下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.95
{{sendMatomoQuery("下一代防火墙AF","源地址转换")}}

源地址转换

更新时间:2023-06-06

源地址转换具体作用是将IP数据包的源地址转换成另外一个地址,内网地址访问外网时,将发起访问的内网IP地址转换为指定的IP地址,内网的多台主机可以通过同一个有效的公网IP地址访问外网,因此可以认为,源地址转换在一定程度上,能够有效的解决公网IPV4地址不足的问题,并能够达到隐藏内网的作用。源地址转换主要应用于网关设备代理上网的场景,如内网有多个私网网段的终端需要同时使用一个或者多个相同的公网IP地址访问公网服务。

源地址转换配置案例

某企业需要让内网用户和服务器群都能够通过AF防火墙上网,此时需要在AF设备上添加源地址转换规则,将192.168.1.0/24172.16.1.0/24上网的数据经过AF后转换成1.2.1.1,也就是AF设备出接口ETH1IP地址。

步骤1.定义内外网区域。在配置源地址转换规则之前,首先要在[网络\接口\区域]定义好接口所属的[区域][对象\网络对象]定义好内网网段所属的IP组。详细配置,例中将ETH1定义为[外网区]ETH2定义为[内网区]172.16.1.0/24192.168.1.0/24定义成IP[内网]

步骤2.新增NAT,在[地址转换/IPv4地址转换]页面点击<新增>,弹出[新增NAT]页面,默认选择[源地址转换],在“基础信息”栏的[名称]中填写规则的名称,自定义好描述信息,添加到转换规则的位置以及生效时间。

步骤3.设置原始数据包的匹配条件。

源区域和网络对象:用于设置需要进行源地址转换即匹配此条规则的源IP条件,只有来自指定的源区域和指定网络对象的数据才会匹配该规则、进行源地址转换。如路由接口代理内网上网,则一般配置源区域为内网、源网络对象为内网IP网段,或者全部。此案例中选择区域为[内网区],网络对象为[内网]

目的区域/接口和网络对象:用于设置匹配条件的目的数据,数据到哪个目标区域、访问哪些目标IP组、或者从哪个接口出去的数据,才匹配该规则。如路由接口代理内网上网,则一般配置目标区域为公网、网络对象为全部。本案例中选择目标区域为[外网区],网络对象为[全部]

协议:如果需要设置符合指定协议、源端口、目标端口的数据才进行源地址转换,则可以定义这部分。点击下拉框进行设置,本案例中不需要设置此项,使用默认“any”即可。

步骤4.设置转换后的数据包。[源地址转换]设置当源地址、目标地址、协议等条件都匹配的数据,进行IP地址转换时,将源IP转换为哪个IP地址。可以选择防火墙接口的出接口地址、某一段IP范围、单个指定IP、网络对象或者不转换。本案例中选择出接口地址。

转换模式:选择IP范围后,可以设置转换模式,包含动态转换和静态转换。

Sticky:选择IP范围或者网络对象后,可以设置Sticky模式,Sticky nat逃逸功能,是在sticky nat申请端口失败时,尽可能到配置的IP中去申请端口,保证流量能正常通过;进入逃逸功能时,会输出告警日志,提示用户当前的网络环境进入过sitcky nat逃逸模式,包含Strict模式和Loose模式。Strict模式即为严格模式,通过报文的源ip作为keyip范围或ip对象中查找ip,所以来自同一源ip的报文会转成同一个ip,但当端口资源申请失败时,打印错误日志,进入droplist流程处理。Loose模式即为宽松模式,在sticky申请端口资源失败时,会在配置的ip范围内,从失败的ipa.b.c.d)向后找到一个ip,去申请端口资源,若申请成功,则返回找到的资源,若申请端口资源失败,则再向后一个ip申请端口资源,直到配置范围的最大值;若达到配置范围的最大值,申请端口资源还没有成功,则失败的ip(a.b.c.d)向前找到一个ip,去申请端口资源,若申请成功,则返回找到的资源,若申请端口资源失败,则再向后一个ip申请端口资源,直到配置范围的最小值;若在配置的ip范围内,申请端口都失败,则打印错误日志,进入droplist流程处理。

高级选项:选择IP范围、指定IP和网络对象后,可以设置高级选项。

点击<设置>可进行端口的预分配,如下图所示。

步骤5.保存配置。最后点击<确定>,完成源地址转换规则的配置。

步骤6.放通内网到外网的应用控制策略后,当使用内网网段PC去访问外网,能够正常访问。