定义NAT控制

访问策略>防火墙 NAT页面中,你可以为出站流量配置NAT,并查看系统中已定义的服务器数量。服务器在访问策略>服务器页面中定义,是配置了访问和NAT设置的网络对象关闭 代表公司拓扑结构不同部分的逻辑对象 - 电脑、IP地址、流量协议等。管理员在安全策略中使用这些对象。。这可以让你配置可以从互联网上访问的服务器,即使它们没有一个可路由的IP地址。你也可以从这个页面配置带有NAT设置的服务器。

注意- 本地管理的Quantum Spark设备仅支持一个真实IP地址的一个静态NAT IP地址。更多信息,参见sk179550

要禁用出站流量的NAT(隐藏NAT):

默认情况下,NAT是为出站流量配置的。如果有必要禁用NAT,请确保将网关外部IP地址后面的隐藏内部网络设置为关闭

重要提示- 在大多数情况下,如果关闭隐藏NAT功能,则会导致互联网连接问题。如果你的设备是你的办公室通往互联网的网关,在没有咨询网络专家之前,不要设置为关闭。

要配置一个可从互联网路由的服务器(带NAT的服务器):

  1. 点击新建服务器(转发规则)

  2. 有关如何使用服务器向导的说明,请参阅访问策略>服务器页面。

  3. 在服务器向导的访问步骤中,当被问及从哪里可以访问该服务器时,选择其中一个选项。

  4. 在服务器向导的NAT步骤中,选择相关选项:

    • 网关的外部(公共)IP地址 - 这配置了通过端口转发的访问。该设备具有一个外部可路由的IP地址,该地址在其互联网连接中配置(在设备 > 互联网页面上)。在向导的第1步中为服务器对象配置的端口到设备的流量被转发到服务器。这允许流量从互联网进入组织(公共服务器),同时仍然使用一个外部可路由IP地址。

    • 一个不同的(公共)IP地址 - 这配置了通过静态NAT的访问。如果为服务器购买了一个可路由的IP地址,请在地址栏中输入该地址。当内部网络的其他部分隐藏在网关的外部IP地址后面时,这个指定的服务器将使用它自己的可访问IP地址。在向导第1步中配置的相关端口上的指定IP地址的流量将被转发到该服务器。

    • 服务器配置的IP地址(xxxx)是公共的 - 仅当访问策略> NAT控制页面中的隐藏网关外部IP地址后面的内部网络复选框被清除时,此选项才相关(有关详细信息,请参阅上文)。这意味着服务器上没有NAT规则。

  5. 当你有多个内部服务器使用相同的端口时,选择从端口重定向,并输入一个不同的端口号,当你从互联网访问该服务器时使用。到你输入的端口的服务器的流量会被转发到服务器的端口。

  6. 默认情况下,强制转换的流量返回到网关的复选框被选中。这允许从内部网络通过本地交换机访问服务器的外部IP地址。消息来源被转换成 "本网关"。当该复选框被清除时,来源是 "任何",没有通过交换机从内部网络到外部IP地址的访问。

  7. 单击 "完成"。

在你创建一个具有NAT设置的服务器后,会自动生成一个或多个相应的规则关闭 规则库中的一组流量参数和其他条件,用于对通信会话采取指定的操作。,并添加到自动生成转发规则部分的NAT规则中。单击 "查看NAT规则"以查看它们。规则中的注释显示了服务器对象的名称。你可以点击对象名称链接,打开服务器属性中的访问选项卡,或者点击服务器页面链接,进入防火墙服务器页面。

高级 - 手动NAT规则

注意- 对于大多数情况,手动NAT规则关闭 由Check Point管理服务器的管理员手动配置NAT规则。是没有必要的。除非你是一个有经验的网络管理员,否则没有必要使用这个选项。

配置地址转换的一个更高级的方法是通过定义手动NAT规则。如果配置了带NAT的服务器,手动NAT规则就不适用于它们。然而,即使激活了Hide NAT,它们也适用。

这些是管理 NAT 规则的字段。

规则基础字段

说明

原始来源

网络对象(一个指定的IP地址)或网络组对象(一个指定的IP地址范围),转换它是要转换的连接的原始来源。

注意- 可更新的对象和FQDN只能作为一个原始来源使用。有关如何导入的更多重要信息,请参阅可更新的对象

原始目标

网络对象(指定的IP地址)或网络组对象(指定的IP地址范围),是要转换的连接的原始目的地。

注意- 可更新的对象和FQDN只能作为一个原始目的地。有关如何导入的更多重要信息,请参阅可更新的对象

原始服务

用于连接转换的原始服务。

转换来源

作为新来源的网络对象或网络组对象,原始来源被转换为该对象。

转换目标

作为新目的地的网络对象或网络组对象,原目的地被转换到该对象。

转换服务

原始服务被转换成的新服务。

要创建一个新的 NAT 规则:

  1. 如果页面上没有显示NAT规则表,请点击“查看NAT规则”链接。

  2. 点击 "新建"旁边的箭头。

  3. 单击规则的可用定位选项之一:顶部规则底部规则选定内容上方选定内容下方

    打开 "添加手动NAT规则 "窗口。它以两种方式显示规则字段:

    • 一个带有默认值的规则总结句。

    • 一张表格中的规则基础字段。

  4. 点击规则摘要或表格单元中的链接,选择网络对象或选项,填写规则基础字段。详情请参见上面的描述。

  5. 在“填写备注”一栏,输入描述该规则的可选文本。这在NAT手册规则中显示为规则下面的备注。

  6. 如果你想让原始源包含多个IP地址、IP范围、网络等,而转换后的源是一个单一的IP地址,请选择隐藏转换后的源地址后面的多个源

    当没有选择这个选项时,您仍然可以在原始源中使用一个 IP 范围,在转换源中使用相同大小的不同 IP 范围。这条规则分别做了从一个范围到另一个范围的IP地址转换(第一个范围的第一个IP被转换为第二个范围的第一个IP,以此类推)。

  7. 选择充当原始目标IP地址的ARP代理,用于网关响应发送到原始目标IP地址的ARP请求.注意,这不适用于IP范围或网络。

  8. 点击“应用

在你创建手动规则后,它被添加到手动NAT规则部分的NAT规则表中。

要编辑一条规则:

注意- 对于访问策略规则,你只能编辑自动生成规则的跟踪选项。

  1. 选择一个规则并点击“编辑”。

  2. 根据需要编辑这些字段。

  3. 点击“应用

要删除一条规则:

  1. 选择一条规则并点击“删除”。

  2. 在确认信息中点击

要启用或停用一条规则:

  1. 要禁用你添加到规则库关闭 在给定的安全策略中配置的所有规则。同义词:规则库。中的手动定义的规则,选择该规则并点击“禁用”。

  2. 要启用你以前禁用的手动定义的规则,选择该规则并点击“启用”。

要改变规则的顺序:

注意- 你只能改变手动定义的规则的顺序。

  1. 选择要移动的规则。

  2. 把它拖到必要的位置。