透传规则配置 系统网络图 注意：隔离设备的 eth0、eth1 的 IP 表示配置规则时的虚拟 IP 反向规则配置 UDP 规则配置 四区反向发送代理机与二区反向接收代理机均为双网卡，将反向发送代理机 eth0 IP 配置为 192.168.0.1，并连接到反向型隔离设备外网则（PUBLIC）网口 eth0，将反向接收代理机 eth0 IP 配置为 192.168.0.2，并连接到反向型隔离设备内网则（PRIVATE）网口 eth0，四区反向发 送代理机与二区反向接收代理机 eth0 均在同一网段，规则配置比较简单，内网、外网 IP 地 址与虚拟 IP 相同即可。 

从外到内规则配置 从内到外规则配置 TCP 规则配置 暂无 正向规则配置 UDP 规则配置 二区的 10.14.1.27 与四区的 10.124.70.101、10.124.70.102 不在同一个网段。为了达到可以让 

不同网段两个网络通过隔离设备通信的目的，在隔离设备上采用网络地址转换功能模块，当 本隔离设备代表内部网络与外部网络建立连接时，它使用自定义的 IP 地址。在受保护的内 部网络里，当一个 TCP/IP 或 UDP 请求被送往隔离设备时，NAT 模块将源 IP 地址替换为 自定义的 IP 地址。当外部网络的应答返回到隔离设备时，NAT 将应答的目标地址字段替 换为最初建立 TCP/IP 请求的的内部网络计算机结点的 IP 地址。 因为内部网络的计算机结点主动发送TCP/IP 连接请求给外部网络，但是外网要隐藏其真正 的IP 地址，所以，就是说NAT 模块为外部网络的计算机结点绑定了一个固定的IP 地址（虚 拟的IP 地址）。 具体举例： 外网： 结点实际IP 地址为10.124.70.102 内网： 结点实际IP 地址为10.14.1.27 那么，我们在具体设计中要为外网结点10.124.70.102分配一个虚拟的IP 地址，此地址要与 内网结点的IP是同属一个网段的，可以分配为（10.14.1.29）；要为内网结点10.14.1.27分配 一个虚拟的IP 地址，此地址要与外网结点的IP 是同属一个网段的，可以分配为 （10.124.70.105）。 具体结构看下图： 源地址：10.14.1.27 目的地址：10.14.1.29 源地址：10.124.70.105 目的地址：10.124.70.102 内部网 10.14.1.27 （10.124.70.105） NAT 外部网 10.124.70.102 （10.14.1.29） 源地址：10.14.1.29 目的地址：10.14.1.27 源地址：10.124.70.102 目的地址：10.124.70.105 也就是说，应用必须从内网连接到外网，原先是连接外网IP 地址10.124.70.102，现在要改 为连接外网虚拟IP 地址10.14.1.29。 

从二区 10.14.1.27 到四区 10.124.70.101 规则配置 从二区 10.14.1.27 到四区 10.124.70.102 规则配置 TCP 规则配置 二区正向发送代机理为双网卡，将其 eth1 配置为四区同网段 IP：10.124.70.121，并连接到 正向型隔离设备内网则(PRIVATE)网口 eth0，规则配置比较简单，内网、外网 IP 地址与虚拟 IP 相同即可。 

从二区 10.124.70.121 到四区 10.124.70.101 规则配置 从二区 10.124.70.121 到四区 10.124.70.102 规则配置