Как работает NAT Stitching?

9

Читая о CISCO NetFlow Analysis, я придумал термин под названием NAT Stitching.

Я понимаю, Flow Stitchingкакие присоединения одного и того же типа входящих и исходящих соединений.

Но не могу найти ничего особенного, NAT Stitchingкроме следующего,

Сшивание NAT: объедините информацию NAT изнутри брандмауэра с информацией извне брандмауэра, чтобы определить, какие IP-адреса и пользователи внутри сети отвечают за определенное действие

Так как это работает в деталях? Это процесс / протокол или определенный тип NAT?

Магомет
источник

Ответы:

12

Вы должны помнить, что поток, использующий NAT, будет выглядеть как два разных потока: поток до NAT и поток после NAT. Это связано с тем, что NAT изменяет один или несколько адресов в пакетах. Это может представлять искаженное представление о ваших потоках.

Как объясняет Cisco, сшивание NAT будет сшивать (очевидно) отдельные потоки, чтобы дать вам представление единого потока:

Экспорт NetFlow с устройств NAT объединит потоки до и после NAT.

В книге Cisco Press NetFlow для кибербезопасности более подробно рассматриваются:

Решение Lancope StealthWatch поддерживает функцию, называемую сшивание сетевых адресов (NAT). Сшивание NAT использует данные от сетевых устройств для объединения информации NAT внутри брандмауэра (или устройства NAT) с информацией извне брандмауэра (или устройства NAT), чтобы определить, какие IP-адреса и пользователи являются частью определенного потока. Отличительной особенностью решения StealthWatch является его способность выполнять «дедупликацию NetFlow». Эта функция позволяет развертывать несколько сборщиков NetFlow в вашей организации, не беспокоясь о двойном или тройном подсчете трафика.

Рон Мопин
источник