物联网接入安全网关SIG

深信服物联网接入安全网关SIG,是专门针对物联网场景研发的IoT终端安全一体化产品,以“精准识别、有效保护”为价值主张,集“IoT资产管理”、“IoT风险发现”、“IoT准入控制”和“IoT安全防护”四大核心能力于一体,为用户提供一站式、自闭环的IoT终端安全管控方案。
点击可切换产品版本
知道了
不再提醒
SIG 6.0.7
{{sendMatomoQuery("物联网接入安全网关SIG","端口映射")}}

端口映射

更新时间:2023-05-22

端口映射用于对经过设备的数据做DNAT目标地址转换,常见应用包括发布服务器,将内网服务器的服务映射到公网,提供Internet用户进行访问,端口映射只能用于设备路由模式部署的情况下,界面如下图。

需求背景

内网一台服务器192.168.1.2,提供HTTP服务,用户要求公网用户可以访问到这台服务器的HTTP服务,设备上有两条公网线路,用户要求通过访问两条公网线路都可以访问到内网的这台服务器。

步骤1.[端口映射]页面点击<新增>,选择新增[简单规则][高级规则]

简单规则:用于简单设置一条端口映射规则,仅设置端口映射的必要条件即可。

高级规则:条件更为复杂,一般用于比较复杂的需求。

步骤2.选择[简单规则],勾选启用DNAT规则并设置规则名称。

步骤3.[协议转换条件]用于设置匹配此条转换规则的数据条件,并且设置转换的目标地址和目标端口。

协议类型:选择需要做端口映射的数据的协议类型在;目标端口:设置组要做端口映射的数据目标端口,此例中是对访问HTTP服务的数据做NAT,则设置协议类型:“TCP”,目标端口:“80”。设置完条件后,设置映射到IP[映射到端口;映射到IP:用于设置数据的目标地址转换成的地址,映射到端口:用于设置数据的目标端口转换成的端口,此例中需要将访问80服务的数据目标地址转换成192.168.1.2

步骤4.勾选[防火墙自动放行数据]用于在[过滤规则]中自动放通规则,注意勾选此项,则会放通LAN<->WANDMZ<->WANLAN<->DMZ六个方向的TCP80端口的数据。

如果需要修改已设置的端口映射规则。点击对应的规则名称,在弹出的编辑框中即可进行编辑。勾选需要修改的规则,可以点击<删除>来删除掉该策略。点击启用可以把规则状态改为启用。点击<禁用>则把规则状态改为禁用。点击<上移>或者<下移>,则可以把规则的序号进行调整。规则匹配的优先级:序号靠前的规则会先被匹配到。

需求背景

用户内网有一台服务器:192.168.1.80,设备路由模式部署,WAN1口使用光纤接入,有公网IP地址202.96.137.89,该公网IP地址对应一个域名www.sangfor.com,现要求做一条DNAT端口映射规则把服务器发布至公网,并且要求在局域网(192.168.1.0/255.255.255.0,连接在LAN口)内的用户,也可以通过访问www.sangfor.com访问到192.168.1.80

步骤1.[端口映射]页面点击<新增>,选择新增[高级规则],再弹出的[端口映射]配置界面,进行相应的配置:勾选启用DNAT规则,设置规则名称。

步骤2.外网接口是指定外网接口条件,指定从哪个接口进入设备的数据才进行DNAT。此例中域名对应的公网地址是WAN1口的地址,所以选择指定网口为“WAN1”。

步骤3.IP地址转换条件,用于设置DNAT转换的源地址条件,此例中因为是映射给公网,且没有指定的网段,则此处选择所有IP地址。

 

步骤4.设置目标IP地址转换条件,用于设置DNAT转换的目标地址条件,此例中对访问到WAN1口的IP地址的数据进行转换,则选择[指定网络接口地址],选择“WAN1”。

步骤5.设置协议转换条件,用于设置DNAT转换的协议及端口条件,此例中是针对访问的80端口数据进行DNAT,所以此处设置如下:源端口一般是随机端口,此处选择所有端口。

步骤6.设置映射到IP地址,用于设置匹配以上几步条件的数据,目标地址转换成哪个IP地址。此例中访问的目的服务器是192.168.1.80,则此处设置[指定IP地址]192.168.1.80

步骤7.设置映射到端口,用于设置匹配以上几步条件的数据。此例中是访问目的服务器192.168.1.8080端口,则此处设置指定端口或范围:80

步骤8.勾选防火墙自动放行数据,用于在过滤规则中自动放通规则,注意勾选此项,则会放通LAN<->WANDMZ<->WANLAN<->DMZ六个方向的TCP80端口的数据。

步骤9.发布服务器是内网用户需要通过公网IP访问到同一个网段的服务器时需要勾选,目的是将内网访问的数据源地址转换成设备相应接口的地址,避免内网用户通过公网IP访问服务器是连接无法建立成功,勾选此项设备会自动创建一条SNAT规则,进行源地址转换,此例中是LAN区的内网用户通过公网IP访问LAN区的服务器,所以此处选择[访问内网服务器时转换的源IP]192.168.1.12LAN)。