Mit Netzwerkadressübersetzung (Network Address Translation, NAT) können Sie IP-Adressen und Ports für den Datenverkehr zwischen Netzwerken ändern, im Allgemeinen zwischen einem vertrauenswürdigen und einem nicht vertrauenswürdigen Netzwerk.
Sie können Quell-NAT (SNAT)- und Ziel-NAT (DNAT)-Regeln erstellen, um den Datenverkehr zwischen privaten und öffentlichen Netzwerken zu ermöglichen, indem Sie nicht-routingfähige private IP-Adressen in routingfähige öffentliche IP-Adressen übersetzen. Sie können NAT-Regeln für IPv4- und IPv6-Netzwerke erstellen.
Sie können Loopback- und reflexive Regeln für eine Ziel-NAT-Regel festlegen. Diese Regeln bleiben unabhängig von der ursprünglichen Regel, aus der sie erstellt wurden. Das Ändern oder Löschen der ursprünglichen NAT-Regel hat keine Auswirkungen auf sie.
Verknüpfte NAT-Regeln sind SNAT-Regeln und werden aus Firewallregeln erstellt. XG Firewall fügt automatisch eine verknüpfte NAT-Regel hinzu, die auf Datenverkehr für den E-Mail-MTA-Modus zutrifft.
Um Datenverkehr zwischen überlappenden lokalen Subnetzen zuzulassen, müssen Sie NAT über richtlinienbasiertes IPsec-VPN unter Support-Artikel 123356 (Englisch).
konfigurieren. Weitere Informationen finden Sie imKlicken Sie auf Weitere Optionen , um die folgenden Aktionen durchzuführen:
NAT-Regeln setzen Adressübersetzung um. Sie müssen außerdem Firewallregeln erstellen, damit der Datenverkehr in das Netzwerk gelangen oder es verlassen kann.
Bei NAT-Regeln sind die Übereinstimmungskriterien die ursprüngliche Quelle (vor NAT), das Ziel und der Dienst sowie die ein- und ausgehenden Schnittstellen. XG Firewall wendet für ausgehenden Datenverkehr zuerst die Firewallregel und dann die Quell-NAT-Regel an.
Für eingehenden Datenverkehr wendet XG Firewall jedoch zuerst die Ziel-NAT-Regel und dann die Firewallregel an. In der Firewallregel wird die Zielzone zu der Zone, zu der das übersetzte (Post-NAT) Ziel gehört.
Sie können Quell-NAT-Regeln für ausgehenden Datenverkehr erstellen, um internen Clients und Servern den Zugriff auf externe Hosts zu ermöglichen. XG Firewall implementiert eins-zu-eins, viele-zu-eins und viele:viele Übersetzungen. Einige dieser Regeln beinhalten die Übersetzung von Portadressen.
Sie können auch schnittstellenspezifisches NAT definieren, um die IP-Adressen eines oder mehrerer interner Hosts in die IP-Adresse zu übersetzen, die Sie für eine ausgehende Schnittstelle angeben.
Sie können keine Quell-NAT-Regel mit einer öffentlichen Schnittstelle erstellen, die ein Bridge-Mitglied ist, weil Bridge-Mitglieder nicht zu einer Zone gehören. Wenn Sie eine öffentliche Schnittstelle als Bridge-Mitglied konfigurieren, werden Quell-NAT-Regeln, die die Schnittstelle verwenden, gelöscht.
Sie können Ziel-NAT-Regeln für eingehenden Datenverkehr erstellen, um externen Hosts den Zugriff auf interne Clients und Server zu ermöglichen. Sie können eins-zu-eins, viele-zu-eins, viele-zu-viele und eins-zu-viele Übersetzungen von Ihren öffentlichen IP-Adressen in private IP-Adressen festlegen.
Sie können auch eine Lastverteilungsmethode und Zustandsprüfung für die übersetzten Zielhosts festlegen, z.B. für Web- oder E-Mail-Server.
XG Firewall implementiert Portweiterleitung mit Dienstübersetzung. Dienste sind eine Kombination aus Protokollen und Ports. Das übersetzte Protokoll muss mit dem ursprünglichen Protokoll übereinstimmen.
