下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.32
{{sendMatomoQuery("下一代防火墙AF","源地址转换配置案例")}}

源地址转换配置案例

更新时间:2022-01-04

某客户拓扑图如下,客户需要让内网用户和服务器群都能够通过 AF 防火墙上网, 此时需要在 AF 设备上添加源地址转换规则, 将 192.168.1.0/24 和172.16.1.0/24 上网的数据经过 AF 后转换成 1.2.1.1,也就是 AF 设备出接口 ETH1的 IP 地址。

第一步:在配置源地址转换规则之前,首先要在『网络』→『接口/区域』定义好接口所属的【区域】,『对象』→『网络对象』定义好内网网段所属的【IP 组】。详细配置,请参考 3.3.1.6 和 3.4.1 案例中将 ETH1 定义为[外网区],ETH2 定义为[内网区]。172.16.1.0/24 和 192.168.1.0/24 定义成 IP 组[内网]。如图:

第二步:在【地址转换】—【IPv4 地址转换】页面点击新增,选择[源地址转换]弹出新增页面。勾选[启用],不勾选则规则不生效,在“基础信息”栏的[名称]中填写规则的名称,自定义好描述信息。如图:

第三步:设置原始数据包的匹配条件。

『源区域』和『网络对象』,用于设置需要进行源地址转换即匹配此条规则的源 IP 条件,只有来自指定的源区域和指定网络对象的数据才会匹配该规则、进行源地址转换。如路由接口代理内网上网,则一般配置源区域为内网、源网络对象为内网 IP 网段,或者全部。此案例中选择区域为[内网区域],网络对象为[内网]。

『目的区域/接口』和『网络对象』,用于设置匹配条件的目的数据,数据到哪个目标区域、访问哪些目标 IP 组、或者从哪个接口出去的数据,才匹配该规则。如路由接口代理内网上网,则一般配置目标区域为公网、网络对象为全部。本案例中选择目标区域为[外网区域],网络对象为[全部],『协议』,如果需要设置符合指定协议、源端口、目标端口的数据才进行源地址转换,则可以定义这部分。点击下拉框 进行设置,本案例中不需要设置此项,使用默认“所有协议”即可。

第四步: 设置转换后的数据包,『源地址转换』设置当源地址、目标地址、协议等条件都匹配的数据,进行 IP 地址转换时,将源 IP 转换为哪个 IP 地址。可以选择防火墙接口的【出接口地址】、某一段【IP 范围】、单个【指定IP】、【网络对象】或者【不转换】。本案例中选择出接口地址。

最后点击保存,完成源地址转换规则的配置。如图:

注意:
1、如果需要修改已设置的源地址转换规则,则点击规则名称即可到编辑 页面。
2、如果需要删除规则,则勾选上需要修改的规则,点击删除来删除该策略。或者点击 根据提示进行删除操作
3、
如果需要禁用某条规则,可以点击 把规则状态改为禁用。禁用后显示 。如果需要再次启用该规则,点击 根据提示操作即可。
4、
IP 组除了在对象中添加外,还可以直接在转换规则的选择框中新增。