需要澄清 Sonicwall“公共服务器”向导 NAS 策略

需要澄清 Sonicwall“公共服务器”向导 NAS 策略

我使用 SonicWall TZ105“公共服务器”向导为内部(非 DMZ)服务器添加 NAT 策略,但我不明白为什么需要所有由此产生的自定义策略:

#   Source                     Destin.                 Service               Interface
    Original      Translated   Original   Translated   Original  Translated  In   Out
--  ------------  -----------  ---------  -----------  --------- ----------- ---  ---
1   Firewalled    MyServer     MyServer   MyServer     MyServer  Original    Any  Any
    Subnets       Public       Public     Private      Services

2   MyServer      MyServer     Any        Original     MyServer  Original    Any  X1
    Private       Public                               Services

3   Any           Original     MyServer   MyServer     MyServer  Original    Any  Any
                               Public     Private      Services

4   Any           WAN          Any        Original     Any       Original    X0   X1
                  Primary IP

策略 4 似乎是允许所有内部主机使用公共/WAN IP 访问互联网的一般规则。

策略 3 似乎允许传入连接访问服务器,这绝对是我需要的,因为这就是我想要实现的。

策略 2 似乎确保服务器服务的任何传出连接都映射到正确的 WAN IP 地址?如果我们只有一个 IP 地址,这有必要吗?如果没有此规则,服务器的出站连接不是只需使用规则 #4 进行映射吗?

策略 1 似乎匹配内部主机使用 WAN IP 访问服务器的尝试,并将 IP 地址映射回内部 IP 地址,从而阻止内部流量离开内部网络?对吗?如果是这样,考虑到内部网络具有 DNS 并且主机名将解析为我们网络上的私有 IP 地址,这样的规则有多重要。如果使用 SSLVPN 访问网络和访问服务,此规则会生效吗?

由于我们在此防火墙后面有多个服务器,因此我试图使策略屏幕尽可能整洁,并且如果策略 4 和我们的内部 DNS 服务器已经有效地覆盖了策略 1 和 2,则希望避免添加这些策略。我不希望我们获得额外的 IP 地址。

答案1

按照您列出的顺序:

政策4:你是正确的。

政策 3:你是正确的。

策略 2:您说得基本正确。如果您只有一个公共 IP,则所有流量都会通过 NAT 发送到该 IP。这是一条明确的规则,当您拥有一系列公共 IP 且不同的服务位于不同的 IP 上时,该规则非常有用。

策略 1:此规则是一条发夹式 NAT 规则,可将内部客户端重定向回私有 IP,如您所指出的。如果内部客户端使用的 DNS 服务器与您使用的 DNS 服务器不同,则它们将无法获取内部地址,而是获取公共 IP。这就是此规则的必要性所在。

您也许可以在没有政策 1 和 2 的情况下顺利度过难关,但如果您做出更改,那么以后可能就不值得这么麻烦了。

相关内容