管理员可以使用网络地址转换 (NAT) 策略来指定源或目标 IP 地址和端口是否在第 3 层接口上的公共和私有地址与端口之间转换。例如,对于从内部(可信)区域发送至公共(不可信)区域的网络通信,可以将私有源地址转换为公共地址。
以下 NAT 策略规则可将一系列私有源地址(
10.0.0.1 到
10.0.0.100)转换为单个公共 IP 地址 (
200.10.2.100) 和唯一的源端口号(动态源转换)。该规则仅适用于在内部(可信)区域中的第 3 层接口上接收的并发送至公共(不可信)区域中的接口的网络通信。由于私有地址处于隐藏状态,因此可从公共网络发起网络会话。如果公共地址不是下一代应用安全网关接口地址(或者不在同一子网中),则本地路由器需要一个静态路由将返回网络通信定向到下一代应用安全网关。