Cisco Secure Firewall Threat Defense – NAT Use Case Thực Tế -

Trong các triển khai firewall doanh nghiệp, NAT (Network Address Translation) là thành phần bắt buộc để kết nối mạng nội bộ ra ngoài Internet, truy cập VPN site-to-site, cũng như công bố dịch vụ DMZ. Với Cisco Secure Firewall Threat Defense (FTD), chúng ta có nhiều kiểu NAT khác nhau: Dynamic PAT, Static NAT, Static PAT (port forwarding), Twice NAT (Manual NAT), và NAT exemption.

Hãy xem một tình huống điển hình dưới đây.

1. Inside Network đi ra Internet

Khi host trong mạng Inside truy cập ra ngoài Internet, chúng ta cần dịch sang địa chỉ công cộng.

Giải pháp: Dynamic PAT → tất cả host trong INSIDE_NETWORK sẽ được dịch sang địa chỉ PAT_OUTSIDE_ADDRESS.

2. Inside Network đi qua VPN về Branch Network

Khi host Inside cần liên lạc với host trong Branch Network qua VPN tunnel, chúng không được dịch địa chỉ.

Giải pháp: NAT Exemption → thực hiện bằng Manual NAT (Twice NAT) với rule:
Source = INSIDE_NETWORK (original = translated)
Destination = BRANCH_NETWORK (original = translated)

3. DMZ Server công bố ra ngoài Internet

DMZ Server cần được truy cập bằng địa chỉ công cộng cố định.

Giải pháp: Static NAT → ánh xạ 1-1 giữa DMZ_SERVER và TRANSLATED_DMZ_SERVER.

Static NAT mặc định bidirectional, nên lưu lượng từ ngoài vào cũng sẽ được dịch ngược lại.

4. Port Forwarding (Static PAT) cho dịch vụ SSH

DMZ Server chạy SSH trên TCP port 22, nhưng yêu cầu truy cập từ Internet phải dùng TCP port 2222.

Giải pháp: Static PAT (Port Forwarding) → ánh xạ:
Real: DMZ_SERVER:22
Translated: TRANSLATED_DMZ_SERVER:2222

5. Inside Network trùng địa chỉ với Partner Network

Partner Network và Inside Network cùng sử dụng dải địa chỉ trùng nhau.

Giải pháp: Twice NAT (Manual NAT) → dịch đồng thời cả source và destination:
Inside host nhìn Partner Network bằng dải TRANSLATED_PARTNER_NETWORK
Partner host nhìn Inside Network bằng dải TRANSLATED_INSIDE_NETWORK

6. Mặc định Inside ra ngoài Internet

Cuối cùng, tất cả lưu lượng Inside đi ra ngoài (mà không match các rule ở trên) sẽ được dịch sang Outside interface IP của firewall.

Giải pháp: Dynamic PAT trên Outside interface.

Tóm tắt các Rule trong NAT Table

Dynamic PAT cho Inside → Internet.

Static NAT cho DMZ server → Public IP.

Static PAT (Port Forwarding) cho SSH (22 → 2222).

NAT Exemption (Manual NAT) cho Inside Branch VPN.

Twice NAT (Manual NAT) cho Inside Partner Network (do overlap IP).

Dynamic PAT fallback cho Inside → Outside interface.

Điểm quan trọng cần nhớ

Auto NAT (Object NAT) chỉ dịch dựa trên source.

Manual NAT (Twice NAT) cho phép match cả source + destination, vì vậy đây là loại NAT duy nhất có thể làm NAT exemption.

Static NAT/PAT mặc định là bidirectional.

Câu hỏi ôn tập

Hỏi: NAT configuration type nào dùng để implement NAT Exemption trên Threat Defense?
<br />

<div class=

Thông tin khác

» Mã hóa trong mạng không dây (25.08.2025)
» Chứng thực (Authentication) trong mạng không dây (25.08.2025)
» Giới thiệu về wireless security (25.08.2025)
» Công cụ Giám sát Lưu lượng Mạng Điểm Cuối (25.08.2025)
» Rule-Based Monitoring trong An Ninh Mạng (25.08.2025)
» Công cụ Giám sát Lưu lượng Mạng Điểm Cuối (23.08.2025)
» Các chức năng phổ biến của Windows Server (23.08.2025)
» Windows Management Instrumentation (WMI) – "Con dao hai lưỡi" trong quản trị và bảo mật Windows (23.08.2025)