XG Firewall implementiert eins-zu-eins, viele-zu-eins und viele:viele Übersetzungen. Für viele-zu-viele Übersetzungen müssen die Ports für die ursprünglichen und übersetzten Dienste gleich sein.
Sie können Loopback-Regeln aus Ziel-NAT-Regeln erstellen, um internen Hosts die Kommunikation mit anderen internen Hosts über die externe IP-Adresse oder den Domänennamen zu ermöglichen. Erstellen Sie beispielsweise eine Ziel-NAT-Regel, um eingehenden Datenverkehr auf Ihre Server zu übersetzen, und erstellen Sie eine Loopback-Regel.
Um eine Loopback-Regel zu erstellen, geben Sie die folgenden NAT-Zielregelkriterien an:
Sie können eine gespiegelte NAT-Regel für Ziel-NAT-Regeln erstellen. Sie kehrt die Übereinstimmungskriterien der Zielregel um. Erstellen Sie beispielsweise eine Ziel-NAT-Regel, um eingehenden Datenverkehr auf einen internen Server zu übersetzen. Die entsprechende reflexive Regel erlaubt Datenverkehr vom Server zu der in der Ziel-NAT-Regel angegebenen Quelle.
Wenn das ursprüngliche Ziel keine IP-Adresse ist oder übersetzt ist, wird die übersetzte Quelle maskiert.
Sie können verknüpfte NAT-Regeln mit Firewallregeln erstellen. Dies sind Quell-NAT-Regeln und werden in der NAT-Regeltabelle angezeigt.
Alle Übereinstimmungskriterien einer Firewallregel, einschließlich Benutzern und Zeitplan, gelten auch für die mit ihr verknüpfte NAT-Regel. Sie können diese Einstellungen in der NAT-Regel nicht bearbeiten. Sie können nur die übersetzten Quellen angeben, einschließlich der schnittstellenspezifischen übersetzten Quellen in einer verknüpften NAT-Regel.
XG Firewall vergleicht verknüpfte NAT-Regeln nur mit Datenverkehr, der zu der Firewallregel gehört, mit der die NAT-Regel verknüpft ist. Wenn sie jedoch eine Übereinstimmung mit einer Regel oberhalb der verknüpften NAT-Regel findet, wendet sie die in der ersten Regel angegebenen Einstellungen an.
Wenn Sie von einer früheren Version zu SFOS 18.0 migrieren, migriert XG Firewall die NAT-Einstellungen der Firewallregeln als NAT-Regeln und listet sie in der NAT-Regeltabelle auf. Eine Gateway-basierte NAT-Konfiguration können Sie nicht mehr definieren.
Quell-NAT-Einstellungen werden als verknüpfte NAT-Regeln migriert. Diese Regeln sind mit der ursprünglichen Firewallregel verknüpft. Sie können diese anhand der Firewallregel-ID und des Namens in der NAT-Regeltabelle identifizieren.
Ziel-NAT-Einstellungen werden als unabhängige NAT-Regeln migriert und sind nicht mit einer Firewallregel verknüpft.
Regeln vor der Migration |
Regeln nach der Migration |
---|---|
Benutzer-/Netzwerkregel |
Quell- oder Ziel-NAT-Regeln basierend auf den Kriterien vor der Migration. |
E-Mail-Clients |
Quell-NAT-Regeln |
DNAT/Full-NAT/Lastverteilung |
Ziel-NAT-Regeln mit entsprechenden Firewallregeln. |
E-Mail-Server |
Ziel-NAT-Regeln |
NAT-Einstellungen werden folgendermaßen migriert:
Quell-NAT-Regeln (SNAT):
Standard-Quell-NAT-Regeln werden nicht für öffentliche Schnittstellen erstellt, die Bridge-Mitglieder sind.
