c_nat
如果在下一代应用安全网关 上定义第 3 层接口,则可以使用网络地址转换 (NAT) 策略指定是否在公共和私有地址和端口之间转换源或目标 IP 地址和端口。例如,对于从内部(可信)区域发送至公共(不可信)区域的网络通信,可以将私有源地址转换为公共地址。
以下 NAT 策略规则将一个私有源地址范围(10.0.0.1 到 10.0.0.100)转换为单个公共 IP 地址 (200.10.2.100) 和唯一的源端口号(动态源转换)。该规则仅适用于在内部(可信)区域中的第 3 层接口上接收的并发送至公共(不可信)区域中的接口的网络通信。由于私有地址处于隐藏状态,因此无法从公共网络发起网络会话。如果公共地址不是下一代应用安全网关 接口地址(或不在同一子网中),本地路由器需要一个静态路由将返回网络通信定向到下一代应用安全网关 。
下一代应用安全网关 提供源 NAT 和目标 NAT 模式选项。
对于源 NAT:
源 NAT — 源 NAT (SNAT) 更改数据包的 IP 头中的源地址。主要目的是将私有 (RFC 1918) 地址/端口更改为公共地址/端口,以便数据包离开网络。如果选择 SNAT,您必须进行配置。
出接口 — 从下拉列表中选择“任何”或任何 L3 接口来用作出站网络通信的接口,其中出站网络通信指源自网络内部的网络通信。
源 IP 转换 — 从以下选项中选择:
使用出接口 IP — 出接口 IP 地址用于进行转换。如果不使用出接口 IP 地址,用户必须显式指定具有以下三个选项之一的接口。
使用单个 IP — 指定的 IP 地址将用于进行转换。
使用 IP 范围 — 指定的 IP 地址范围将用于进行转换。
使用子网 — 指定的子网将用于进行转换。
SNAT 的高级选项允许用户指定更多详细信息或匹配条件,包括:
协议:任何、TCP 或 UDP。“任何”指所有协议。
源 IP 地址范围:由管理员指定
源端口范围:由管理员指定
目标 IP 地址范围:由管理员指定
目标端口范围:由管理员指定
对于目标 NAT:
目标 NAT — 目标 NAT (DNAT) 更改数据包的 IP 头中的目标地址。目标 NAT 的主要目的是利用公共地址/端口的目标将传入数据包重定向到网络内的私有 IP 地址/端口。如果您选择 DNAT,您同样必须进行配置:
入接口 — 从下拉列表中选择“任何”或任何 L3 接口来用作网络通信的接口,其中网络通信源自网络路由器的外部并继续向网络内的目标传输。
目标 IP 转换 — 从以下选项中选择:
使用入接口 IP — 指定的入接口 IP 地址范围将用于进行转换。如果不使用入接口 IP 地址,用户必须显式指定具有以下选项(使用虚拟 IP 地址)的接口。
使用虚拟 IP 地址 — 当用户指定外部 IP 地址范围时,转换的 IP 地址范围会根据该 IP 地址的开头自动生成。该映射是一对一关系的映射。
端口转发 — 选中“端口转发”复选框以与端口转发构成静态一对一 NAT 映射。外部 IP 地址始终转换成相同的映射 IP 地址,外部端口号始终转换为相同的映射端口号。从“任何”、"TCP" 或 "UDP" 中选择一种作为协议。(“任何”指所有协议。)当用户指定“外部服务端口”范围时,“映射至端口”会根据开始端口自动生成。该映射是一对一关系的映射。
DNAT 的高级选项允许用户指定更多详细信息或匹配条件,包括:
源 IP 地址范围:由管理员指定
源端口范围:由管理员指定
另请参阅: