ZJIPC
防火墙地址转换
注意：由于整个通信过程中，转换的是 源端的地址，因此，该转换称为源地址 转换。在WEBUI模式下操作时要注意这 一点。
ZJIPC
防火墙地址映射
企业里需要对外（如Internet）发布信息 或业务系统时，需要将WEB服务器的内 部IP地址映射成外部地址，这时，我们 就需要做地址映射或端口映射。 地址映射的效果就是，在外网可以通过 外网地址访问到内网的服务器。
ZJIPC
防火墙地址映射
配置流程：
1. 配置各个网口的IP地址； 2. 配置默认路由； 3. 定义服务器外部地址： MAP_IP； 4. 定义内部服务器对象：WEBServer； 5. 定义区域对象，并设置访问权限； 6. 定义NAT地址转换策略：
TopsecOS# nat policy add srcarea 'area_eth1 ' orig_dst ' MAP_IP ' trans_dst WEB_Server
ZJIPC
第八课：防火墙地址转换与地址映射
毛颉
浙江工业职业技术学院计算机分院 mj_edu@
ZJIPC
课前回顾
防火墙混合工作模式的配置流程 防火墙默认路由的配置
ZJIPC
本课主要内容
了解防火墙地址转换与地址映射的实现 逻辑 掌握地址转换与地址映射的基本配置命 令 掌握WEBUI模式下地址转换与地址映射 配置方法
ZJIPC
防火墙地址转换
配置流程：
1. 配置各个网口的IP地址； 2. 配置默认路由； 3. 定义外部NAT地址池： NAT_Pool ； 4. 定义内部地址段：内部； 5. 定义区域对象，并设置访问权限； 6. 定义NAT地址转换策略：
TopsecOS# nat policy add dstarea ‘area_eth1 ’ orig_src ‘内部 ' trans_src NAT_Pool
要求： 将WEB服务器映射到公网上 去，以便Internet用户访问
ZJIPC
防火墙地址映射
防火墙地址映射的过程与地址转换累世： 首先，定义一个外部映射地址（实际就是服务 器的外部地址）； 然后，定义服务器对象（以定义主机的方式来 定义）； 最后，进行转换。即设置一个转换规则，当外 部地址访问服务器外部地址时，将地址转换成 外部服务器的地址。最终实现地址的转换。
ZJIPC
防火墙地址映射
注意：由于整个通信过程中，转换的是 目的端的地址，因此，该转换称为目的 地址转换。在WEBUI模式下操作时要注 意这一点。
ZJIPC
课堂小结
防火墙地址转换的应用场景； 防火墙地址映射的应用场景； 防火墙地址转换/映射的配置步骤； 地址转换命令。
ZJIPC
作业
防火墙地址转换应用于什么情景？配置 步骤有哪些？ 防火墙地址映射应用于什么情景？配置 步骤有哪些？ 请写一个源地址转换的命令，并注释； 请写一个目的地址转换的命令，并注释 。
ZJIPC
防火墙地址转换
10.1.1.0/24 Gw:10.1.1.1
Eth1:202.99.27.199
Eth1
Internet
Eth0: 10.1.1.1/24
NAT地址池： 202.99.27.200--210
ZJIPC
防火墙地址转换
防火墙地址转换的过程是这样的： 首先，定义一个外部地址池（实际就是 企业所申请的外部地址）； 然后，对内部地址进行定义（可以通过 地址范围、子网或端口等方式）； 最后，进行转换。即设置一个转换规则 ，当内部地址访问外部地址时，将地址 转外成外部地址池的地址。最终实现地 址的转换。
ZJIPC
防火墙地址转换
当需要进行内网或服务器等区域需要共 享上网，则需要进行地址转换。解决 IPV4地址不足的问题，同时又隐藏了内 部的地址和网络结构。 地址转换即防火墙的动态NAT功能。
ZJIPC
防火墙地址转换
试想一下，我们在上网的时候，外部看 到我们的地址其实是一个外部地址。 防火墙地址转换与路由器的NAT功能是 一样
10.1.1.0/24 Gw:10.1.1.1
Eth0: 10.1.1.1/24
MAP_IP: 202.99.27.200 Eth1:202.99.27.199
Internet
WEB服务器： 172.16.1.2/24 GW：172.16.1.1
Eth2: 172.16.1.1/24