FortiGate飞塔防火墙开启的端口映射时开启NAT与否的区别

在FortiGate设备上进行端口映射操作的时候，在端口映射的策略中，有个选项是是否开启NAT，如下图中红框处：

图1. 端口映射中的NAT选项

不管是否开启NAT选项，映射的端口都能正常工作，那么它们的区别是什么呢？

1. 启用 NAT：

• 当你启用 NAT 时，FortiGate 会在端口映射的过程中执行地址转换。这意味着外部用户访问映射的外网地址时，FortiGate 会将外网地址转换为内部服务器的实际 IP 地址。
• NAT 可以隐藏内部网络的真实 IP 地址，提高安全性，同时允许多个内部服务器共享相同的外网地址。

2. 不启用 NAT：

• 如果你不启用 NAT，那么外部用户访问映射的外网地址时，FortiGate 不会执行地址转换。外网地址将直接映射到内部服务器的实际 IP 地址。
• 这样可以避免地址转换的开销，但同时也暴露了内部服务器的真实 IP 地址。

总之，启用 NAT 可以提高安全性并隐藏内部网络的真实 IP 地址，但会增加一些性能开销。不启用 NAT 则直接将外网地址映射到内部服务器，适用于某些特定场景。

在某些时候，我们进行调试或者信息采集的时候 ，需要取得外部访问的客户端的IP地址，就必须关闭NAT，比如下面的情况，在登录的时候：

1. 开启了端口映射的NAT功能时，日志中记录的IP地址是防火墙的IP地址：

   
   图2. 开启端口映射的NAT功能，只能取得防火墙的IP地址

2. 关闭端口映射的NAT功能时，日志中可以记录外部访问客户端的真实IP地址：

   
   图3. 关闭端口映射的NAT功能时，能取得客户端的真实IP地址