下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.95
{{sendMatomoQuery("下一代防火墙AF","目的地址转换")}}

目的地址转换

更新时间:2023-09-22

目的地址转换也称为反向地址转换、地址映射或端口映射,是一种单向的针对目标地址的地址转换,具体作用是将IP数据包的目的地址转换为另外一个地址。目的地址转换主要用于内部服务器以公网地址向外网用户提供服务的场景,可以指定特定的端口服务给公网用户访问,避免服务器直接全部暴露在公网,一定程度上可以保护服务器。

目的地址转换配置案例

某企业内网有一台Web服务器172.16.1.10080端口提供http服务, 并且已经申请了一个域名www.test.com指向1.2.1.1,客户希望外网用户输入http://www.test.com能访问到内网172.16.1.100服务器,此处需要使用目的地址转换规则来实现。

步骤1.定义内外网区域。在配置目标地址转换规则之前,首先要在[网络/接口/区域]定义好接口所属的[区域]。此案例中将ETH1定义为[外网区]ETH2定义为[内网区]

步骤2.新增NAT。在[地址转换/IPv4地址转换]页面点击<新增>弹出[新增NAT]页面,选择[目的地址转换],在“基础信息”的[名称]中填写规则的名称,自定义好描述信息,添加到转换规则的位置以及生效时间。

步骤3.设置原始数据包的匹配条件。

源区域:指明从哪个区域进入的数据才进行目标地址转换,如发布内网服务器到公网时,允许来自公网的用户对该服务器的访问,设置区域为外网区。

源地址:指明从哪个源地址访问过来的数据才进行目标地址转换。

目的地址:指明用户访问哪个地址的时候,才进行目标地址转换。此处目的IP是数据包目的地址转换之前用户访问的地址,一般是设备自身接口的公网IP。本案例中设置为“1.2.1.1”。

服务:设置进行目的地址转换的服务。本案例中服务类型需要选择http,服务可以直接新增或者在网络对象中定义。

步骤4.设置转换后数据包匹配条件。

转换后数据包:源地址不转换,需要指明将目的地址转换为什么地址,以及是否进行目的端口的转换。本案例中真正提供http服务的内网服务器IP172.16.1.100,并且只转换目标IP,不转换目的端口。

如果需要将1.2.1.180端口映像成内部服务器172.16.1.1008080端口。则可以设置目的[端口转换为]设置端口为8080

步骤5.放通应用控制策略。 [放通策略]里默认选择[放通后台ACL],该功能会自动在应用控制层面放通匹配该规则的所有流量,如不选择需要自行在应用控制策略中进行放通。最后点击<确定>,则完成配置。如下图所示。

步骤6.外网用户输入http://www.test.com能访问到内网172.16.1.100服务器。