NAT安全性

小乔

NAT设备可通过会话数限制、会话表老化等功能实现安全性保障。

会话数限制
NAT是一种有状态的地址转换技术，会话表是NAT业务最核心的资源。如果某些用户发起DoS攻击（例如发起SYN-Flood攻击），就可能将所有的NAT会话表资源耗尽，导致其他正常用户无法建立会话表，从而无法访问网络。因此，有必要统计和检查单个IP地址所建立的TCP/UDP/ICMP会话数。通过分析源IP地址发起或目的地址接收的会话总数是否超过设定的阈值，可以确定是否需要限制该IP发起新的连接。

当TCP/UDP/ICMP连接数降至阈值以下后，源IP地址或目的地址可以重新发起或者接受TCP/UDP/ICMP连接。

会话表老化
NAT设备支持配置各种应用协议的NAT用户会话表项的老化时间，自动把相应类型的会话表老化释放会话数资源，也支持对所有会话表或者指定类型的会话表进行强制老化。

基于用户的建流速度限制
NAT设备采用的是多核架构，建流与转发共用CPU资源。为保证CGN设备正常运行，设备通过动态感知建流规模，对建流速度和建流资源进行对应的限制。

当用户会话数达到一定的规模时，用户建立会话的建流速度影响到其他业务的性能，通过对用户建立会话的建流速度进行限速；当某些用户的性能影响到其他用户的业务，通过对所有用户的建流速度进行CAR，保证用户业务的正常运行。

wanghao19890128

想看

wyl0620

谢谢楼主分享  谢谢楼主分享