默认从Int到Ext的流量没有限制,只需要做Nat behind Gateway即可,也就是让内部主机有个外部地址方便通信。但从Ext到Int的流量是有限制的,需要在防火墙访问列表中添加Rule。

两种NAT方式: Static:1对1映射。 Hide:将一个或多个内网IP隐藏在本CheckPoint入口网关(或某特定IP)后,类似PAT,只能从内部发起连接,如10.1.1.0 10.1.1.2-10.2.2.1 ext,则10.1.1.0网段的所有主机都映射到10.2.2.1上。 当从外部去连某台内部主机的时候/服务端口号不能修改的时候,只能使用STATIC模式。

两种配置方式: 自动:在HOST NODE中配置的NAT为自动方式,选Add automatic Address Translation Rule。 手动:在NAT TAB中配置详细的手动NAT规则。

NAT 优先顺序(一个用完用另一个):

  1. Static NAT
  2. IP Pool NAT
  3. Hide NAT

IP Pool NAT 可以对IPSec, GRE, IGMP等进行处理,适合VPN,而Hide NAT只能处理TCP, UDP和ICMP。

配置中的自动配置ISP冗余模式只在确有两条以上ISP接口的情况下会生效。

Persistency by Service/Server:强制防火墙记住第一次负责处理某数据情况,每次都以同一方法处理同一个数据请求。所以TIME OUT是必要的,以免等待过长。

具体操作中需要两条RULE,一条用于告知防火墙对特定数据进行负载均衡。另一条用于特定端口或流量的通行定义。