本帖最后由 新手650001 于 2022-12-7 10:27 编辑
截止标准版本AF8.0.69,AF不支持全堆型NAT
AF如何配置源地址转换?
提醒: 1、需要获取内网用户的网段 2、路由模式才支持源地址转换
源地址转换配置路径: 以标准版本AF8.0.2-AF8.0.69,可以在【策略】-【地址转换】-【ipv4地址转换】新增【源地址转换】进行配置 以标准版本AF7.4-7.5.1版本操作路径示例:可在【网络】-【地址转换】新增【源地址转换 】进行配置 以标准版本AF7.3版本操作路径示例:可在【防火墙】-【地址转换】新增【源地址转换】进行配置
源地址转换各个配置项说明: 基础信息: 【启用状态】禁用后,该规则失效 【添加到】用于定义源地址转换的位置;源地址转换规则是从上往下匹配的 【生效时间】用于定义该源地址转换规则的生效时间,默认为全天,若有自定义时间,只会在定义时间内该规则才生效 原始数据包: 【源区域】&【源地址/网络对象】:用于设置需要进行源地址转换即匹配此条规则的源IP条件,只有来自指定的源区域和指定网络对象的数据才会匹配该规则、进行源地址转换。 【目的区域/接口】&【目的地址】:目标区域指的是访问的目的对象所属的区域,网络对象指的是具体访问的IP地址或者网段 【服务】用于定义需要转换的源协议和端口,默认值为any
转换后数据包: 【源地址转换为】可选【出接口地址】、【某一段IP范围】、【单个指定IP】、【网络对象】或者【不转换】。 【出接口地址】:设备上通过源和目的匹配查看路由,路由匹配的哪个接口就是转换成哪个接口的ip地址出去;ps:若该接口有多个ip地址,转换是通过哈希算法计算随机进行转换的 【某一段IP范围】:自定义需要转换成的ip范围,以“-”来分隔ip范围;可选动态转换和静态转换;【动态转换】即动态端口转换,多个源地址可被转换成指定IP地址条目中的一个地址,转换是通过哈希算法计算随机进行转换的;【静态转换】:即一对一的转换,要求被转换到的地址条目包含IP地址数与 流量的源地址的地址条目包含的IP地址数相同,可用于溯源 【单个指定IP】:自定义需要转换成的固定IP地址 【网络对象】:选择自定义好的网络对象,转换是通过哈希算法计算随机进行转换的 【不转换】:用于定义内网某一段IP地址不进行源地址转换
源地址转换配置步骤: 步骤一、【定义内外网区域】。在配置源地址转换规则之前,首先要在[网络\接口\区域]定义好接口所属的[区域],[对象\网络对象]定义好内网网段所属的IP 步骤二、【新增NAT】,在[地址转换/IPv4地址转换]页面点击<新增>,弹出[新增NAT]页面,默认选择【源地址转换】,在“基础信息”栏的[名称]中填写规则的【名称】,自定义好【描述信息】,添加到转换规则的【位置】以及【生效时间】。 步骤三、【设置原始数据包的匹配条件。】 【源区域和网络对象】:用于设置需要进行源地址转换即匹配此条规则的源IP条件,只有来自指定的源区域和指定网络对象的数据才会匹配该规则、进行源地址转换。如路由接口代理内网上网,则一般配置源区域为内网、源网络对象为内网IP网段,或者全部。 【目的区域/接口和网络对象】:用于设置匹配条件的目的数据,数据到哪个目标区域、访问哪些目标IP组、或者从哪个接口出去的数据,才匹配该规则。如路由接口代理内网上网,则一般配置目标区域为公网、网络对象为全部。 步骤四、【设置转换后的数据包】。[源地址转换]设置当源地址、目标地址、协议等条件都匹配的数据,进行IP地址转换时,将源IP转换为哪个IP地址。可以选择防火墙接口的【出接口地址】、【某一段IP范围】、【单个指定IP】、【网络对象】或者【不转换】。 步骤五、.保存配置。最后点击<确定>,完成源地址转换规则的配置。
注意:需要保证内网用户正常通过防火墙出去上网,除了配置源地址转换外,还需要保证①设备有去往内网网段的回包路由②去往公网的默认路由③并通过应用控制策略放行内网到公网方向的数据
详细配置案例:可参考用户手册中源地址转换案例:点击这里
AF如何配置目的地址转换? 配置路径: 以标准版本AF8.0.2-AF8.0.69,可以在【策略】-【地址转换】-【ipv4地址转换】新增【目的地址转换】 以标准版本AF7.4-7.5.1版本操作路径示例:可在【网络】-【地址转换】新增【服务器映射】 以标准版本AF7.3版本操作路径示例:可在【防火墙】-【地址转换】新增【目的地址转换】
