Cisco Cisco Firepower Management Center 2000 User Guide
11-16
FireSIGHT 系统用户指南
第 11 章 使用 NAT 策略
了解的 NAT 规则类型
静态
静态规则提供对目标网络或者端口和协议的一对一转换。配置静态转换时,可以配置源区域、目
标网络和目标端口。不能配置目标区域或源网络。
标网络和目标端口。不能配置目标区域或源网络。
必须指定原始目标网络。对于目标网络,只能选择包含单个 IP 地址的网络对象和组,或者输入代
表单个 IP 地址的文字 IP 地址。只能指定一个原始目标网络和一个转换后的目标网络。
表单个 IP 地址的文字 IP 地址。只能指定一个原始目标网络和一个转换后的目标网络。
如有需要,可以指定一个原始目标端口和一个转换后的目标端口。在指定原始目标端口之前,必
须指定原始目标网络。此外,必须满足以下条件才能指定转换后的目标端口:已经指定原始目标
端口,且转换后的值与原始值的协议相匹配。
须指定原始目标网络。此外,必须满足以下条件才能指定转换后的目标端口:已经指定原始目标
端口,且转换后的值与原始值的协议相匹配。
注意事项
对于集群设备上的静态 NAT 规则,如果所有受 NAT 转换影响的网络都是专用网络,则仅选择单
个对等接口。不能将此配置用于会影响公共网络与专用网络之间流量的静态 NAT 规则。
个对等接口。不能将此配置用于会影响公共网络与专用网络之间流量的静态 NAT 规则。
仅动态 IP
“仅动态 IP”规则转换多对多源网络,但保留端口和协议。配置“仅动态 IP”转换时,可以配置区
域、源网络、原始目标网络和原始目标端口。不能配置转换后的目标网络或转换后的目标端口。
域、源网络、原始目标网络和原始目标端口。不能配置转换后的目标网络或转换后的目标端口。
必须至少指定一个转换后的源网络。如果转换后的源网络值的数量少于原始源网络的数量,系统
将会显示针对的警告,指出在所有原始地址匹配之前可能用完转换后的地址。
将会显示针对的警告,指出在所有原始地址匹配之前可能用完转换后的地址。
如果有多个规则具有与同一个数据包相匹配的规则,优先级较低的规则将会变成死规则,这意味
着,这些规则绝不会被触发。系统还会显示针对死规则的警告。可以查看工具提示来确定哪个规
则取代了死规则。
着,这些规则绝不会被触发。系统还会显示针对死规则的警告。可以查看工具提示来确定哪个规
则取代了死规则。
注
可以保存和应用包含死规则的策略,但此类规则无法提供任何转换。
在某些情况下,您可能希望以较大的范围创建带有有限范围前置规则的规则。例如:
规则 1:匹配地址 A 和端口 A/转换为地址 B
规则 2:匹配地址 A/转换为地址 C
规则 2:匹配地址 A/转换为地址 C
在本示例中,与某些数据包匹配的规则 1 也与规则 2 相匹配。因此,规则 2 并没有完全死亡。
或者,可以仅指定原始目标端口。不能指定转换后的目标端口。
动态 IP + 端口
“动态 IP 和端口”规则转换多对一或多对多的源网络、端口和协议。配置“动态 IP 和端口”转
换时,可以配置区域、源网络、原始目标网络和原始目标端口。不能配置转换后的目标网络或转
换后的目标端口。
换时,可以配置区域、源网络、原始目标网络和原始目标端口。不能配置转换后的目标网络或转
换后的目标端口。
必须至少指定一个转换后的源网络。如果有多个规则具有与同一个数据包相匹配的规则,优先级
较低的规则将会变成死规则,这意味着,这些规则绝不会被触发。系统还会显示针对死规则的警
告。可以查看工具提示来确定哪个规则取代了死规则。
较低的规则将会变成死规则,这意味着,这些规则绝不会被触发。系统还会显示针对死规则的警
告。可以查看工具提示来确定哪个规则取代了死规则。
注
可以保存和应用包含死规则的策略,但此类规则无法提供任何转换。
或者,可以仅指定原始目标端口。不能指定转换后的目标端口。
注
如果创建动态 IP 和端口规则,并且系统传递没有使用接口的流量,流量不发生转换。例如,来自
匹配源网络的 IP 地址的 ping (ICMP) 不会映射,因为 ICMP 不使用端口。
匹配源网络的 IP 地址的 ping (ICMP) 不会映射,因为 ICMP 不使用端口。