地址转换
在一般情况下,企业拥有的公有合法IP地址十分有限。所以,在企业内网中,一般使用私有IP地址。为了解决通过私有IP地址访问公网(Internet)的问题,和隐藏内部网络拓扑及真实IP的需要,地址转换技术(Network AddressTranslation, NAT)经常会被应用到位于网络出口的路由设备,如防火墙上。
基于地址对象的源地址转换
网络卫士防火墙的防火墙模块的源地址转换策略支持基于地址资源的源地址转换,可转换的地址资源包括单个主机、主机地址范围和子网,对源地址可以进行的转换方式有:将源地址固定映射为某一合法IP地址和将源地址动态映射某一网段或某一地址范围的地址。
基本需求
网络卫士防火墙的接口Eth0连接企业内网,内网为192.168.100.0/24,Eth0的IP地址为192.168.100.1;Eth1连接外网,Eth1的IP地址为202.10.10.1。企业可用的公网IP地址范围为202.10.10.1-202.10.10.10,网络拓扑结构的示意图如下所示。
配置要点
定义内网地址资源,可定义的地址资源包括主机地址资源、范围地址资源、子网地址资源、区域和VLAN。
定义要转换的公网地址资源。
定义源地址转换策略。
WebUI配置步骤
1)选择资源管理>区域,点击“添加”,定义区域资源。
设置内网区域area_eth0与属性eth0绑定且禁止访问。
2)定义内部地址资源,选择资源管理>地址,并选择相应页签,点击“添加”可以定义主机地址资源、地址范围资源和子网地址资源。
a)定义NAT主机资源:选择“子网”页签,点击“添加”。
b)定义NAT地址池:选择“范围”页签,点击“添加”。
3)定义NAT地址转换策略。选择防火墙>地址转换,点击右上角“添加”,进入NAT规则配置界面,如下图所示,选择“源转换”选项设定源地址转换策略。
a)点击“源”页签,添加NAT规则的源,内部地址资源:子网100.X。如下图所示。
b)点击“目的”页签添加NAT规则的目的,外网区域:area_eth1。
c)设置源地址转换为地址池中地址的转换规则,设置为范围地址资源nat-pool。也可以设置转换为固定地址对象的转换规则。
配置完成。
需要注意的是,系统默认情况下,在源地址转换同时也会转换源端口。只有在上图中选择“源端口不作转换”时,数据包在经过防火墙时不改变源端口。
CLI配置步骤
1)定义区域资源
#defineareaaddnamearea_eth1access onattributeeth1
#defineareaaddnamearea_eth0accessoffattributeeth0
2)定义内网地址资源
#define subnet addname子网100.x ipaddr192.168.100.0 mask255.255.255.0
3)定义NAT地址池资源
#define range add namenat-poolip1202.10.10.1ip2202.10.10.10
4)定义NAT地址转换规则
在地址池中动态选择转换后的IP
#nat policy addsrcareaarea_eth0orig_src子网100.xdstareaarea-eth1trans_srcnat-poolenableyes
注意事项
系统默认情况下,在源地址转换同时也会转换源端口。
转载于:https://blog.51cto.com/shaohappy/1742073