,目的IP,源端口,目的端口,协议的五元组的连接状态,只有在防火墙上建立起来连接会话状态的报文才会会放行,否则一律丢弃。这是一种很强的防御能力。
防火墙一般情况下是一个安全加固的产品,没有防火墙业务也可以跑起来。就像是小区没有门禁和保安其实也不影响小区的正常使用,但也意味着坏人可以随意的进出,安全风险很大。所以一般上一些规模的用户都会考虑部署防火墙。
NAT网关的防火墙功能
在VPC网络中,有一个企业级的产品叫NAT网关,这个NAT网关中有两个重要的功能一个是SNAT,一个是DNAT。SNAT其实就是一个基于状态的安全防护功能,可以当一个简易的防火墙使用。
当部署完NAT网关后,外部设备3如果想主动访问内部服务器1的话,在NAT网关上会把外部设备3的访问请求拒绝掉,把报文丢弃。因为外部设备3的公网IP 3.3.3.3在NAT网关的SNAT状态表中不存在。
但内部服务器1可以主动访问外部设备2,当内部服务器1对外访问的第一个报文到达NAT网关时,NAT网关会记录下会话状态。假设内部服务器1通过80端口访问外部服务器2的80端口,此时NAT会把五元组信息记录下来并保持状态信息。之后如果外部服务器2以80端口,访问内部服务器1的80端口,此时NAT网关会接受访问请求,并将报文转发到内部服务器。但如果外部服务器2以8080端口访问内部服务器1的80端口时,此时这个访问请求也会被丢弃,因为在SNAT状态表中没有对应五元组的状态连接信息。
上面的描述就是典型的基于状态的安全防护功能,不允许外部的用户或设备主动访问内部的服务器。只允许内部服务器主动访问外部服务器后并建立起连接状态后,外部服务器才能和内部服务器通信。
所以NAT网关在使用中是可以当一个功能简单的防火墙使用的,可以把后端的服务器隐藏到NAT网关后面,不会被黑客扫描到,也不会轻易的被黑客攻击。
最佳实践
举个最佳实践的例子,很多部署在云上的在线支付系统都会调用支付宝的支付接口。而在线支付系统的安全性一般要求是特别高的,不能轻易的被黑客扫描到,不能轻易的被黑客攻击。在这种场景下,用户会选择在VPC网络中部署NAT网关。当前在线支付系统有调用支付宝支付接口的需求时,会通过NAT网关出公网。此时NAT网关会记录调用请求的状态信息。NAT会检查收到的IP报文,只有IP报文的源IP,源端口号,目的IP,目的端口号,协议类型这五元组信息和SNAT状态表中的连接信息相匹配时。NAT网关才会将报文转发到内部支付系统,否则接收到的报文一律丢弃。
