防火墙流量转发匹配流程

NAT场景中安全策略和路由的配置要点

由于在报文处理的过程中，某些特性可能会修改报文的某些字段。例如，设备在处理NAT业务时会修改IP报文中的源IP地址或者目的IP地址，而安全策略和路由需要根据IP地址进行规则匹配。因此，当设备存在NAT业务时，安全策略和路由的配置需要注意如下要点：

1. 源NAT使用场景

如图1-3所示，在源NAT使用场景中，内部主机（IP地址为192.168.1.2）需要访问位于公网的外部服务器（IP地址为3.3.3.1）。此时，安全策略过滤条件的配置方法如下：

·     源IP地址需要配置为源NAT转换前的IP地址，即192.168.1.2。

·     目的IP地址需要配置为位于公网的外部服务器地址，即3.3.3.1。

路由配置方法如下：

·     去程路由

¡     保证目的IP地址为3.3.3.1的报文可以被转发至NAT设备。

¡     保证NAT设备与外部服务器路由可达。

·     回程路由

¡     保证目的IP地址为源NAT转换后的IP地址（如2.2.2.2）的报文可以被转发至NAT设备。

¡     保证NAT设备与内部主机路由可达。

图1-3 源NAT使用场景组网图

2. 目的NAT使用场景

如图1-4所示，在目的NAT使用场景中，外部主机（IP地址为3.3.3.1）需要访问位于私网的内部服务器（IP地址为192.168.1.2）。此时，安全策略过滤条件的配置方法如下：

·     源IP地址需要配置为位于公网的外部主机地址，即3.3.3.1。

·     目的IP地址需要配置为目的NAT转换后的IP地址，即192.168.1.2。

路由配置方法如下：

·     去程路由

¡     保证目的IP地址为内部服务器的公网IP地址的报文可以被转发至NAT设备。

¡     保证NAT设备与内部服务器路由可达。

·     回程路由

¡     保证目的IP地址为3.3.3.1的报文可以被转发至NAT设备。

¡     保证NAT设备与外部主机路由可达。

图1-4 目的NAT使用场景组网图

3. 源NAT和目的NAT同时使用的场景

如图1-5所示，在源NAT和目的NAT同时使用的场景中，外部主机（IP地址为3.3.3.1）需要访问位于私网的内部服务器（IP地址为192.168.1.2），且要求报文经过NAT设备时，同时转换报文的源IP地址和目的IP地址。此时，安全策略过滤条件的配置方法如下：

·     源IP地址需要配置为位于公网的外部主机地址，即3.3.3.1。

·     目的IP地址需要配置为目的NAT转换后的IP地址，即192.168.1.2。

路由配置方法如下：

·     去程路由

¡     保证目的IP地址为内部服务器的公网IP地址的报文可以被转发至NAT设备。

¡     保证NAT设备与内部服务器路由可达。

·     回程路由

¡     保证目的IP地址为源NAT转换后的IP地址（如192.168.1.10）的报文可以被转发至NAT设备。

¡     保证NAT设备与外部主机路由可达。

图1-5 源NAT和目的NAT同时使用的场景组网图