【WALL1600下一代防火墙】下一代防火墙端口映射应用场景及原理

发布时间：2013-09-14

点击量：4554

应用场景

单线路：防火墙作作为出口网关设备，公司内部有服务器需要对外提供访问服务时，可采用目的地址转换，如内网有一台WEB服务器，通过端口映射，让外网用户也能访问到此网页。

多线路：防火墙作为出口网关设备，有两条不同运营商的外网线：联通和电信双线，内网有web服务器，现需要通过端口映射功能实现外网能访问此服务器。但由于NGFW目前不支持源进源出，故将服务器做策略路由，指定服务器固定从电信出口访问外网，避免网通用户访问服务器来回路径不一致，实现电信用户和网通用户都使用电信地址访问到此服务器。采用基于端口目的地址转换实现。

全映射：防火墙作作为出口网关设备，公司内部有服务器需要对外提供访问服务时，可采用目的地址转换，当服务器上的所有端口都需要映射到公网上，让外网用户能够访问到服务器的所有端口，可采用目的ip地址转换实现，若只要让外网用户访问服务器的某几个端口，建议使用端口映射即可，让服务器更安全。

功能原理

备注：全映射的实现原理与端口映射一样，端口映射是将某个端口映射出来，而全映射是将所有端口均映射到公网IP上。

数据从NGFW通过时的处理流程：

入接口收到数据包--新建流表或匹配流表--匹配目的NAT--查路由表--匹配安全策略--数据向出口转发--匹配源NAT--出接口转发数据包。

源NAT转换通俗地讲即将源地址转换为另一个地址，目的地址不变。局域网的私网地址需要将源地址转换为公网地址才能访问外网。

目的NAT转换通俗地讲即将目的地址转换为另一个地址，源地址不变。公网地址访问私网地址的服务器首先是将数据发给服务器所在的局域网的公网地址，再由设备将目的地址转换为服务器地址。

1、外网地址192.168.33.177访问服务器192.168.3.1的过程为：

a、外网访问服务器的源IP为192.168.33.177，目的地址为192.168.33.229，目的端口为9999，经过NGFW的目的NAT转换，将目的IP转换为192.168.3.1，目的端口转换为80。

b、服务器回应时源IP为192.168.3.1，源端口为80，目的地址为192.168.33.177，匹配刚才目的NAT转换所建的流表将源IP地址转换为192.168.33.229，源端口转换为9999.

2、内网用户192.168.3.20通过公网地址192.168.33.229访问服务器的数据过程需保证来回路径一致，所以需要配置源NAT转换也需要配置目的NAT转换：

a、内网PC发出的源IP为192.168.3.20，目的IP为192.168.33.229，数据到NGFW后，将源IP转换为内网口IP地址192.168.3.254，目的IP转换为192.168.3.1，（注意目的端口也由9999变为80）.

b、服务器收到数据后回应的源IP为192.168.3.1，目的IP为192.168.3.254，数据到NGFW后，匹配刚才源NAT转换和目的NAT转换的流表，将192.168.3.1变为192.168.33.229，192.168.3.254变为192.168.3.20，则此时源IP地址变为192.168.33.229（注意源端口也由80变为9999），目的IP地址变为192.168.3.20，发送给内网PC。