Tweet
Trong các triển khai firewall doanh nghiệp, NAT (Network Address Translation) là thành phần bắt buộc để kết nối mạng nội bộ ra ngoài Internet, truy cập VPN site-to-site, cũng như công bố dịch vụ DMZ. Với Cisco Secure Firewall Threat Defense (FTD), chúng ta có nhiều kiểu NAT khác nhau: Dynamic PAT, Static NAT, Static PAT (port forwarding), Twice NAT (Manual NAT), và NAT exemption.
Hãy xem một tình huống điển hình dưới đây.
1. Inside Network đi ra Internet
2. Inside Network đi qua VPN về Branch Network
3. DMZ Server công bố ra ngoài Internet
4. Port Forwarding (Static PAT) cho dịch vụ SSH
5. Inside Network trùng địa chỉ với Partner Network
6. Mặc định Inside ra ngoài Internet
Tóm tắt các Rule trong NAT Table
Điểm quan trọng cần nhớ
Câu hỏi ôn tập
Hỏi: NAT configuration type nào dùng để implement NAT Exemption trên Threat Defense?
👉 Đáp án: Manual NAT (Twice NAT) ✅
Hãy xem một tình huống điển hình dưới đây.
1. Inside Network đi ra Internet
- Khi host trong mạng Inside truy cập ra ngoài Internet, chúng ta cần dịch sang địa chỉ công cộng.
- Giải pháp: Dynamic PAT → tất cả host trong INSIDE_NETWORK sẽ được dịch sang địa chỉ PAT_OUTSIDE_ADDRESS.
2. Inside Network đi qua VPN về Branch Network
- Khi host Inside cần liên lạc với host trong Branch Network qua VPN tunnel, chúng không được dịch địa chỉ.
- Giải pháp: NAT Exemption → thực hiện bằng Manual NAT (Twice NAT) với rule:
- Source = INSIDE_NETWORK (original = translated)
- Destination = BRANCH_NETWORK (original = translated)
3. DMZ Server công bố ra ngoài Internet
- DMZ Server cần được truy cập bằng địa chỉ công cộng cố định.
- Giải pháp: Static NAT → ánh xạ 1-1 giữa DMZ_SERVER và TRANSLATED_DMZ_SERVER.
- Static NAT mặc định bidirectional, nên lưu lượng từ ngoài vào cũng sẽ được dịch ngược lại.
4. Port Forwarding (Static PAT) cho dịch vụ SSH
- DMZ Server chạy SSH trên TCP port 22, nhưng yêu cầu truy cập từ Internet phải dùng TCP port 2222.
- Giải pháp: Static PAT (Port Forwarding) → ánh xạ:
- Real: DMZ_SERVER:22
- Translated: TRANSLATED_DMZ_SERVER:2222
5. Inside Network trùng địa chỉ với Partner Network
- Partner Network và Inside Network cùng sử dụng dải địa chỉ trùng nhau.
- Giải pháp: Twice NAT (Manual NAT) → dịch đồng thời cả source và destination:
- Inside host nhìn Partner Network bằng dải TRANSLATED_PARTNER_NETWORK
- Partner host nhìn Inside Network bằng dải TRANSLATED_INSIDE_NETWORK
6. Mặc định Inside ra ngoài Internet
- Cuối cùng, tất cả lưu lượng Inside đi ra ngoài (mà không match các rule ở trên) sẽ được dịch sang Outside interface IP của firewall.
- Giải pháp: Dynamic PAT trên Outside interface.
Tóm tắt các Rule trong NAT Table
- Dynamic PAT cho Inside → Internet.
- Static NAT cho DMZ server → Public IP.
- Static PAT (Port Forwarding) cho SSH (22 → 2222).
- NAT Exemption (Manual NAT) cho Inside ↔ Branch VPN.
- Twice NAT (Manual NAT) cho Inside ↔ Partner Network (do overlap IP).
- Dynamic PAT fallback cho Inside → Outside interface.
Điểm quan trọng cần nhớ
- Auto NAT (Object NAT) chỉ dịch dựa trên source.
- Manual NAT (Twice NAT) cho phép match cả source + destination, vì vậy đây là loại NAT duy nhất có thể làm NAT exemption.
- Static NAT/PAT mặc định là bidirectional.
Câu hỏi ôn tập
Hỏi: NAT configuration type nào dùng để implement NAT Exemption trên Threat Defense?
👉 Đáp án: Manual NAT (Twice NAT) ✅
Attached Files