Gilt für: Cloud-verwaltete Fireboxen
Standardmäßig ändert eine Cloud-verwaltete Firebox die Quell-IP-Adresse für ausgehenden Datenverkehr in die primäre IP-Adresse des externen Netzwerks, das der Verkehr verlässt. Sie können optional eine dynamische NAT-Regel oder eine Firewall-Regel konfigurieren, um eine andere Quell-IP-Adresse für den Datenverkehr festzulegen, der durch ein bestimmtes Netzwerk gesendet wird. Wenn Sie eine Quell-IP-Adresse auswählen, verwendet dynamisches NAT die angegebene Quell-IP-Adresse für jeglichen Datenverkehr, der mit der dynamischen NAT-Regel oder -Richtlinie übereinstimmt.
Unabhängig davon, ob Sie die Quell-IP-Adresse in einer dynamischen NAT-Regel oder in einer Firewall-Regel angeben, ist es wichtig, dass sich die Quell-IP-Adresse in demselben Subnetz befindet wie die primäre oder sekundäre IP-Adresse des Netzwerks, von dem aus der Verkehr gesendet wird. Wichtig ist auch, dass der Datenverkehr, für den die Regel gilt, nur über ein Netzwerk läuft.
Befindet sich die dynamische NAT-Quell-IP-Adresse nicht im selben Subnetz wie die primäre oder sekundäre IP-Adresse des ausgehenden Netzwerks für diesen Datenverkehr, ändert die Firebox die Quell-IP-Adresse für jedes Paket nicht auf die in der dynamischen NAT-Regel angegebene Quell-IP-Adresse. Stattdessen ändert es die Quell-IP-Adresse in die primäre IP-Adresse des Netzwerks, von dem das Paket gesendet wird.
Festlegen der Quell-IP-Adresse in einer Dynamischen NAT-Regel
Wenn Sie die Quell-IP-Adresse für Datenverkehr festlegen möchten, der einer Dynamischen NAT-Regel entspricht, unabhängig von allen Regeln, die für den Datenverkehr gelten, fügen Sie eine Dynamische NAT-Regel hinzu, die die Quell-IP-Adresse angibt. Die von Ihnen angegebene Quell-IP-Adresse muss sich im selben Subnetz befinden wie die primäre oder sekundäre IP-Adresse des Netzwerks, das der Datenverkehr verlässt.
Wenn der An-Standort in der Dynamischen NAT-Regel für das Netzwerk einen Alias wie Any-External angibt, der mehr als eine Schnittstelle umfasst, wird die Quell-IP-Adresse nur für Datenverkehr verwendet, der eine Schnittstelle verlässt, die eine IP-Adresse im selben Subnetz wie die Quell-IP-Adresse hat.
Zum Beispiel, wenn:
- Ihre Firebox hat zwei externe Netzwerke:
- Ext1, IP-Adresse 203.0.113.2
- Ext2, IP-Adresse 192.0.2.2
- Sie erstellen eine dynamische NAT-Regel für den gesamten Datenverkehr nach Any-External.
- In der dynamischen NAT-Regel legen Sie eine Quell-IP-Adresse von 203.0.113.80 fest.
Das Ergebnis ist:
- Für den Datenverkehr, der Ext1 verlässt, ist die Quell-IP-Adresse die IP-Adresse in der dynamischen NAT-Regel, 203.0.113.80.
- Für Datenverkehr, der Ext2 verlässt, ist die Quell-IP-Adresse die IP-Adresse der Schnittstelle Eth1, 192.0.2.2.
Weitere Informationen finden Sie unter Dynamisches NAT konfigurieren.
Festlegen der Quell-IP-Adresse in einer Firewall-Regel
Wenn Sie die Quell-IP-Adresse für den von einer bestimmten Firewall-Regel behandelten Datenverkehr festlegen möchten, konfigurieren Sie die Quell-IP-Adresse in den Netzwerkeinstellungen der Regel. Die von Ihnen angegebene Quell-IP-Adresse muss sich im selben Subnetz befinden wie die primäre oder sekundäre IP-Adresse der Schnittstelle, die Sie in der Regel für den ausgehenden Datenverkehr angegeben haben.
Wir empfehlen Ihnen, die Option Quell-IP festlegen in den NAT-Einstellungen einer Firewall-Regel nicht zu verwenden, wenn Sie mehr als ein externes Netzwerk auf Ihrer Firebox konfiguriert haben. Wenn Sie die Option Quell-IP festlegen in einer Regel verwenden, dürfen Sie SD-WAN mit Failover nicht in den Regeleinstellungen aktivieren.
Weitere Informationen finden Sie unter Dynamisches NAT in einer Firewall-Regel konfigurieren.
Siehe auch