网络地址转换 (NAT) > 关于动态 NAT > 配置基于策略的动态 NAT

配置基于策略的动态 NAT

在基于策略的动态 NAT 中,XTM 设备将专用 IP 地址映射到公用 IP 地址。 在每个策略的默认配置中,动态 NAT 均处于启用状态。 如果之前没有禁用它,则不必进行启用操作。

要使基于策略的动态 NAT 正确执行,使用编辑策略属性对话框的策略选项卡,以确保将策略配置为只允许流量通过一个 XTM 设备接口传出。

1-to-1 NAT 规则优先于动态 NAT 规则。 基于策略的动态 NAT 优先于网络动态 NAT。

要在策略中配置动态 NAT 设置: 

  1. 选择防火墙 > 防火墙策略
    将显示防火墙策略列表
  2. 选择一个策略并单击
    此时将显示策略配置页面。
  3. 单击高级选项卡。
  1. 选中动态 NAT 复选框。
  2. 如果要对 XTM 设备应用动态 NAT 规则集,请选择使用网络 NAT 设置
    该选项为默认设置。
  3. 如果要将动态 NAT 应用于此策略中的所有流量,请选择此策略中的所有流量

如果选择此策略中的所有流量,XTM 设备会将由此策略处理的每个数据包的源 IP 地址更改为发出该数据包的接口的主 IP 地址,或者在网络动态 NAT 设置中配置的源 IP 地址。 您可以选择为由此策略处理的流量设置其他动态 NAT 源 IP 地址。

要设置策略中的源 IP 地址:

  1. 选中设置源 IP 复选框。
  2. 在相邻的文本框中,键入用于此策略所处理的流量的源 IP 地址。 此源地址必须与您为传出流量指定的接口的主或次 IP 地址位于同一子网内。

选择源 IP 地址时,任何使用此策略的流量都会将公用或外部 IP 地址范围内的指定地址显示为源地址。 这最常用于当 XTM 设备外部接口的 IP 地址与 MX 记录的 IP 地址不相同时,强制传出的 SMTP 流量将您的域显示为 MX 记录的地址。

如果在 XTM 设备上配置了多个外部接口,则我们建议您不使用设置源 IP 选项。 如果在策略中使用设置源 IP 选项,那么在策略设置中不要为故障转移启用基于策略的路由。

有关动态 NAT 源 IP 寻址选项的详细信息,请参阅关于动态 NAT 源 IP 地址

禁用基于策略的动态 NAT 

在每个策略的默认配置中,动态 NAT 均处于启用状态。 为策略禁用动态 NAT:

  1. 选择防火墙 > 防火墙策略
    将显示防火墙策略列表
  2. 选择一个策略并单击编辑
    将显示策略配置页面。
  3. 单击高级选项卡。
  4. 要对由此策略控制的流量禁用 NAT,则清除动态 NAT 复选框。

请参阅

关于动态 NAT

提供反馈  •   获得支持  •   全部产品文件  •   知识库