Benutzer-Netzwerk-Regeln mit Gateway-spezifischer NAT-Richtlinie und E-Mail-Client-Regeln (Geschäftsanwendung): Diese werden als Firewallregeln und verknüpfte (Quell-)NAT-Regeln migriert. Die migrierten NAT-Regeln haben die folgenden Einstellungen:
Die übersetzte Quelle für die ausgehende Schnittstelle wird basierend auf den folgenden Konfigurationen vor der Migration festgelegt:
Gateway-Schnittstellen-Beziehung vor der Migration |
Übersetzte Quelle nach der Migration |
---|---|
Gateway hat keine Schnittstelle angeschlossen |
Nicht migriert |
Die mit dem angegebenen Gateway verbundene Schnittstelle ist nicht mit einem anderen Gateway verbunden |
NAT-Richtlinienhost des Gateways |
Die mit dem angegebenen Gateway verbundene Schnittstelle ist ebenfalls mit dem Standardgateway verbunden |
|
Schnittstelle, die mit dem angegebenen Gateway verbunden ist, ist mit anderen Gateways (und nicht mit dem Standardgateway) verbunden |
|
NAT-Standardrichtlinie für bestimmtes Gateway überschreiben wurde ausgewählt |
NAT-Richtlinienhost des angegebenen Gateways (nicht der Standard-NAT-Richtlinienhost) |
Schnittstellen, die zur in der Ziel-NAT-Regel angegebenen Quellzone gehören.
Bridge-Schnittstelle, wenn sie zur Quellzone gehört.
Die Standardauswahl Beliebig, wenn keine Schnittstelle zur Quellzone gehört.
Ziel-NAT-Regel mit Quell-NAT-Regel: DNAT-Regeln werden als unabhängige Firewall- und NAT-Regeln migriert. Wenn eine reflexive Regel ausgewählt wurde, wird sie als Firewallregel und als verknüpfte NAT-Regel migriert.
E-Mail-Server-Regeln (Geschäftsanwendung): Ihre Migration folgt den Prinzipien der DNAT-Regelmigration. Weitere Migrationseinstellungen sind:
Regeln für E-Mail-Server |
Migrierte Einstellungen |
---|---|
Benutzer und Gruppen |
Zu Firewallregeln migriert |
Zugelassene Client-Netzwerke |
Quellnetzwerke und Geräte in Firewallregeln |
Gesperrte Client-Netzwerke |
Ausschlüsse bei Quellnetzwerke und Geräte in Firewallregeln |
Geschützte Zonen |
Zielzonen sind auf Beliebig in Firewallregeln gesetzt |
Geschützte Zonen in reflexiver Regel |
Quellzonen in Firewallregeln |
Geschützte Server |
Übersetztes Ziel (DNAT) in Ziel-NAT-Regeln |
Geschützte Server in reflexiver Regel |
Quellnetzwerke und Geräte in Firewallregeln |
Quell-NAT-Einstellungen werden als verknüpfte NAT-Regeln migriert. Diese Regeln sind mit der ursprünglichen Firewallregel verknüpft.
Wenn Sie auf SFOS 18.0 migrieren, könnten viele verknüpfte NAT-Regeln (Quell-NAT) in der NAT-Regeltabelle erstellt werden. Sie sind mit Firewallregeln verknüpft, für die keine NAT-Einstellungen konfiguriert waren oder für die NAT basierend auf Benutzern und Zeitplänen vor der Migration implementiert war.
Wir haben diese Regeln nicht automatisch aufgeräumt, um sicherzustellen, dass es nach der Migration keine Änderungen im Verhalten gibt. Sie können sie jedoch löschen. Es handelt sich um verknüpfte NAT-Regeln mit folgenden Kriterien:
Am unteren Rand der Regeltabelle haben wir eine Standard-Quell-NAT-Regel (Standard-SNAT IPv4 oder Standard-SNAT IPv6) hinzugefügt, wobei die übersetzte Quelle auf MASQ gesetzt ist. Die Regel ist standardmäßig ausgeschaltet. Sie können diese Regel neu positionieren, um die gelöschten Regeln zu ersetzen, und sie einschalten.
In der NAT-Regeltabelle enthält das Feld unter dem Regelfiltermenü die folgenden Optionen für diese verknüpften NAT-Regeln: