NAT Stitching的术语。 我了解
Flow Stitching,它们加入了相同类型的入站和出站连接。 但是找不到与
NAT Stitching有关的任何离散信息,但以下内容除外:NAT拼接:将防火墙内部的NAT信息与防火墙外部的信息统一查明网络中哪些IP和用户负责特定操作
它如何详细工作?是进程/协议还是特定类型的NAT?
#1 楼
您必须记住,使用NAT的流看起来像两个不同的流:NAT之前的流和NAT之后的流。这是因为NAT正在更改数据包中的一个或多个地址。这可能会显示您的流的扭曲视图。正如Cisco解释的那样,NAT缝合将(显然)分开的流缝合在一起,从而为您提供单个流视图:
从NAT设备中导出NetFlow会将NAT之前和之后的流量缝合在一起。
Cisco Press NetFlow for Cybersecurity详细介绍了以下内容:
Lancope的StealthWatch解决方案支持称为网络
地址转换(NAT)缝合的功能。 NAT缝合使用来自
网络设备的数据来组合来自防火墙(或NAT设备)内部的NAT信息和来自防火墙(或NAT
设备)外部的信息,以标识哪些IP地址和用户属于特定流程的一部分。 StealthWatch解决方案的一大特色是它具有执行“ NetFlow重复数据删除”的功能。使用此功能,您可以
在组织内部署多个NetFlow收集器,而不必担心流量要进行两次或三次计数。