USG FLEX H 設定 NAT (網路位址轉譯) 以開放對外服務

選項
zyxel_bo
zyxel_bo 文章數: 138 image  Zyxel Employee
25 Answers First Comment Friend Collector Third Anniversary
已編輯 Oct 8 日 防火牆 常見問題

為什麼需要 NAT?

在典型的網路架構中,出於 IPv4 位址短缺與安全考量,您的內部伺服器(如網站主機、NAS)通常使用私有 IP 位址。這些私有 IP 無法直接從網際網路存取。

為了解決此問題,「網路位址轉譯 (NAT)」功能應運而生。它能讓防火牆作為一個轉發站,將來自外部網路、指向您 WAN 端公開 IP 的連線請求,安全地轉發給指定的內部伺服器。

版本資訊:本篇教學的截圖與操作,基於 USG FLEX H V1.35 patch 2 韌體版本。

設定方式:雲端或本地的選擇

USG FLEX H 系列支援「雲地混合」管理模式。您可以選擇在 Nebula 雲端平台上進行設定,也可以登入設備的本地 Web GUI 進行。

——————————————————————————————————————————————————————————

本地介面設定流程 (兩大階段)

整個設定過程分為兩大部分:首先建立「NAT 規則」來定義轉發的目的地,然後再建立「防火牆規則」來允許該流量通過。

第一階段:建立 NAT 規則 (定義轉發路徑)

情境說明:

我們希望當外部使用者連線至防火牆的 WAN IP (1.163.110.104) 搭配 8443 連接埠時,能將其連線請求,轉發至內部的一台網頁伺服器 192.168.1.77443 (HTTPS) 連接埠。

image.png

設定目標:

建立一條 NAT 規則,將 WAN IP:8443 的流量,對應到 LAN IP:443

操作步驟:

  1. 前往 【設定 > 網路 > NAT】,點擊「新增」。 image.png
  2. 因為防火牆自身的管理介面已使用 443 埠,所以此處需改用其他埠。
    | 外部 IP | wan1 | 流量進入的 WAN 介面。
    | 外部連接埠 | 8443 | 外部使用者連線時使用的埠號。
    | 內部 IP | 192.168.1.77 | 您的內部伺服器 IP 位址。
    | 內部連接埠 | 443 | 伺服器實際提供服務的埠號。
    | 埠口對應類型 | Port | 選擇「埠」來進行單一埠口的轉發。
  3. 點擊「Apply」儲存此 NAT 規則。 image.png

第二階段:建立防火牆規則 (允許流量通過)

情境說明:

NAT 規則只定義了「轉發路徑」,但預設情況下,防火牆會阻擋所有從 WAN 主動連入的流量。因此,我們還需要建立一條規則來明確「允許」這條路徑上的流量通過。

設定目標:

建立一條防火牆規則,允許來自任何外部來源,可以存取內部伺服器 192.168.1.77HTTPS (TCP 443) 服務。

操作步驟:

  1. 前往 【設定 > 安全性策略 > 策略控制】,點擊「新增」。 image.png
  2. 參數設定
    | | WAN | 流量從外部網路進來。 |
    | | LAN1 | 流量要往 LAN1 區域去。 |
    | 目的地 | 建立一個代表 192.168.1.77 的位址物件 | 精準地指定只有這台伺服器能被存取。 |
    | 服務 | HTTPS | 選擇 HTTPS 服務物件 (即 TCP 443)。 |
    | 動作 | allow (允許) | 將符合條件的流量放行。 |
  3. 點擊「套用」儲存此防火牆規則。 image.png

——————————————————————————————————————————————————————————

雲端介面設定流程 (兩大階段)

整個設定過程分為兩大部分:首先建立「NAT 規則」來定義轉發的目的地,然後再建立「防火牆規則」來允許該流量通過。

第一階段:建立 NAT 規則 (定義轉發路徑)

情境說明:

我們希望當外部使用者連線至防火牆的 WAN IP (1.163.110.104) 搭配 8443 連接埠時,能將其連線請求,轉發至內部的一台網頁伺服器 192.168.1.77 的 443 (HTTPS) 連接埠。

image.png

設定目標:

建立一條 NAT 規則,將 WAN IP:8443 的流量,對應到 LAN IP:443

操作步驟:

  1. 前往 【設定 > 網路 > NAT】,點擊「新增」。 image.png
  2. 因為防火牆自身的管理介面已使用 443 埠,所以此處需改用其他埠。
    外部 IP | wan1 | 流量進入的 WAN 介面。
    | 外部連接埠 | 8443 | 外部使用者連線時使用的埠號。
    內部 IP | 192.168.1.77 | 您的內部伺服器 IP 位址。
    內部連接埠 | 443 | 伺服器實際提供服務的埠號。
    埠口對應類型 | Port | 選擇「埠」來進行單一埠口的轉發。 image.png
  3. 點擊「儲存」儲存此 NAT 規則。 image.png

第二階段:建立防火牆規則 (允許流量通過)

情境說明:

NAT 規則只定義了「轉發路徑」,但預設情況下,防火牆會阻擋所有從 WAN 主動連入的流量。因此,我們還需要建立一條規則來明確「允許」這條路徑上的流量通過。

設定目標:

建立一條防火牆規則,允許來自任何外部來源,可以存取內部伺服器 192.168.1.77 的 HTTPS (TCP 443) 服務。

操作步驟:

  1. 前往 【設定 > 防火牆 > 安全性政策】,點擊「新增」。 image.png
  2. 將規則優先權拖移至最上方 image.png
  3. 參數設定
     | WAN | 流量從外部網路進來。
    至 | LAN1 | 流量要往 LAN1 區域去。
    目的地 | 建立一個代表 192.168.1.77 的位址物件 | 精準地指定只有這台伺服器能被存取。
    服務 | HTTPS | 選擇 HTTPS 服務物件 (即 TCP 443)。
    行動 | 允許) | 將符合條件的流量放行。 image.png
  4. 點擊「儲存」完成防火牆規則。 image.png

疑難排解

若完成上述所有設定後,外部連線仍然失敗,請參考此篇完整的障礙排除指南,進行問題檢測:
➡️ 防火牆 NAT 障礙排除教學

分類

Zyxel Help Center

EnglishTiếng ViệtРусскийไทย中文(台灣)