Zyxel Nebula 防火牆設定 NAT 虛擬伺服器 (Port Forwarding / 端口轉發)

Zyxel小編 Corey

前言

當您需要在防火牆後方架設網站、NAS、ERP系統或NVR等伺服器，並開放讓外部網路存取時，就必須設定網路位址轉換 (NAT)。

本文將引導您如何在 Nebula 控制中心，為您的 Zyxel 防火牆設定 NAT 規則與相關安全策略。

備註說明 :

• 本篇文章截圖畫面使用 Nebula 19.00 版本。
• 本篇文章適用於 ATP/USG FLEX/VPN 系列防火牆。

設定步驟

1. 新增NAT規則 (虛擬伺服器)

• 設定路徑： 防火牆 > 設定 > NAT

• 點擊「新增」來建立一條虛擬伺服器規則。

• 設定說明：
  • 公用IP： 選擇您要對應的WAN IP位址。
  • 公用連接埠： 外部使用者連線時所使用的通訊埠 (例如：80, 443)。
  • LAN IP： 輸入您內部伺服器的IP位址。
  • 本地連接埠： 內部伺服器實際使用的通訊埠 (通常與公用連接埠相同)。
  • 允許的遠端IP： 設定允許連線的來源IP。若無特殊限制，可設定為 任何 (Any)。

範例：

• 情境一： 將WAN 1 的8080 連接埠，轉發至內部192.168.1.100伺服器的80 連接埠。
• 情境二： 將WAN 1 的443 連接埠，轉發至內部192.168.1.100 伺服器的443 連接埠。

設定完成後，記得點擊「儲存」。

2. 檢查防火牆安全策略

新增NAT規則後，系統會自動在【設定 > 防火牆 > 安全性政策】 中產生對應的規則，以允許相關流量通過。

• 此規則的目的地會是您的伺服器 LAN IP 位址，而非 WAN IP。
• 確保上方沒有優先權更高的規則，阻擋目的地前往您的伺服器 IP 位址

3. 如何限制連線來源與時間？ (進階設定)

如果您想進一步提升安全性，可以限制只有特定的IP位址或在特定時間才能連線。

• 建立時間排程物件：
  • 在同一個頁面最下方，您可以新增排程物件，定義允許連線的時間區段 (例如：上班時間)。
  • 輸入排程名稱，以及調整規則生效時間。

• 修改安全策略：
  • 回到頁面上方，新增規則，決定哪些 IP 在指定時間才允許連線。
  • 將 來源 從 任何 (Any) 修改為您剛剛建立的 IP群組物件。
  • 將 排程 設定為您建立的 時間排程物件。
  • 在允許規則下方新增一條封鎖規則，即可在允許時間範圍以外封鎖特定 IP 傳輸。

完成後 儲存 即可。

若您希望更深入了解 Nebula 防火牆規則設定，歡迎參考此篇文章 : Nebula 防火牆規則設定教學 [安全策略]

總結

透過以上三個步驟，您就能成功設定NAT虛擬伺服器，並兼顧安全性。未來若連線有問題，可以優先檢查防火牆的日誌，確認流量是否被阻擋。

• Nebula 事件日誌使用教學請參考此篇文章 : 運用 Nebula 的事件日誌及變更記錄進行網路監控與快速查修
• 前往【監控 > 防火牆 > 事件日誌】即可查詢相關紀錄。