网络地址转换 (NAT) > 关于 SNMP > 配置静态 NAT

配置 静态 NAT

静态 NAT 也称为端口转发,是端口到主机 NAT。 主机将来自外部网络的数据包发送到外部接口上的端口。 静态 NAT 将目标 IP 地址更改为防火墙后的 IP 地址和端口。 如果软件应用程序使用多个端口,且这些端口是动态选择的,则必须使用 1-to-1 NAT 或查看 XTM 设备上是否有代理管理此类流量。 静态 NAT 还应用于从 XTM 设备所保护的网络发送的流量。

使用静态 NAT 时,使用的是 XTM 设备的外部 IP 地址,而不是公用服务器的 IP 地址。 可以这样做的原因是:您选择这样做,或您的公用服务器没有公用 IP 地址。 例如,您可以为 XTM 设备后的 SMTP 电子邮件服务器指定专用 IP 地址,然后在 SMTP 策略中配置静态 NAT。 XTM 设备在端口 25 上接收连接,并确保所有 SMTP 流量均发送到 XTM 设备后的真实 SMTP 服务器中。

添加静态 NAT 操作

在配置策略以使用静态 NAT 之前,必须先定义静态 NAT 操作。 在添加静态 NAT 操作之后,可以将其用于一个或多个策略。

  1. 选择“防火墙”>“SNAT”
    将显示“SNAT”页面
  2. 单击“添加”
    将显示“添加 SNAT”页面
  1. 在“名称”文本框中,为该 SNAT 操作输入名称。
  2. (可选)在“说明”文本框中,为此 SNAT 操作键入说明。
  3. 要指定静态 NAT 操作,可选择“静态 NAT”
    此为是默认选择。
  4. 单击“添加”
    将显示“添加成员”对话框。
  1. “外部 IP 地址”下拉列表中,选择要在此这个策略中使用的外部 IP 地址或别名。

例如,您可以对仅从一个外部 IP 地址接收的数据包使用静态 NAT。 或者,如果选择“任意外部”别名,则可以针对任意外部 IP 地址上接收的数据包使用静态 NAT。

  1. “内部 IP 地址”文本框中,键入可信任或可选网络上的目标。
  2. (可选)选中“将内部端口设置为不同端口”复选框。 这样将启用端口地址转换 (PAT)。

使用此功能,不仅可以将数据包目标更改为指定的内部主机,也可以更改为其他端口。 如果选中此复选框,则键入或选择要使用的端口号。

如果在允许没有端口的流量(除 TCP 或 UDP 外的流量)的策略中使用静态 NAT,则内部端口设置不会用于此流量。

  1. 单击“确定”
    此时会在“SNAT 成员”列表中显示静态 NAT 路由。
  2. 单击“保存”。
    新的 SNAT 操作将显示在“SNAT” 页面中。

将静态 NAT 操作添加至策略

在创建静态 NAT 操作之后,可以将其添加至一个或多个策略。

  1. 选择“防火墙”>“防火墙策略”
  2. 双击策略可对其进行编辑。
  3. 从“连接是”下拉列表中选择“允许”。
    要使用静态 NAT,该策略必须允许传入流量。
  4. “至”部分,单击“添加”
    将显示“添加成员”对话框。
  1. 从“类型”下拉列表中选择“静态 NAT”。
    将显示已配置的 NAT 操作的列表。
  2. 选择要添加到此策略的静态 NAT 操作。 单击“确定”
    静态 NAT 路由将显示在策略配置的“至”部分。
  3. 单击“保存”

编辑或删除静态 NAT 操作

编辑 SNAT 操作:

  1. 选择 “防火墙”>“SNAT”.
    “SNAT” 页面 出现。
  2. 选择 SNAT 操作。
  3. 单击 编辑.
    “编辑 SNAT”页面 出现。
  4. 修改 SNAT 操作。
    编辑 SNAT 操作时,您所作的任何更改都将应用至使用该 SNAT 操作的所有策略。
  5. 单击 “保存”.

删除 SNAT 操作:

  1. 选择 “防火墙”>“SNAT”.
    “SNAT” page appears.
  2. 选择 SNAT 操作。
  3. 单击 移除.
    无法删除正在被策略使用的 SNAT 操作。 将显示确认对话框。
  4. 单击 “是” 确定要移除此 SNAT 操作。

另请参阅

配置基于策略的动态 NAT

远程学习XTM 设备后的公用 Web 服务器

提供反馈  •   获得支持  •   全部产品文件  •   知识库