|
“当前已有100+用户参与分享,共计发放奖励50000+“
在计算机网络中,网络地址转换(Network Address Translation,简称NAT)是一种在IP数据包通过路由器或防火墙时重写源IP地址/目的IP地址的技术。 一般情况下,在互联网中,IP地址分为公网IP与私网IP,公网IP可直接访问,私网IP无法直接访问。而NAT则是将私网IP地址转换为公网IP地址,从而实现用户上网功能或服务器在互联网上提供服务。NAT还可以使得一个公网IP代表多个不同的内网IP,这样便节省了IP地址资源。 地址转换一般分为三种情况:源地址转换(SNAT)、目的地址转换(DNAT)和双向地址转换。
一、源地址转换(SNAT): 源地址转换即内网地址访问外网时,将发起访问的内网IP地址转换为指定的IP地址,内网的多台主机可以通过同一个有效的公网IP地址访问外部网络。SNAT的特征是由内部地址主动发起连接。 典型应用场景:将防火墙以路由模式部署在公网出口代理内网用户上网。 配置实例(防火墙版本8.0.7R2): 网络拓扑:
需求:网络环境如图,AF防火墙部署在网络出口,下接三层交换机,内网有PC和WEB服务器,要求:AF防火墙代理内网PC和服务器上网。
解决方案:在AF防火墙设备上做源地址转换。 步骤一:在【网络】的【接口/区域】中定义好接口地址和“区域”(WAN和LAN),在【对象】的【网络对象】中新增“内网”IP组:
步骤二:在【策略】的【地址转换】中新增“源地址转换”:
二、目的地址转换(DNAT): 目的地址转换也称为反向地址转换或地址映射。目的地址转换是一种单向的针对目标地址的地址转换,主要用于内部服务器以公网地址向外网用户提供服务的情况。DNAT的特征是由外部地址发起主动连接。 典型应用场景: 外网用户访问服务器所在网络出口线路的公网地址时,直接访问到内部服务器。(如WAN->LAN端口映射) 配置实例: 需求:网络拓扑见上面源地址转换。AF防火墙部署在网络出口,内网有WEB服务器。要求:将WEB服务器发布到公网,让公网所有用户都可以通过http://2.2.2.2访问到该服务器。
解决方案:在AF防火墙设备上做端口映射即目的地址转换。
步骤一:在【网络】的【接口/区域】中定义好接口地址和“区域”(WAN和LAN)。 步骤二:在【策略】的【地址转换】中新增“服务器映射”:
三、双向地址转换: 双向地址转换是指在一条地址转换规则中,同时包括源地址和目的地址的转换,匹配规则的数据流将被同时转换源IP地址和目标IP地址。 典型应用场景: 内网用户通过公网地址访问内网服务器(如Lan->Lan端口映射) 配置实例: 需求:网络拓扑见上面源地址转换。AF防火墙部署在网络出口,内网有WEB服务器,要求:将WEB服务器发布到公网,让公网和内网所有用户都通过http://2.2.2.2访问到该服务器。
解决方案:在AF防火墙设备上做双向地址转换。 步骤一:在【网络】的【接口/区域】中定义好接口地址和“区域”(WAN和LAN)。 步骤二:在【策略】的【地址转换】中新增“服务器映射“,与目的地址转换相似,注意源区域需同时选中WAN和LAN两个区域,再进入"高级设置"进行双向地址转换配置即可,参考下图:
注意:由于运营商会对公网地址的一些端口进行限制,测试目的地址转换和双向地址转换时,外网协议端口请避开80、8080等常规端口。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-6-20 22:24
发表于 2020-6-22 14:32
技术员3级 
