Cisco Cisco Firepower Management Center 2000 User Guide

11-2

FireSIGHT 系统用户指南

第 11 章      使用 NAT 策略         

  规划和实施 NAT 策略

规划和实施 NAT 策略

许可证：任何环境

可以用不同的方法配置 NAT 策略来管理特定的网络需求。本节提供有关可用于部署 NAT 策略的
一些方法的信息。

注意事项

在集群配置中，如果 NAT 转换影响的所有网络都是专用网络，只能在集群设备上选择静态 NAT 
规则的具体对等接口。不能将此配置用于会影响公共网络与专用网络之间流量的静态 NAT 规则。

可以配置 NAT 来将内部服务器开放到外部网络。在此配置中，可定义从外部 IP 地址转换为内部 
IP 地址的静态转换，以便系统从网络外部访问内部服务器。发送到服务器的流量以外部 IP 地址
或 IP 地址和端口为目标，并转换为内部 IP 地址或 IP 地址和端口。从服务器返回的流量重新转换
为外部地址。

可以配置 NAT 以允许内部主机或服务器连接到外部应用。在此配置中，可定义从内部地址转换
为外部地址的静态转换。这样的定义允许内部主机或服务器向预期内部主机或服务器有特定 IP 地
址和端口的外部应用发起连接。因此，系统无法动态分配内部主机或服务器的地址。

通过使用 IP 地址块，可以配置 NAT 隐藏来自外部网络的专用网络地址。如果要对内部网络地址进行
模糊处理，且具有足够的外部 IP 地址来满足内部网络需求，这样做将会很有用。在此配置中，可创
建动态转换，以自动将任何传出流量的源 IP 地址转换为来自外部目标 IP 地址的未使用的 IP 地址。

可以使用有限的 IP 地址块和端口转换来配置 NAT，以隐藏来自外部网络的专有网络地址。如果
要对内部网络地址进行模糊处理，但并没有足够的外部 IP 地址来满足内部网络需求，这样做将会
很有用。在此配置中，可创建动态转换，以自动将传出流量的源 IP 地址和端口转换为来自外部目
标 IP 地址的未使用的 IP 地址。

配置 NAT 策略

许可证：可控性

受支持的设备：3 系列

要配置 NAT 策略，必须为策略提供一个唯一的名称，以及识别要应用策略的设备（又称为目标）。
还可以添加、编辑、删除、启用和禁用 NAT 规则。创建或修改 NAT 策略后，可以将策略应用于全
部或部分目标设备。

可以将 NAT 策略应用于设备集群（包括集群堆叠），就像应用于独立设备一样。但是，可以对单独
集群设备或整个集群上的接口定义静态 NAT 规则，并在源区域使用这些接口。对于动态规则，只
可以在源或目标区域使用整个集群的接口。

注意事项

在集群配置中，如果 NAT 转换影响的所有网络都是专用网络，只能在集群设备上选择静态 NAT 
规则的具体对等接口。不能将此配置用于会影响公共网络与专用网络之间流量的静态 NAT 规则。

如果在没有建立 HA 链路接口的设备集群上配置动态 NAT，两个集群设备将会分配动态 NAT 条
目，系统将无法同步这两台设备之间的条目。有关详细信息，请参阅

。

可以将 NAT 策略应用于设备堆叠，就像应用于独立设备一样。如果从包含在 NAT 策略中的设备
建立设备堆叠，且这些设备具有与作为堆叠成员的辅助设备的接口关联的规则，则辅助设备的接
口将保留在 NAT 策略中。可以保存并应用包含接口的策略，但规则不提供任何转换。有关详细
信息，请参阅