Answers:
您必须记住,使用NAT的流看起来像两个不同的流:NAT之前的流和NAT之后的流。这是因为NAT正在更改数据包中的一个或多个地址。这会使您的流程呈现出扭曲的视图。
正如Cisco解释的那样,NAT缝合将缝合(显然)单独的流,从而为您提供单个流视图:
从NAT设备导出NetFlow将把NAT前后的流量缝合在一起。
思科出版社的《NetFlow for Cybersecurity》详细介绍了以下内容:
Lancope的StealthWatch解决方案支持一项称为网络地址转换(NAT)缝合的功能。NAT缝合使用来自网络设备的数据将来自防火墙(或NAT设备)内部的NAT信息与来自防火墙(或NAT设备)外部的信息进行组合,以标识哪些IP地址和用户属于特定流。StealthWatch解决方案的一大特色是它具有执行“ NetFlow重复数据删除”的能力。此功能使您可以在组织内部署多个NetFlow收集器,而不必担心流量会重复计算两次或三次。