防火墙配置应用代理,SSL解密,保护服务器场景后,如果服务器对外是NAT后的地址,那么代理策略里面目标地址填写内网地址会不生效,填写外网地址会没有反向session而无法连接,这个如何处理呢?
(0)
最佳答案
防火墙配置应用代理和SSL解密保护NAT服务器时,目标地址的正确配置方式及处理建议如下:
代理策略目标地址配置
在应用代理策略中,目标地址应填写服务器的NAT映射后的公网地址(即对外发布的外网地址)。这是因为:
解决反向会话缺失问题
若配置公网地址后出现反向会话缺失(因流量需经过NAT转换),需开启代理反向会话生成功能:
# 开启代理反向会话支持(隐藏命令,需技术支持启用) proxy reverse-session enable
配套关键配置
ssl-decrypt enable
)。nat server protocol tcp global <公网IP> <端口> inside <内网IP> <端口>
路由与回包
proxy reverse-session
强制关联。⚠️ 注意事项
- 部分防火墙型号需特定版本支持此功能(如Comware V7后续版本)。
- 启用SSL解密可能影响性能,建议评估业务需求后开启。
# 配置NAT映射 nat server protocol tcp global 203.0.113.10 443 inside 192.168.1.100 443 # 代理策略(目标=公网地址) app-proxy policy http target-ip 203.0.113.10 # 填写NAT公网IP service https action decrypt # 启用SSL解密 reverse-session enable # 启用反向会话(若支持) # 放行客户端到防火墙的HTTPS security-policy ip rule 10 action pass source-zone untrust destination-zone local destination-ip 203.0.113.10 # 防火墙公网IP service https # 放行防火墙到服务器的流量 security-policy ip rule 20 action pass source-zone local destination-zone trust destination-ip 192.168.1.100 # 服务器内网IP service https
配置核心:
✅ 代理策略目标地址 = NAT公网地址
✅ 启用proxy reverse-session
(或等价功能)解决反向会话问题
✅ 配套SSL解密证书、安全策略放行及正确NAT配置
若遇兼容性问题,可考虑临时方案:在代理策略中同时添加内网地址和公网地址(部分防火墙支持多目标),并确保路由可达性。建议联系官方技术支持获取版本适配确认。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论