文章总结： 该报告针对双NAT地址转换网络中的攻击溯源场景，详细分析了防火墙双向NAT策略配置、数据包地址转换全过程，并提供了通过防火墙会话表、日志分析及终端排查定位真实攻击源的方法，最终给出整改建议以提升溯源能力。 综合评分： 85 文章分类： 应急响应,内网渗透,网络安全,安全建设

关于【双NAT地址转换网络攻击】溯源分析报告模板

原创

Hash先生 Hash先生

倬其安

2026年4月25日 08:00 福建

在小说阅读器读本章

去阅读

报告编号：SEC-20250422-001

事件分级：一般安全事件（P3）

分析人员：XXX

分析日期：2026年4月22日

处置闭环状态：已完成攻击源阻断、溯源定位、风险整改

一、 事件背景与异常描述

2026年X月XX日14:30，安全监测发现核心业务服务器 [真实服务器IP-C]业务端口tcp-9090存在大量异常高频访问请求，服务器访问日志与本地抓包结果显示，所有请求的源IP均为内网管理网段地址 [SNAT地址池IP-D]，无法定位真实访问来源。

经初步核查，该IP为防火墙源地址转换（SNAT）代理地址，无对应终端资产归属，无法通过该IP完成攻击源定位、访问合法性校验与应急处置。为还原完整访问链路、定位真实访问来源、完成事件闭环处置，特针对前端防火墙双向NAT策略开展深度溯源分析。

二、 涉及双NAT策略配置的字段解析

本次事件涉及的业务访问，采用双向网络地址转换（Twice NAT，同步开启DNAT目的地址转换+SNAT源地址转换+PAT端口复用） 策略部署，相关配置与字段定义如下：

| 配置字段名称 | 脱敏后地址/值 | 标准化字段映射 | 字段含义与功能定位 | | — | — | — | — | | 源地址区域 | outside | – | 标识流量进入防火墙的接口属于外网不可信区域，非白名单流量默认丢弃 | | 访问控制白名单源地址 | [真实外网IP-A] | pre_nat_src_ip （转换前源IP） | 访问控制白名单：仅允许该源IP的流量匹配本NAT策略，非列表内IP直接被边界ACL拦截 | | 服务对外公布入口IP | [防火墙入口IP-B] | pre_nat_dst_ip （转换前目的IP） | 业务系统对外公布的访问入口地址，外部用户仅能通过该IP访问业务 | | 后端真实服务器地址 | [真实服务器IP-C] | post_nat_dst_ip （转换后目的IP） | 流量最终送达的内网真实业务服务器地址，不对外暴露 | | 源地址转换池地址 | [SNAT地址池IP-D] | post_nat_src_ip （转换后源IP） | 源地址转换代理池：防火墙替换外部真实源IP，用该地址向内网服务器发起访问，隐藏外部访问来源 | | 业务映射端口 | tcp-9090 | – | 业务对外服务端口，启用pat yes端口复用转换，支持多外部会话复用同一个代理IP地址 |

三、 双向NAT地址转换过程详解

下面按照数据包经过防火墙的全生命周期，还原地址转换的完整过程。

| 数据包流转位置 | 源IP地址 | 目的IP地址 | 核心转换动作说明 | | — | — | — | — | | ① 外网入口（防火墙outside口） | [真实外网IP-A]（pre_nat_src_ip） | [防火墙入口IP-B]:9090（pre_nat_dst_ip） | 外部用户发起的原始请求包，仅白名单内的源IP可进入防火墙，非白名单流量直接被丢弃 | | ② 防火墙内部转换处理 | [真实外网IP-A] → [SNAT地址池IP-D] | [防火墙入口IP-B]:9090 → [真实服务器IP-C]:9090 | 防火墙同步执行两个核心转换动作： 1. DNAT目的地址转换：将对外公布的入口IP [防火墙入口IP-B]，转换为内网真实服务器地址 [真实服务器IP-C]；

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：倬其安 Hash先生 Hash先生《关于【双NAT地址转换网络攻击】溯源分析报告模板》