AF目的地址转换各配置项说明: 基础信息: 【启用状态】禁用后,该规则失效 【添加到】用于定义源地址转换的位置; 源地址转换规则是从上往下匹配的 ; 【生效时间】用于定义该源地址转换规则的生效时间,默认为全天,若有自定义时间,只会在定义时间内该规则才生效 原始数据包: 【源区域】指明从哪个区域进入的数据才进行目标地址转换,如发布内网服务器到 公网时,允许来自公网的用户对该服务器的访问,设置区域为外网区 【源地址】指明从哪个源地址访问过来的数据才进行目标地址转换。一般无需限制的情况,选择所有 【目的地址】指明用户访问哪个地址的时候,才进行目标地址转换。此处目的IP是数据包目的地址转换之前用户访问的地址,一般是设备自身接口的公网 IP 【服务】设置进行目的地址转换的服务。需根据实际业务情况来定义对应的服务,支持配置TCP、UDP、ICMP、IP协议类型。比如http:80;ftp:20,21;https:443等 转换后数据包: 【目的地址转换为】写内网服务器的IP地址,可选【指定IP】,【IP范围】,【网络对象】,【不转换】;如果内网服务器组是同类服务的话,可以一条策略中写多个IP地址,不同服务建议开配置多条策略 【指定IP】填写单个IP地址,内网只存在一台服务需要映射出去的场景 【IP范围】写一段IP范围,内网有多台服务器需要映射出去的场景 【网络对象】已经定义好的单个IP地址,或者多个ip地址 【不转换】符合定义好的源区域,源地址、指定IP和服务的数据到达设备之后,不进行转换 【端口转换为】用于配置服务器实际提供服务的端口号或端口范围
AF目的地址转换配置步骤: 策略名称自定义,源区域选择对应的外网接口所属区域,目标IP可以选择指定的单个外网IP或者外网IP组,选择需转换的协议以及端口,目的地址转换为对应的内网服务器地址,勾选放通【应用控制策略】
注意事项: 1、映射前需要保证AF和服务器端口可以相互通信 2、需要做映射 的公网IP地址配置在AF设备上 3、访问对应域名时的数据需到达设备外网口才支持转换
AF如何配置双向地址转换? AF双向地址转换各配置项说明: 原始数据包的匹配条件 【源区域】指明从哪个区域进入的数据才进行目标地址转换,如发布内网服务器到公网时,允许来自公网的用户对该服务器的访问,选择区域为外网区,同时也允许内网用户通过公网域名发起访问,选择区域为内网区 【源地址】指明从哪个源地址访问过来的数据才进行目标地址转换。一般无需限制的情况,选择所有 【目的地址】指明用户访问哪个地址的时候,才进行目标地址转换。此处目的IP是数据包目的地址转换之前用户访问的地址,一般是设备自身接口的公网IP 【服务】设置进行目的地址转换的服务。需根据实际业务情况来定义对应的服务,支持配置TCP、UDP、ICMP、IP协议类型。比如http:80;ftp:20,21;https:443等 设置转换后数据包匹配条件 转换后数据包: 【目的地址转换为】写内网服务器的IP地址,可选【指定IP】,【IP范围】,【网络对象】,【不转换】;如果内网服务器组是同类服务的话,可以一条策略中写多个IP地址,不同服务建议开配置多条策略 【指定IP】填写单个IP地址,内网只存在一台服务需要映射出去的场景 【IP范围】写一段IP范围,内网有多台服务器需要映射出去的场景 【网络对象】已经定义好的单个IP地址,或者多个ip地址 【不转换】符合定义好的源区域,源地址、指定IP和服务的数据到达设备之后,不进行转换 【端口转换为】用于配置服务器实际提供服务的端口号或端口范围
AF双向地址转换配置步骤: 配置路径: 以标准版本AF8.0.2-AF8.0.69,可以在【策略】-【地址转换】-【ipv4地址转换】新增【双向地址转换】 以标准版本AF7.4-7.5.1版本操作路径示例:可在【网络】-【地址转换】新增【双向地址转换】 以标准版本AF7.3版本操作路径示例:可在【防火墙】-【地址转换】新增【双向地址转换】
注意事项: 1、映射前需要保证AF和服务器端口可以相互通信 2、需要做映射 的公网IP地址配置在AF设备上 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-12-2 19:10
