评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
如何设置安全策略的源和目的IP地址
根据地址转换方式的不同,NAT可以分为源NAT、目的NAT和双向NAT。
- 源NAT:转换报文的源IP地址。包括仅转换源IP地址的NAT No-PAT,以及同时转换源IP地址和源端口的NAPT、Smart NAT、Esay IP和三元组NAT。
- 目的NAT:转换报文的目的IP地址。根据配置方式的不同,还可以分为基于NAT策略的目的NAT、基于ACL的目的NAT和NAT Server。
- 双向NAT:同时转换报文的源IP地址和目的IP地址。双向NAT不是一个新的功能,而是源NAT和目的NAT的连续应用。
在防火墙的业务处理流程中,NAT和安全策略的处理顺序如图10-1所示。
根据NAT业务的处理流程可知:
- 目的NAT转换在安全策略检查之前,则安全策略中的目的地址需要指定为NAT转换之后的地址。
- 源NAT转换在安全策略检查之后,则安全策略中的源地址需要指定为NAT转换之前的地址。
也就是说,在安全策略中指定的源目的IP地址,就是业务流量最开始的源IP地址和最终的目的IP地址。
