2024年3月19日发(作者:)

大多数场景下防火墙都被部署于网络出口,承当着Internet和Intranet的边界,其访

问控制和NAT功能便成了实施防火墙最主要的需求。当用户网络内部有服务器需要对外提

供服务时,就需要在防火墙上配置NAT策略。

NAT在实际应用中基本上分为三种:

1、源地址转换:用于内到外,提供内网终端访问互联网的功能;

2、目的端口映射:用于外到内,提供外网访问内网服务器部分端口的功能;

3、IP地址映射:用于外到内,提供外网访问内网服务器的所有流量功能;

功能点2和3是常用的用来对内部服务器的映射,相信仅仅是配置方面都会让大家感

觉不到什么难度,那么就着重来看一下当遇到映射不通时该如何去排查。

映射访问不通一般分为三种情况,一是在外网访问映射不通,二是从内网访问映射不

通,三是内外网都无法访问映射。在排查问题之前一定要先分别在内外和外网去测试是否

可以正常访问,下面就内网访问不同或者外网访问不同的情况做了简要分析。

拿下面这个很常见的拓扑来说:

在该拓扑下,需求是将公网IP 100.1.1.1做80端口映射到内网服务器30.1.1.200的

80上,使内网和外网终端都可以通过访问100.1.1.1来映射到30.1.1.200的80端口。

标准配置如下:

允许的安全策略:

在排查问题过程中,不要在安全策略中引用IPS、AV、上网行为管理等模块,尽量缩

小排错范围。

端口映射规则: