สิ่งที่ต้องรู้
การทำงานของ module NAT จะทำงานแยกกันกับ Application Control ซึ่งจะต่างจาก Firewall ยี่ห้ออื่น
ดังนั้นถ้าเซต Application Control Policy (Firewall Policy) แล้ว ในกรณีที่ต้องการให้มีการ DNAT จาก WAN เข้ามาServerด้านใน จะต้องเข้ามา Config DNAT ด้วย
Step การตั้งค่า
1. Verify ว่า Public IP ที่อยู่บน NGAF สามารถเรียกจากภายนอกได้ (จะต้องมี IP Public IP ดังกล่าวอยู่ใน Interface NGAF)
2. ทำให้ Private IP สามารถออกเน็ตเป็น Public IP (ตามที่กำหนด) SNAT ได้ ผ่าน NGAF (เครื่องต้องset gateway ให้ผ่าน NGAF)
3. เช็คว่า NGAF สามารถ Ping Private IP และ Port ที่ต้องการใช้งานได้ ผ่านtelnet
4. ตั้งค่า DNAT (หรือBNAT ถ้าต้องการให้เข้าใช้งานจากภายในได้) เพื่อให้เข้าถึง private ip ได้
5. เช็ค hit count ใน NAT policy
การตั้งค่า DNAT
1. ไปที่ Policy > NAT > กด Add
2. จากนั้นตั้งค่าตามที่ต้องการ โดยต้องกรอกข้อมูลดังนี้
- Type - เลือก ประเภทการ NAT เป็น Destination NAT
- Name - ชื่อของ NAT Policy นี้
- Src Zone - ใส่ Zone ที่ต้องการจะให้ DNAT Policy นี้มีผล โดยปกติจะเลือกเป็น Zone WAN
- Src Address - ใส่ Source IP ที่ต้องการให้มีผล โดยปกติจะเลือกเป็น All เนื่องจากไม่รู้ว่า user จะเข้ามาใช้งานด้วย Source IP อะไร
- Destination - ใส่ Public IP ที่จะใช้ในการทำ DNAT โดยสามารถเขียนเป็น IP Address หรือเลือกเป็น Network Object ก็ได้ ทั้งนี้ IP ที่จะใช้จะต้องถูกระบุอยู่ใน Interface ใน Physical Interface (ถ้าไม่มีจะไม่สามารถ Save ได้)
- Service - ใส่ Service ที่ต้องการจะใช้ทำ DNAT สามารถเลือกได้ตามต้องการ เช่น All, TCP, https, หรือสามารถสร้างCustom Service หรือGroupของ Custom Service ได้ (เลือกได้มากกว่า 1 Service ต่อpolicy)
- Translated IP Address - กรอก IP ฝั่งภายในที่ต้องการจะให้ Destination NAT ไป (สามารถเลือกเป็น IP Range, Network Object, Untranslated ได้เช่นกัน)
- Translated Port - กรอก Port ฝั่งภายในที่ต้องการให้ Translate ถ้าไม่ต้องการ Translate ก็ไม่ต้องใส่
ความหมายคือ เรียกด้วย 10443 แล้ว forward ให้Server เป็น 443
ถ้าเรียก 443 แล้วส่งต่อให้เป็น 443 อย่างเดิมไม่ต้องกรอกช่องนี้ - สามารถเลือก Services ที่ต้องการเข้าถึงมากกว่า 1 Port ได้ (ฝั่งซ้าย) และPort ด้านขวาไม่ต้องกรอก ไม่เช่นนั้นจะหมายถึงว่า ทุกPortที่เลือกด้านซ้าย จะถูกแปลงเป็น Port ด้านขวา เช่น เข้ามาด้วย 25, 80, 443 แต่ถูกตั้งtranslate เป็น 80 หมด ทำให้ไม่สามารถใช้งานได้
- สามารถดู Diagram เพื่อดูวิธีการเรียกและ การ NAT Packet
- **หากคลิกเลือก Add ACL policy automatically ด้านล่าง ระบบจะ Allow connection โดยไม่ต้องสร้าง Application Control Policy เพื่อ allow connection อีกรอบ ทั้งนี้ถ้าใช้แบบ auto นี้จะไม่เก็บ application log
3. จากนั้นกด Save
4. จะต้อง Add Public IP ที่ต้องการใช้งานเข้าไปอยู่บน Physical Interface หรือ VLAN Interface ด้วย
การเก็บ Application Control Log ของ Policy ที่เกิดจาก NAT Policy
ในกรณีที่ต้องการจะเก็บ Log
1. จะต้องเลือก Allow เป็นแบบ Add ACL policy manually จากนั้นกด Add เพื่อสร้าง Application Control Policy ขึ้นมา (โดยระบบจะ Fill ข้อมูลส่วนใหญ่ไว้ให้แล้ว)
2. ตั้งค่า Application Control Policy
- กรอกข้อมูล Destination Zone/Address ที่ต้องการจะ Allow และทำการ Log
- กด Advanced: Settings > กดเลือก Log Events
- ถ้าไม่สามารถเลือก Log Events ได้จะต้องไปที่ Monitor > Settings > Logging Options > Application Control Logs > เลือก Enable และ Local
ข้อมูลอื่นๆ
1. สามารถลองเข้าใช้งานแล้วเช็คที่ Hit Count ว่ามีจำนวนเพิ่มขึ้นหรือไม่
2. ในกรณีที่ใส่ IP ไว้ใน WAN Interface แล้ว และตั้งค่าเปิด WebUI ไว้กับ Interface นั้น จะทำให้ทุก IP ใน List สามารถเรียก WebUI ของ NGAF ได้ และในกณีที่มีการตั้งค่า DNAT จาก IP นั้นๆด้วย https (443) ไปแล้วถึงจะทำให้เรียก Public IP แล้วไม่เจอ WebUIได้
3. ในกรณีที่อยากจะตั้งค่า WebUI Port ของ NGAF เพื่อเลี่ยงการถูกเรียกจาก Port 443 สามารถตั้งค่าได้ที่
System > General Setting > Web UI > HTTPS Port - ตั้งค่าเป็น Port ที่ต้องการ จากนั้นหลังจากตั้งค่าจะต้องใช้Portนี้ในการเข้าทั้งหมด
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น