在阅读有关 CISCO NetFlow 分析的文章时,我想到了一个名为NAT Stitching.
我了解Flow Stitching哪个加入了相同类型的入站和出站连接。
但是NAT Stitching除了以下之外找不到任何离散的东西,
NAT 拼接:将防火墙内部的 NAT 信息与防火墙外部的信息统一起来,以确定网络内部的哪些 IP 和用户负责特定操作
那么它是如何详细工作的呢?它是进程/协议还是特定类型的 NAT?
NAT 拼接如何工作?
网络工程
思科
防火墙
纳特
网络流量
2021-07-24 20:33:06
1个回答
您必须记住,使用 NAT 的流看起来像两个不同的流:NAT 前的流和 NAT 后的流。这是因为 NAT 正在更改数据包中的一个或多个地址。这可能会扭曲您的流程视图。
正如 Cisco 解释的那样,NAT 拼接将拼接(显然)单独的流,为您提供单一流视图:
从 NAT 设备导出 NetFlow 会将 NAT 前和后 NAT 流拼接在一起。
Cisco Press 出版的NetFlow for Cybersecurity一书有更详细的介绍:
Lancope 的 StealthWatch 解决方案支持称为网络地址转换 (NAT) 拼接的功能。NAT 拼接使用来自网络设备的数据将来自防火墙(或 NAT 设备)内部的 NAT 信息与来自防火墙(或 NAT 设备)外部的信息相结合,以确定哪些 IP 地址和用户是特定流的一部分。StealthWatch 解决方案的一大特色是能够执行“NetFlow 重复数据删除”。此功能允许您在组织内部署多个 NetFlow 收集器,而无需担心流量的两倍或三倍。
其它你可能感兴趣的问题