定義 NAT 控制

存取政策 中 >防火牆 NAT 頁面,您可以為傳出流量設定 NAT,並查看系統中定義了多少台服務器。服務器在 存取政策 中定義 >服務器 頁面是設定了訪關閉 UserCheck 規則動作可封鎖流量和檔案,並顯示 UserCheck 訊息。使用者可以同意允許該活動。和 NAT 設定的網路物件關閉 代表企業拓撲不同部分的邏輯物件——裝置、IP 地址、流量協議等。管理者在安全政策中使用這些物件。。這使您可以設定可從 Internet 訪問的服務器,即使它們沒有可路由的 IP 地址。您還可以從此頁面使用 NAT 設定設定服務器。

注意 - 本地管理的 Quantum Spark 設備僅支援一個靜態 NAT 知識產權 一個真實IP地址的地址。有關詳細訊息,請參閱 sk179550.

為傳出流量禁用 NAT(隱藏 NAT):

預設情況下,NAT 是為傳出流量設定的。如果需要禁用 NAT,請確保 隱藏閘道外部 IP 地址後面的內部網路 設定為 OFF

重要 - 在大多數情況下,如果您關閉隱藏 NAT 功能,則會導致 Internet 連線問題。如果您的設備是您辦公室通往網際網路的閘道,請不要在未諮詢網路專家的情況下關閉。

要設定可從 Internet 路由的服務器(帶 NAT 的服務器):

  1. 單擊 新增服務器(轉發規則)

  2. 查看 存取政策> 有關如何使用服務器設定精靈的說明的 服務器 頁面。

  3. 在服務器設定精靈的“訪問”步驟中,當系統詢問可從何處訪問此服務器時,選擇其中一個選項。

  4. 在服務器設定精靈的 NAT 步驟中,選擇相關選項:

    • 閘道的外部(公共)IP 地址 - 這通過連接埠轉發設定訪問。設備有一個外部可路由 IP 地址,該地址在其 Internet 連線中設定(在設備上 > 網頁)。到設備的流量到設定精靈的第 1 步中為服務器物件設定的連接埠被轉發到服務器。這允許流量從 Internet 進入組織(公共服務器),同時仍然使用一個外部可路由 IP 地址。

    • 不同的(公共)IP 地址 - 這將通過靜態 NAT 設定訪問。如果為服務器購買了可路由的 IP 地址,請將其輸入到地址區域中。雖然內部網路的其餘部分隱藏在閘道的外部 IP 地址之後,但此指定服務器將使用其自己的可訪問 IP 地址。到設定精靈步驟 1 中設定的相關連接埠上指定 IP 地址的流量將轉發到此服務器。

    • 服務器設定的 IP 地址 (xxxx) 是公共的 - 只有在 存取政策 中隱藏閘道外部 IP 地址後面的內部網路複選框時,此選項才相關 >NAT 控制 頁面已清除(有關詳細訊息,請參見上文)。這代表著伺服器上沒有 NAT 規則關閉 規則庫中的一群組流量參數和其他條件,可導致針對通訊工作階段採取指定的動作。

  5. 當您有多個使用相同連接埠的內部服務器時,選擇 從連接埠重指向 並輸入您從 Internet 訪問此服務器時使用的不同連接埠號。您輸入的連接埠上的服務器流量將轉發到服務器的連接埠。

  6. 預設情況下, 強制轉換後的流量返回閘道 複選框處於選中狀態。這允許從內部網路通過本地交換機訪問服務器的外部IP地址。來來源被轉換成“This Gateway”。清除該複選框時,來源為“任何”,並且內部網路無法通過交換機訪問外部 IP 地址。

  7. 單擊 完成

在您使用 NAT 設定創建服務器後,一個或多個相應的規則會自動產生並新增到“自動產生的轉發規則”部分下的 NAT 規則中。單擊 查看 NAT 規則 以查看它們。規則中的註解顯示服務器物件名稱。您可以單擊物件名稱連結打開服務器屬性的訪問選項卡,或單擊服務器頁面連結到防火牆服務器頁面。

