本帖最后由 阿勒泰 于 2022-8-24 18:02 编辑
简介:AF的地址转换分为三种,源地址转换,目的地址转换,双向地址转换; 源地址转换:也称为代理上网或SNAT,一般用于内网电脑配置私有IP、防火墙外网口地址是公网IP,会把私有IP转换为公网IP,通过公网IP访问互联网; 目的地址转换:也称目的端口映射 或DNAT,主要用于内部服务器以公网地址向外网用户提供服务的情况; 双向地址转换:即在同一条地址转换规则中同时包含源地址和目标地址的转换,常用于内、外网用户通过公网IP或者公网域名访问内网的服务器;
区别:1、源地址转换的主要作用是设置SNAT规则代理内网用户上网,也可以设置SNAT规则进行其他的源地址转换 2、目标地址转换的主要作用是发布内网服务器到公网,通过设置DNAT规则进行目标地址转换 3、双向地址转换是指在一条地址转换规则中,同时包含源地址和目标地址的转换,匹配规则的数据流将被同时转换源IP地址和目标IP地址,常用于内网用户通过公网IP或者域名访问内网的服务器
源地址转换:源地址转换(SNAT)即内网地址访问外网时,将发起访问的内网IP地址转换为指定的IP地址,内网的多台主机可以通过同一个有效的公网IP地址访问外网
AF的源地址转换原理源地址转换也称为代理上网,源地址转换是指通过策略匹配后会把对应数据包的源IP修改为另一个IP,一般用于内网电脑配置私有IP、防火墙外网口地址是公网IP,会把私有IP转换为公网IP,通过公网IP访问互联网
AF的源地址转换配置 提醒: 1、需要获取内网用户的网段 2、路由模式才支持源地址转换 源地址转换配置步骤: 1、以标准版本AF8.0.35版本操作路径示例:可在【网络】-【策略】-【源地址转换】中配置 2、以标准版本AF7.4版本操作路径示例:可在【网络】-【地址转换】-【源地址转换】中配置 3、 以标准版本AF7.3版本操作路径示例:可在【防火墙】-【地址转换】-【目的地址转换】中配置
【8.0.35之后版本的地址转换的详细配置参考如下,也可直接 点击这里查看】 步骤1.定义内外网区域。在配置源地址转换规则之前,首先要在[网络\接口\区域]定义好接口所属的[区域],[对象\网络对象]定义好内网网段所属的IP组。详细配置,例中将ETH1定义为[外网区],ETH2定义为[内网区]。172.16.1.0/24和192.168.1.0/24定义成IP组[内网]。
步骤2.新增NAT,在[地址转换/IPv4地址转换]页面点击<新增>,弹出[新增NAT]页面,默认选择[源地址转换],在“基础信息”栏的[名称]中填写规则的名称,自定义好描述信息,添加到转换规则的位置以及生效时间。
步骤3.设置原始数据包的匹配条件。 源区域和网络对象:用于设置需要进行源地址转换即匹配此条规则的源IP条件,只有来自指定的源区域和指定网络对象的数据才会匹配该规则、进行源地址转换。如路由接口代理内网上网,则一般配置源区域为内网、源网络对象为内网IP网段,或者全部。此案例中选择区域为[内网区],网络对象为[内网]。 目的区域/接口和网络对象:用于设置匹配条件的目的数据,数据到哪个目标区域、访问哪些目标IP组、或者从哪个接口出去的数据,才匹配该规则。如路由接口代理内网上网,则一般配置目标区域为公网、网络对象为全部。本案例中选择目标区域为[外网区],网络对象为[全部]。协议:如果需要设置符合指定协议、源端口、目标端口的数据才进行源地址转换,则可以定义这部分。点击下拉框进行设置,本案例中不需要设置此项,使用默认“any”即可。
步骤4.设置转换后的数据包。[源地址转换]设置当源地址、目标地址、协议等条件都匹配的数据,进行IP地址转换时,将源IP转换为哪个IP地址。可以选择防火墙接口的出接口地址、某一段IP范围、单个指定IP、网络对象或者不转换。本案例中选择出接口地址。
步骤5.保存配置。最后点击<确定>,完成源地址转换规则的配置。
目的地址转换:AF的目的地址转换原理目的地址转换也称为反向地址转换或地址映射,目的地址转换是一种单向的针对数据包目标地址的地址转换,主要用于内部服务器以公网地址向外网用户提供服务的情况
AF的目的地址转换配置AF目的地址转换配置步骤: 在AF7.4到AF8.0.32版本,:可通过【网络】-【地址转换】-【目的地址转换】中配置
注意事项: 1、映射前需要保证AF和服务器端口可以相互通信 2、需要做映射 的公网IP地址配置在AF设备上 3、AF7.3及以下版本操作步骤一致,但页面稍有不同,可在【防火墙】-【地址转换】-【目的地址转换】中配置! 4、AF的8.0.35版本到AF8.0.48版本,可以在【策略】-【地址转换】-【新增】-【源地址转换】中配置,【原始数据包】是转换前的源区域、源地址、目的地址与服务,【转换后数据包】是选择源地址转换后的IP与端口;
双向地址转换: AF的双向地址转换原理双向地址转换是指在一条地址转换规则中,同时包含源地址和目标地址的转换,匹配双向地址转换规则的数据流将被同时转换源IP地址和目标IP地址; AF双向地址转换应用场景: 1、内网用户使用公网地址来访问内网服务器; 2、限制请求的源ip与目的ip地址 注:配置双向地址转换时,若源区域勾选了外网区域,同样可以实现外网用户通过外网地址访问内网服务器(即目的地址转换功能)
AF的双向地址转换配置AF双向地址转换配置步骤:
注意事项: 1、映射前需要保证AF和服务器端口可以相互通信 2、需要做映射 的公网IP地址配置在AF设备上 3、AF的8.0.35版本到AF8.0.48版本,可以在【策略】-【地址转换】-【新增】-【双向地址转换】中配置,【原始数据包】是转换前的源区域、源地址、目的地址与服务,【转换后数据包】是配置转换后的源IP地址与转换后的目的IP地址;
手记好了,看了上面内容的人应该能猜出来,上面的内容都是智能客服的自动回复,下面说一下我自己的实际情况。
环境AF 807R2
配置区域 网络-接口/区域-区域
首先在区域标签页,根据自己的情况设置好区域,区分开外网和内网,名字自己能分辨出来就好,最好别人也能分辨出来(省的有像我一样的菜鸟小倒霉蛋接锅以后还要重新分析)。上面智能客服的回答,以及后面会说为啥要区分好。
网络对象对象-网络对象
根据自己的网络情况设置好网络对象,方便配置的时候直接进行对象的选择
地址转换策略-地址转换,新增时可选源地址转换和服务器映射(服务器映射中设置目的转换和双向转换)。
地址转换-源地址转换
源地址转换转换后的源是范围的时候,支持一对一nat,方便溯源。
地址转换-服务器映射
地址转换-双向地址转换服务器映射-高级设置
如需双向地址转换,在做服务器映射时,源区域需要同时勾选外网区域和内网区域
疑问如果需要对受到的攻击进行溯源,那么做地址转换的时候应该怎么操作,或者开启防火墙的哪些日志。 希望有明白的大佬给点指点,或者各位大佬在回复里讨论下。 | 
发表于 2022-12-14 17:31
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师3级 
