下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.48
{{sendMatomoQuery("下一代防火墙AF","源地址转换")}}

源地址转换

更新时间:2022-06-17

[源地址转换]用于将符合条件的数据进行源IP地址转换,最常用的是设备部署在公网出口时,代理内网用户上网,需要设置源地址转换规则进行源地址转换。在[IPv4地址转换]页面可以对源地址转换规则进行管理、添加和删除。源地址转换如下图所示。

源地址转换配置案例

某企业需要让内网用户和服务器群都能够通过AF防火墙上网,此时需要在AF设备上添加源地址转换规则,将192.168.1.0/24和172.16.1.0/24上网的数据经过AF后转换成1.2.1.1,也就是AF设备出接口ETH1的IP地址。

  1. 定义内外网区域。在配置源地址转换规则之前,首先要在[网络\接口\区域]定义好接口所属的[区域],[对象\网络对象]定义好内网网段所属的IP组。详细配置,例中将ETH1定义为[外网区],ETH2定义为[内网区]。172.16.1.0/24和192.168.1.0/24定义成IP组[内网]。

  1. 新增NAT,在[地址转换/IPv4地址转换]页面点击<新增>,弹出[新增NAT]页面,默认选择[源地址转换],在“基础信息”栏的[名称]中填写规则的名称,自定义好描述信息,添加到转换规则的位置以及生效时间。

  1. 设置原始数据包的匹配条件。

  • 源区域和网络对象:用于设置需要进行源地址转换即匹配此条规则的源IP条件,只有来自指定的源区域和指定网络对象的数据才会匹配该规则、进行源地址转换。如路由接口代理内网上网,则一般配置源区域为内网、源网络对象为内网IP网段,或者全部。此案例中选择区域为[内网区],网络对象为[内网]。

  • 目的区域/接口和网络对象:用于设置匹配条件的目的数据,数据到哪个目标区域、访问哪些目标IP组、或者从哪个接口出去的数据,才匹配该规则。如路由接口代理内网上网,则一般配置目标区域为公网、网络对象为全部。本案例中选择目标区域为[外网区],网络对象为[全部]。

  • 协议:如果需要设置符合指定协议、源端口、目标端口的数据才进行源地址转换,则可以定义这部分。点击下拉框进行设置,本案例中不需要设置此项,使用默认“any”即可。

  1. 设置转换后的数据包。[源地址转换]设置当源地址、目标地址、协议等条件都匹配的数据,进行IP地址转换时,将源IP转换为哪个IP地址。可以选择防火墙接口的出接口地址、某一段IP范围、单个指定IP、网络对象或者不转换。本案例中选择出接口地址。

  1. 保存配置。最后点击<确定>,完成源地址转换规则的配置。

  1. 放通内网到外网的应用控制策略后,当使用内网网段PC去访问外网,能够正常访问。