在专用网络上的设备请求时,NAT 防火墙将允许 Internet 流量通过网关。将丢弃任何来路不明的请求或数据包,从而防止与潜在危险的设备通信。

如果 Tier-1 网关同时配置了 SNAT 和网关防火墙 (Gateway Firewall, GWFW),并且 GWFW 未配置为有状态,则必须为 Tier-1 网关的通告子网配置“无 SNAT”。否则,流向这些子网中 IP 地址的流量将失败。

在以下示例中,T1-A 是网关,并且配置了 SNAT 规则以转换从其连接的子网 192.168.1.0/0 到 10.1.1.1 的任何流量。

""

以下是一些流量场景:
  1. 无论网关防火墙是有状态、无状态还是已禁用,从 VM-A/192.168.1.1 启动的任何流量将转换为 10.1.1.1 作为源 IP。当来自 VM-C 或 VM-B 的流量返回该流时,它们的目标 IP 将变成 10.1.1.1;T1-A 会将其与 SNAT 流匹配并正确转换,以便它流回到 VM-A。SNAT 规则将按预期运行,不会出现任何问题。
  2. VM-B/20.1.1.1 启动流向 VM-A/192.168.1.1 的流量。在此处,T1-A 具有有状态防火墙时与没有防火墙或具备无状态防火墙时的行为有所不同。防火墙规则允许 VM-B 和 VM-A 之间的流量。要使用此场景,请为将 192.168.1.0/24 与 20.1.1.0/24 匹配的流量配置“无 NAT”规则。如果该“无 NAT”规则存在,则行为方面没有任何差异。
  3. 如果 T1-A 具有有状态防火墙,则 T1-A 防火墙将为从 VM-B/20.1.1.1 到 VM-A/192.168.1.1 的 TCP SYN 数据包创建防火墙连接条目。当 VM-A 回复时,T1-A 将回复数据包与有状态连接条目匹配,并将流量从 VM-A/192.168.1.1 转发到 VM-B/20.1.1.1,而不进行 SNAT 转换。这是因为在返回流量与防火墙连接条目匹配时,防火墙将跳过 SNAT 查找。
  4. 如果 T1-A 禁用了防火墙或具有无状态防火墙,则 T1-A 防火墙将 TCP SYN 数据包从 VM-B/20.1.1.1 转发到 VM-A/192.168.1.1,而不创建防火墙连接条目,因为它要么具有无状态防火墙,要么没有防火墙。在 VM-A/192.168.1.1 回复 VM-B/20.1.1.1 时,T1-A 发现没有防火墙连接条目,对其执行 SNAT,并将源 IP 从 VM-A/192.168.1.1 转换为 10.1.1.1。当该回复返回到 VM-B 时,VM-B 将丢弃流量,因为源 IP 地址是 10.1.1.1 而不是 VM-A/192.168.1.1。