Cisco Cisco Firepower Management Center 2000 User Guide

Cisco

第

章

11-1

FireSIGHT 系统用户指南

11

使用 NAT 策略

网络地址转换 (NAT) 策略决定系统如何借助网络地址转换实现路由。可以配置一个或多个 NAT
策略，然后将其应用于一个或多个受管设备。目前，只能为每个设备应用一个策略。

可以将 NAT 规则添加到策略来控制系统如何处理网络地址转换。每个规则包含用于识别要转换
的特定流量的一组条件。可以创建以下类型的规则：

•

静态（提供对目标网络或者端口和协议的一对一转换）

•

动态 IP（转换多对多源网络，但保留端口和协议）

•

动态 IP 和端口（转换多对一或多对多的源网络、端口和协议）

在检查动态转换之前，系统会将流量与静态转换进行匹配，然后，按顺序将流量与动态 NAT 规则
进行匹配；由最先匹配的规则处理流量。有关详细信息，请参阅

第 11-5 页上的在 NAT 策略中整

。

如果在部署中有访问控制策略，系统会在流量通过访问控制后才对其进行转换。

要在设备上配置并应用 NAT 策略，必须在每个目标受管设备都有已启用的可控性许可证。此外，
只能将 NAT 策略应用于配置了虚拟路由器或混合接口的 3 系列设备。

配置和部署了 NAT 策略后，可以使用目标受理设备的命令行界面 (CLI) 对部署进行故障排除。
CLI 显示三种类型的 NAT 信息：配置、规则定义和活动转换。有关详细信息，请参阅

的命令行参考

。

有关创建和管理 NAT 策略的详细信息，请参阅以下各节：

•

第 11-2 页上的规划和实施 NAT 策略

•

第 11-2 页上的配置 NAT 策略

•

第 11-5 页上的在 NAT 策略中整理规则

•

第 11-7 页上的管理 NAT 策略

•

第 11-14 页上的创建和编辑 NAT 规则

•

第 11-15 页上的了解的 NAT 规则类型

•

第 11-17 页上的了解 NAT 规则条件和条件机制

•

第 11-21 页上的处理 NAT 规则中不同类型的条件