進階 - 手動 NAT 規則

注意 - 對於大多數情況,不需要手動 NAT 規則關閉 由 Check Point 管理服務器的管理者手動設定 NAT 規則。。除非您是有經驗的網路管理者,否則無需使用此選項。

設定地址轉換的更進階方法是定義手動 NAT 規則。如果設定了帶 NAT 的服務器,則手動 NAT 規則不適用於它們。但是,即使啟用隱藏 NAT,它們也適用。

這些是管理 NAT 規則的區域。

規則庫區域

描述

原始來源

作為要轉換的連線的原始來源的網路物件(指定的 IP 地址)或網路群組關閉 具有共用屬性的物件集合,例如使用者帳號。物件(指定的 IP 地址範圍)。

注意 - 可更新物件關閉 代表外部服務的網路物件,例如微軟 365、AWS、地理位置等。和 FQDN 只能用作原始來源。有關如何導入的更多訊息,請參閱 可更新物件

原目的地

作為要轉換的連線的原始目的地的網路物件(指定的 IP 地址)或網路群組物件(指定的 IP 地址範圍)。

注意 - 可更新物件和 FQDN 只能用作原始目標。有關如何導入的更多訊息,請參閱 可更新物件

原始服務

用於連線轉換的原始服務。

轉換來來源

作為原始來源轉換成的新來源的網路物件或網路群組物件。

轉換目的地

作為原始目標轉換到的新目標的網路物件或網路群組物件。

轉換服務

原始服務轉換到的新服務。

要創建新的 NAT 規則:

  1. 如果頁面上未顯示 NAT 規則表,請單擊 查看 NAT 規則 連結。

  2. 單擊 新增旁邊的箭頭。

  3. 單擊規則的可用定位選項之一:在頂部、底部、所選上方或所選下方。

    新增手動 NAT 規則視窗打開。它以兩種方式顯示規則區域:

  4. 單擊規則摘要或表格單元格中的連結以選擇填入規則庫區域的網路物件或選項。請參閱上面的說明。

  5. 寫註解 區域中,輸入描述規則的說明內容。這顯示為 NAT 手動規則中規則下方的註解。

  6. 如果您希望原始來源包含多個 IP 地址、IP 範圍、網路等,而轉換後的來源是單個 IP 地址,請選擇將 多個來源隱藏在轉換後的來源地址後面

    如果未選擇此選項,您仍然可以在原始來源中使用一個 IP 範圍,並在轉換後的來源 中使用相同大小 的不同 IP 範圍。此規則分別將 IP 地址從一個範圍轉換為另一個範圍(第一個範圍中的第一個 IP 轉換為第二個範圍中的第一個 IP,依此類推)。

  7. 選擇 用作原始目標 IP 地址的 ARP 代理, 以便閘道回復發送到原始目標 IP 地址的 ARP 請求。請注意,這不適用於 IP 範圍或網路。

  8. 點擊套用.

創建手動規則後,它會新增到“手動 NAT 規則”部分下的 NAT 規則表中。

要編輯規則:

注意 - 對於存取政策規則,您只能編輯自動產生規則的追蹤選項。

  1. 選擇一個規則並點擊 編輯

  2. 根據需要編輯區域。

  3. 點擊套用.

要刪除規則:

  1. 選擇一個規則並點擊 刪除

  2. 在確認訊息中單擊

啟用或禁用規則:

  1. 要禁用已新增到規則庫中的手動定義規則,請選擇該規則並單擊 禁用

  2. 要啟用您之前禁用的手動定義的規則,請選擇該規則並點擊 啟用

要更改規則順序:

注意 - 您只能更改手動定義規則的順序。

  1. 選擇要移動的規則。

  2. 將其拖放到所需位置。