公司动态

防火墙 NAT 和防火墙

2021-08-27 浏览次数:81
NAT 和防火墙

防火墙和 NAT 路由器支持“状态检查”机制。如果启用从内部到外部的 IP 数据通信,内部注释可启动到外部网络的通信连接。

外部网络的回复帧可通过 NAT 路由器和防火墙,而*将其地址额外包含在防火墙规则和 NAT 地址转换中。对于不属于来自内部网络查询的回复的帧,将被丢弃,*匹配防火墙规则。

NAT 转换和防火墙规则

NAT 转换示例

NAT 规则

 

类型

源接口

目标接口

源 IP 子网

转换的源 IP 子网

目标 IP 子网

转换的目标 IP


vlan1

(内部)

vlan2

(外部)

192.168.1.0/24

10.100.1.0/24

10.10.10.0/24

-

该规则适用于从 vlan1(内部)发送到 vlan2(外部)的数据包。对于到达 vlan1 的数据包,将进行检查以确定该规则是否适用。

如果源 IP 地址位于发送方子网(源 IP 子网)中,且目标 IP 地址位于接收方子网(源 IP 子网)中,则将源 IP 地址替换为来自“转换的源 IP 子网”的相应 IP 地址。源 IP 地址子网部分将发生更改,主机部分将保持不变。

例如,将一个数据包的源 IP 地址 192.168.1.102 更改为 10.100.1.102。对于连接到 vlan2 的设备,数据包似乎是从 IP 子网 10.100.1.0/24 发送的。因而解决了 IP 子网重叠等问题。仅针对发送方向*该规则。隐式执行重新转换。如果该规则不适用,则在不转换的情况下转发数据包。

目标

vlan2

(外部)

vlan1

(内部)

10.10.10.0/24

-

10.100.1.0/24

192.168.1.0/24

该规则适用于从 vlan2(外部)发送到 vlan1(内部)的数据包。对于到达 vlan2 的数据包,将进行检查以确定该规则是否适用。

如果源 IP 地址位于发送方子网(源 IP 子网)中,且目标 IP 地址位于接收方子网(源 IP 子网)中,则将源 IP 地址替换为来自“转换的目标 IP 子网”的相应 IP 地址。

例如,将一个数据包的源 IP 地址 10.10.10.102 更改为 192.168.1.102。连接到 vlan1 的设备可与连接到 vlan2 的设备进行通信。前提是已设置相应的防火墙规则。

连接到 vlan2 的设备必须使用子网 10.100.1.0 的虚拟 IP 地址对连接到 vlan1 的设备进行寻址。

NAT 规则 ① 和 ② 的防火墙规则

示例 1:

这些 IP 数据**滤规则适用于*方向的所有设备的 IP 数据通信。

NAT 规则

IP 数据**滤规则

说明

操作

源(范围)

目标(范围)

服务

接受

vlan1

(内部)

vlan2

(外部)

192.168.1.0/24

(源 IP 子网)

10.10.10.0/24

(目标 IP 子网)

所有

从 vlan1(内部)发送到 vlan2(外部)的所有数据包均可通过。

该 IP 数据**滤规则适用于连接至 vlan1 的设备。

接受

vlan2(外部)

vlan1

(内部)

192.168.1.0/24

(转换的目标 IP)

10.100.1.0/24

(目标 IP 子网)

所有

从 vlan2(外部)发送到 vlan1(内部)的所有数据包均可通过。

示例 2:

这些 IP 数据**滤规则将对特定设备的 IP 数据通信进行限制。

NAT 规则

IP 数据**滤规则

说明

操作

源(范围)

目标(范围)

服务

接受

vlan1

(内部)

vlan2

(外部)

192.168.1.20/32

(源 IP 子网)

10.10.10.0/24

(目标 IP 子网)

所有

仅允许从 IP 地址 192.168.1.20 发送到 vlan2(外部)的数据*。

接受

vlan2(外部)

vlan1(内部)

192.168.1.20/32

(转换的目标 IP 子网)

10.100.1.0/24

(目标 IP 子网)

所有

仅允许从 vlan2(外部)发送到 IP 地址 192.168.1.20 的数据*。


shtxjd.cn.b2b168.com/m/
top

主营产品:西门子PLC  V90伺服  V20变频器  

版权所有:上海腾希电气技术有限公司

电脑版 | 投诉举报 | 网站地图

技术支持:八方资源网