Cisco Cisco Firepower Management Center 2000 User Guide
11-22
FireSIGHT 系统用户指南
第 11 章 使用 NAT 策略
处理 NAT 规则中不同类型的条件
注
可以保存和应用带有被禁用接口的策略,但规则无法提供任何转换,直至接口被启用。
右侧列出的两个条目是供 NAT 规则用于匹配用途的源区域和目标区域。如果规则配置了值,当
您编辑规则时,这些列表将显示现有值。如果源区域列表为空,规则将会匹配
您编辑规则时,这些列表将显示现有值。如果源区域列表为空,规则将会匹配
来自任何区域或接
口的流量。如果目标区域列表为空,规则将会匹配
流向任何区域或接口的流量。
对于带有绝不会在目标设备上触发的区域组合的规则,系统会显示警告。
注
可以保存和应用带有这种区域组合的策略,但规则不提供任何转换。
可以通过选择区域中的某个项目或选择独立接口来添加各个接口。如果要向其添加接口的区域未
添加到源区域列表或目标区域列表,则只能在该区域中添加接口。这些单独选定的接口不受区域
更改的影响,即使您删除并将其添加到不同的区域。在接口是集群的主成员的情况下,如果要配
置动态规则,只可以将主接口添加到源区域列表或目标区域列表。对于静态规则,可以将各个集
群成员接口添加到源区域列表。对于未添加子接口的主集群接口,只能将它添加到列表;如果未
添加主接口,只能添加单个集群接口。
添加到源区域列表或目标区域列表,则只能在该区域中添加接口。这些单独选定的接口不受区域
更改的影响,即使您删除并将其添加到不同的区域。在接口是集群的主成员的情况下,如果要配
置动态规则,只可以将主接口添加到源区域列表或目标区域列表。对于静态规则,可以将各个集
群成员接口添加到源区域列表。对于未添加子接口的主集群接口,只能将它添加到列表;如果未
添加主接口,只能添加单个集群接口。
如果添加区域,规则会使用与添加的区域关联的所有接口。如果从区域添加或删除接口,规则不
会使用区域的更新版本,直至设备配置重新应用于接口所在的设备。
会使用区域的更新版本,直至设备配置重新应用于接口所在的设备。
注
在静态 NAT 规则中,只能添加源区域。在动态 NAT 规则中,可添加源区域和目标区域。
以下步骤说明如何在添加或编辑 NAT 规则时添加源区域条件和目标区域条件。有关更多详细信
息,请参阅
息,请参阅
。
要将区域条件添加到 NAT 规则,请执行以下操作:
访问:管理员/网络管理员
步骤 1
选择规则 Edit 页面上的
Zones
选项卡。
系统将显示 Zones 页面。
步骤 2
如有需要,点击
Available Zones
列表上方的
Search by name
提示,然后键入名称或值。
列表会在您键入内容时进行更新,以显示匹配的条件。有关详细信息,请参阅
。
步骤 3
在
Available Zones
列表中点击所需的区域或接口。使用 Shift 和 Ctrl 键可选择多个条件,或者右键
单击并选择
Select All
。
选定的条件将会突出显示。
步骤 4
有以下选项可供选择:
•
要根据源区域匹配流量,请点击
Add to Source
。
•
要根据目标区域匹配流量,请点击
Add to Destination
。
或者,可以将所选条件拖放到
Source Zones
或
Destination Zones
列表中。
所选条件添加成功。请注意,虽然可以将被禁用的接口添加到 NAT 规则,但规则不提供任何转换。
注
只能将源区域添加到静态 NAT 规则。