Cisco Cisco Firepower Management Center 4000 User Guide
11-25
FireSIGHT 系统用户指南
第 11 章 使用 NAT 策略
处理 NAT 规则中不同类型的条件
要将目标网络条件添加到 NAT 规则,请执行以下操作:
访问:管理员/网络管理员
步骤 1
选择规则 Edit 页面上的
Destination Network
选项卡。
系统将显示Destination Network 页面。
步骤 2
如有需要,点击
Available Networks
列表上方的
Search by name or value
提示,然后键入名称或值。
列表会在您键入内容时进行更新,以显示匹配的条件。有关详细信息,请参阅
步骤 3
在
Available Networks
列表中点击要添加的条件。使用 Shift 和 Ctrl 键可选择多个条件,或者右键单
击并选择
Select All
。
选定的条件将会突出显示。
步骤 4
有以下选项可供选择:
•
要根据原始目标网络匹配流量,请点击
Add to Original
。
•
要为与转换后目标网络匹配的流量指定转换值,请点击
Add to Translated
。
或者,可以将选定的条件拖放到
Original Destination Network
或
Translated Destination Network
网络列表。
所选条件添加成功。
步骤 5
或者,点击
Available Networks
列表上方的 (
) 图标添加单个网络对象。
对于动态规则,可以向每个网络对象添加多个 IP 地址、 CIDR 块和前缀长度。对于静态规则,只
能添加一个 IP 地址。然后,可以根据需要选择添加的对象。有关详细信息,请参阅
能添加一个 IP 地址。然后,可以根据需要选择添加的对象。有关详细信息,请参阅
和
步骤 6
或者,点击
Original Destination Network
或
Translated Destination Network
列表下方的
Enter an IP address
提示,然后键入 IP 地址、地址范围或地址块并单击
Add
。
列表更新以显示输入的条目。有关详细信息,请参阅
步骤 7
保存或继续编辑规则。
注
在更新在已应用策略中使用的动态规则中的网络条件时,系统将使用现有转换地址池丢弃任何网
络会话。
络会话。
必须应用 NAT 策略来使更改生效;请参阅
向 NAT 规则添加端口条件
许可证:任何环境
可以根据原始目标端口、转换后目标端口和用于转换的传输协议将端口条件添加到与网络流量匹
配的规则。如果未配置原始端口,任何目标端口都会匹配该规则。如果数据包与 NAT 值相匹配,
并且转换后目标端口已配置,系统会将端口转换为该值。请注意,对于动态规则,只能指定原始
目标端口。对于静态规则,可以定义转换后目标端口,但前提是,转换后目标端口所带有的对象
与原始目标端口对象或文字值使用相同的协议。
配的规则。如果未配置原始端口,任何目标端口都会匹配该规则。如果数据包与 NAT 值相匹配,
并且转换后目标端口已配置,系统会将端口转换为该值。请注意,对于动态规则,只能指定原始
目标端口。对于静态规则,可以定义转换后目标端口,但前提是,转换后目标端口所带有的对象
与原始目标端口对象或文字值使用相同的协议。
对于静态规则,系统会将目标端口与原始目标端口列表中端口对象或文字对象的值进行匹配;对
于动态规则,会将目标端口与多个值进行匹配。
于动态规则,会将目标端口与多个值进行匹配。