1.防火墙的接口模式

a.Route模式基于路由,不会做NAT转换

默认不会做任何的NAT转换

使用基于Policy的NAT转换

默认情况下,除了Trust Zone以外的Zone都是Route Mode b.Nat模式当接口属于NAT模式,接口下收到的数据包将做源地址转换(NAPT网络地址端口转换)查看接口的模式FW1-> get interface eth1设置FFilter,查看源10.1.1.1到目地1.1.1.1防火墙流量的处理过程FW1-> set ffilter src-ip 10.1.1.1 dst-ip 1.1.1.1FW1-> debug flow basicFW1-> get db stream2.基于策略的NATa.单向NATNAT-SrcNAT-DstVIPb.双向NAT MIP 3.NAT的应用环境a.NAT-Src当将私网地址转换成公网地址(需要上网的时候)b.NAT-Dst将把一些主机的服务映射到公网时,但这些主机将不能够直接访问互联网c.VIP将一个公网地址映射到多个私网地址的服务的时候, 但这些主机将不能够直接访问互联网   Public Zone必须为Untrust d.MIP一对一地址转换,但是是双向的 4.NAT-Srca.DIP动态地址转换1.在外网建立一个DIP的地址池 FW1-> set interface eth2 dip 4 1.1.1.10 1.1.1.192.建立一个从内网Zone到达外网Zone做NAT的PolicyFW1-> set policy top from home to untrust any any any nat src dip-id 4 permit

 

b.基于端口的DIP地址转换

 FW1-> set interface eth2 dip interface-ip incoming  FW1-> set policy top from home to untrust any any any nat src dip-id permitc.基于Shift跳变地址的DIP配置(一条命令搞定多跳一对一的静态映射)建立一个DIPFW1-> set interface eth2 dip 4 shift-from 10.1.1.2 to 1.1.1.10 1.1.1.19指定策略FW1-> set policy top from home to untrust any any any nat src dip-id 4 permit超出对应的私网地址将不能够进行转换