SANGFOR_AF_ALL
端口映射配置文档
深信服科技有限公司
2012年2月
AF端口映射配置文档
配置端口映射的条件:首先需先确认服务器回应公网的数据包会经过AF,若不能确认,需先加一条SNAT,当公网访问服务器的数据从AF出去时,将公网源IP转换成AF出接口IP。其次需保证服务器和设备之间能正常通讯。
一、名词解释
端口映射:AF端口映射包括目的地址转换和双向地址转换。
目的地址转换:也称为反向地址转换或地址映射。目的地址转换是一种单向的针对目标地址的地址转换,主要用于内部服务器以公网地址向外部用户提供服务的情况。
双向地址转换:是指在一条地址转换规则中,同时包含源地址和目标地址的转换,匹配规则的数据流将被同时转换源IP地址和目标IP地址,主要用于内网用户通过公网地址访问内网服务器。
二、目的地址转换案例及配置
1、用户需求
某用户网络拓扑图如下,AF访火墙部署在网络出口,ETH2接外网线路,EHT1接内网线路,内网有一台WEB服务器,客户需要实现所有外网用户均能通过公网地址http://1.1.1.2访问内网的WEB服务器.
2、配置步骤:
(一) 在【网络配置】的【接口/区域】中定义好“接口”和“区域”,在【对象定义】的【IP组】中定义好 “外网接口IP” 接口(定义EHT1口为非WAN口,EH2口为WNA口):
区域(定义EHT2口为外网区域,EHT1口为内网区域):
外网接口IP(新增外网接口IP为:1.1.1.2/24)
(二)在【防火墙下】的【地址转换】中新增【目的地址转换】规则,本例配置如下:
名称自定义
公网用户所在的区域
公网用户访问服务器时所用的地址
访问服务器时所使用的端口号
需要做映射的内网服务器地址
点击保存,保存配置
(三)在【内网安全】--【应用控制策略】中,放通“外网区域”到“内网区域”的“HTTP”访问权限
以上配置完成,即完成端口映射--目的地址转换的所有配置,公网用户即可通过http://1.1.1.2访问内网服务器。
三、双向地址转换案例及配置
1、用户需求:
某用户网络环境如图,AF防火墙部署在网络出口,内网有WEB服务器。已经申请了域名www.test.com指向1.1.1.2,客户需要内网所有用户都可以通过www.test.com访问WEB服务器。
2、配置步骤:
(一):在【网络配置】的【接口/区域】中定义好“接口”和“区域”,在【对象定义】的【IP组】中定义好 “内网IP组”和“外网接口IP”。配置过程同目的地址转换,此处不再赘述。
(二)在【防火墙】的【地址转换】中新增“双向地址转换”规则
内网用户所在的区域及IP组
内网服务器所在的区域
内网用户需要访问服务器时所使用的地址
需要映射的服务器提供服务器的协议和端口
内网服务器地址
(三)在【应用控制策略】中放通内网区到内网区的HTTP访问权限,配置步骤同目的地址转换,此处不再赘述。
以上步骤完成,即完成双向地址转换的配置,内网用户即可通过域名www.test.com直接访问内网WEB服务器。
补充说明(DNS mapping):
内网用户通过域名访问公网服务器,除了做双向地址转换外,还可以通过DNS mapping来实现。上例中也可这样配置:
在【防火墙】下的【地址转换】中选择【DNS mapping】
因篇幅问题不能全部显示,请点此查看更多更全内容