评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
如何为源NAT开放安全策略
如前所述,源NAT包括仅转换源IP地址的NAT No-PAT,以及同时转换源IP地址和源端口的NAPT、Smart NAT、Esay IP和三元组NAT。不管是哪种源NAT,其NAT策略的配置方法都一样,只是源NAT地址池略有区别。
源NAT策略和安全策略具有相似的配置逻辑,其匹配条件和动作的对应关系如表10-1所示。源NAT策略和安全策略的匹配条件都是转换前的原始数据包特征。
表10-1 源NAT策略和安全策略的对应关系
对比项 |
源NAT策略 |
安全策略 |
|---|---|---|
源安全区域 |
流量的源安全区域 |
流量的源安全区域 |
目的安全区域 |
流量的目的安全区域,或流量的出接口 |
流量的目的安全区域,即流量出接口所在的安全区域 |
源地址 |
流量的源IP地址(转换前地址) |
流量的源IP地址(转换前地址) |
目的地址 |
流量的目的IP地址 |
流量的目的IP地址 |
服务 |
流量的服务类型 |
流量的服务类型 |
动作 |
指定源地址池(即转换后地址)或出接口 |
允许/permit |
例如:私网网段10.1.1.0/24通过NAT后访问Internet(目的地址不确定),对应的源NAT策略和安全策略配置如下。
表10-2 源NAT策略及安全策略配置示例
源NAT策略 |
安全策略 |
|---|---|
nat-policy
rule name SNAT_for_Internet
source-zone trust
destination-zone untrust
source-address 10.1.1.0 24
action source-nat address-group Public_Address
|
security-policy
rule name Policy_for_Internet
source-zone trust
destination-zone untrust
source-address 10.1.1.0 24
action permit
|
对于三元组NAT,你还需要开启端点无关过滤功能。三元组NAT主要用于解决外部设备主动发起访问的业务,如基于P2P技术的语音通信、视频传输等。开启端点无关过滤功能以后,外部设备主动发起的访问根据Server-map表转发,不检查安全策略。如果没有开启此功能,则需要配置公网到私网的反向安全策略。缺省情况下,端点无关过滤功能为开启状态。
[sysname] firewall endpoint-independent filter enable
