简介：防火墙NAT（Network Address Translation）是一种地址转换技术，支持将报文的源地址进行转换，也支持将报文的目的地址进行转换。NAT策略由转换后的地址（地址池地址或者出接口地址）、匹配条件、动作三部分组成。其一，地址池类型包括源地址池（NAT No-PAT、NAPT、Smart NAT）和目的地址池。根据NAT转换方式的不同，可以选择不同类型的地址池或者出接口方式。其二，匹配条件包括源地址、目的地址、源安全区域、目的安全区域、出口、服务、时间段。根据不同的需求配置不同的匹配条件，对匹配上条件的流量进行NAT转换。其三、动作包括源地址转换或者目的地址转换。无论源地址转换或者目的地址转换，都可以对匹配上条件的流量进行选择NAT转换或者不转换两种方式。本文主要介绍华为防火墙的NAT策略的配置过程。详细内容参考下文。

一、使用授权账号和密码登陆华为防火墙

二、用户视图

1、输入sys进入配置视图（分为全局配置视图和局部配置视图【接口视图】）

2、查看NAT策略

三、配置NAT策略

简介：使用华为防火墙FW配置私网用户使用公网地址访问内部服务器（源NAT+静态目的NAT）。其配置过程为：第一步，配置接口IP地址和安全区域，完成网络基本参数配置。第二步，配置安全策略，允许内部网络用户访问内部服务器。第三步，配置NAT策略使用户使用公网地址访问内部服务器。第四步，在FW上配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。

1、配置接口IP地址和安全区域，完成网络基本参数配置。

# 配置外网接口GigabitEthernet0/0/0的IP地址。

system-view

[FW] interface GigabitEthernet0/0/0

[FW-GigabitEthernet0/0/0] ip address 183.1.1.1 24

[FW-GigabitEthernet0/0/0] quit

# 配置接口GigabitEthernet0/0/1的IP地址。

[FW] interface GigabitEthernet0/0/1

[FW-GigabitEthernet0/0/1] ip address 172.17.0.1 24

[FW-GigabitEthernet0/0/1] quit

# 将接口GigabitEthernet0/0/0加入Untrust区域。

[FW] firewall zone untrust

[FW-zone-untrust] add interface GigabitEthernet0/0/0

[FW-zone-untrust] quit

# 将接口GigabitEthernet0/0/1加入DMZ区域。

[FW] firewall zone dmz

[FW-zone-dmz] add interface GigabitEthernet0/0/1

[FW-zone-dmz] quit

2、配置安全策略，允许内部网络用户访问内部服务器。

#配置安全策略，允许内部网络用户访问内部服务器

[FW] security-policy

[FW-policy-security] rule name policy001

[FW-policy-security-rule-policy001] source-zone dmz

[FW-policy-security-rule-policy001] destination-zone dmz

[FW-policy-security-rule-policy001] destination-address 172.17.0.0 24

[FW-policy-security-rule-policy001] action permit

[FW-policy-security-rule-policy001] quit

[FW-policy-security] quit

3、配置源NAT地址池。

#配置源NAT地址池

[FW] nat address-group addressgroup1

[FW-address-group-addressgroup1] mode pat

[FW-address-group-addressgroup1] section 0 183.1.1.8 183.1.1.8

[FW-address-group-addressgroup1] route enable

[FW-address-group-addressgroup1] quit

4、配置目的NAT地址池。

#配置目标NAT地址池

[FW] destination-nat address-group addressgroup2

[FW-dnat-address-group-addressgroup2] section 172.17.0.7 172.17.0.8

[FW-dnat-address-group-addressgroup2] quit

5、配置NAT策略。

#配置NAT策略

[FW] nat-policy

[FW-policy-nat] rule name policy_nat1

[FW-policy-nat-rule-policy_nat1] source-zone dmz

[FW-policy-nat-rule-policy_nat1] source-address 172.17.0.6 24

[FW-policy-nat-rule-policy_nat1] destination-address 183.1.10.10 32

[FW-policy-nat-rule-policy_nat1] service protocol tcp destination-port 3000 to 3001

[FW-policy-nat-rule-policy_nat1] action source-nat address-group addressgroup1

[FW-policy-nat-rule-policy_nat1] action destination-nat static address-to-address address-group addressgroup2 2000

[FW-policy-nat-rule-policy_nat1] quit

[FW-policy-nat] quit

6、配置报文目的地址的路由，以防路由环路。

[FW] ip route-static 183.1.10.10 255.255.255.255 NULL0