目錄

前言

一、防火墻NAT概述

1、防火墻NAT策略介紹

2、NAT策略分類

（1）NAT No-PAT

（2）NAPT

（3）Easy-IP

（4）Smart NAT

（5）三元組NAT

3、NAT策略組成

4、NAT策略匹配規則

5、NAT策略處理流程

6、源NAT的使用限制

7、目的NAT的使用限制

8、與雙機熱備結合使用的限制

9、其它使用限制

10、源NAT簡介

11、源NAT分類

（1）NAT No-PAT

（2）NAPT

（3）Smart NAT

（4）Easy IP

（5）三元組NAT

12、目的NAT簡介

13、目的NAT分類

（1）靜態目的NAT

（2）動態目的NAT

二、防火墻NAT配置

1、案例

2、配置程序

（1）USG1

（2）USG2

（3）AR1

（4）AR2

（5）AR3

3、測驗

（1）客戶機1

（2）客戶機2

結語

---

前言

在內外網的邊界，流量有出、入兩個方向，所以NAT技術包含源地址轉換和目標地址轉換兩種，一般情況下，源地址轉換主要用于解決內部局域網計算機訪問Internet的場景，而目標地址轉換主要用于解決Internet用戶訪問局域網服務器的場景，目標地址通常被稱為服務器地址映射

一、防火墻NAT概述

1、防火墻NAT策略介紹

NAT（Network Address Translation）是一種地址轉換技術，支持將報文的源地址進行轉換，也支持將報文的目的地址進行轉換，華為防火墻的NAT功能可以通過配置NAT策略實作，其中目的NAT策略不支持配置目的安全區域和出介面

2、NAT策略分類

（1）NAT No-PAT

NAT No-PAT類似于Cisco的動態轉換，只轉換源IP地址，不轉換埠，屬于多對多轉換，不能節約公網IP地址，實際情況下使用較少，主要適用于需要上網的用戶較少，而公網地址又足夠的場景下

（2）NAPT

NAPT （Network Address and Port Translation，網路地址和埠轉換）類似于Cisco的PAT 轉換，NAPT既轉換報文的源地址，又轉換源埠，轉換后的地址不能是外網介面IP地址，屬于多對多或多對一轉換，可以節約IP地址，使用場景較多，主要適用于內部大量用戶需要上網，同時僅有少數幾個公網IP地址可用的場景下

（3）Easy-IP

出介面地址（Easy-IP）因其轉換方式非常簡單，所以也稱為Easy-IP，和NAPT一樣，既轉換源IP地址，又轉換源埠，區別是出介面地址方式轉換后的地址只能是NAT設備外網介面所配置的IP地址，屬于多對一轉換，可以節約IP地址，主要適用于沒有額外的公網地址可用，內部上網用戶非常多的場景下，直接通過外網介面本身的IP地址作為轉換目標

（4）Smart NAT

Smart NAT（智能轉換）通過預留一個公網地址進行 NAPT 轉換，而其他的公網地址用來進行NAT No-PAT轉換，其主要用于平時上網用戶比較少，而申請的公網地址基本可以滿足這些少量用戶進行NAT No-PAT轉換，但是偶爾會出現上網用戶倍增的情況下

（5）三元組NAT

三元組NAT是與源IP地址、源埠和協議型別有關的一種轉換，將源IP地址和源埠轉換為固定公網IP地址和埠，能解決一些特殊應用在普通NAT中無法實作的問題，其主要用于外部用戶訪問局域網用戶的一些P2P應用

3、NAT策略組成

NAT策略由轉換后的地址（地址池地址或者出介面地址）、匹配條件、動作三部分組成

• 地址池型別包括源地址池（NAT No-PAT、NAPT、三元組NAT、Smart NAT）和目的地址池，根據NAT轉換方式的不同，可以選擇不同型別的地址池或者出介面方式
• 匹配條件包括源地址、目的地址、源安全區域、目的安全區域、出介面、服務、時間段，根據不同的需求配置不同的匹配條件，對匹配上條件的流量進行NAT轉換
• 動作包括源地址轉換或者目的地址轉換，無論源地址轉換或者目的地址轉換，都可以對匹配上條件的流量進行選擇NAT轉換或者不轉換兩種方式

4、NAT策略匹配規則

如果創建了多條NAT策略，設備會從上到下依次進行匹配，如果流量匹配了某個NAT策略，進行NAT轉換后，將不再進行下一個NAT策略的匹配，雙向NAT策略和目的NAT策略會在源NAT策略的前面，雙向NAT策略和目的NAT策略之間按配置先后順序排列，源NAT策略也按配置先后順序排列，新增的策略和被修改NAT動作的策略都會被調整到同類NAT策略的最后面，NAT策略的匹配順序可根據需要進行調整，但是源NAT策略不允許調整到雙向NAT策略和目的NAT策略之前

5、NAT策略處理流程

不同的NAT型別對應不同的NAT策略，在華為防火墻上處理順序不同

• 華為防火墻收到報文后，查找NAT Server生成的Server-Map表，如果報文匹配到Server-Map表，則根據表項轉換報文的目的地址，然后進行步驟4處理，如果報文沒有匹配到Server-Map表，則進行步驟2處理
• 查找基于ACL的目的NAT，如果報文符合匹配條件，則轉換報文的目的地址，然后進行步驟4處理，如果報文不符合基于ACL的目的NAT的匹配條件，則進行步驟3處理
• 查找NAT策略中目的NAT，如果報文符合匹配條件，則轉換報文的目的地址后進行路由處理，如果報文不符合目的NAT的匹配條件，則直接進行路由處理
• 根據報文當前的資訊查找路由（包括策略路由），如果找到路由，則進入步驟5處理，如果沒有找到路由，則丟棄報文
• 查找安全策略，如果安全策略允許報文通過且之前并未匹配過NAT策略（目的NAT或者雙向NAT），則進行步驟6處理，如果安全策略允許報文通過且之前匹配過雙向NAT，則直接進行源地址轉換，然后創建會話并進入步驟7處理，如果安全策略允許報文通過且之前匹配過目的NAT，則直接創建會話，然后進行步驟7處理，如果安全策略不允許報文通過，則丟棄報文
• 查找NAT策略中源NAT，如果報文符合源NAT的匹配條件，則轉換報文的源地址，然后創建會話，如果報文不符合源NAT的匹配條件，則直接創建會話
• 華為防火墻發送報文

NAT策略中目的NAT會在路由和安全策略之前處理，NAT策略中源NAT會在路由和安全策略之后處理，因此，配置路由和安全策略的源地址是NAT轉換前的源地址，配置路由和安全策略的目的地址是NAT轉換后目的地址

6、源NAT的使用限制

• 地址池中的IP地址可以與NAT Server的公網IP地址、介面IP地址重疊，但是配置NAT No-PAT、三元組NAT這兩種源NAT時，請不要將設備介面的地址配置為NAT地址池的地址，因為這兩種源NAT會生成動態Server-map表，報文到達設備時優先查詢Server-map表，會影響對設備本身的訪問
• 華為防火墻不支持對GRE和AH報文的NAPT方式的轉換，當華為防火墻收到GRE或AH報文時，根據NAPT配置將報文的埠置為0，然而華為防火墻反向接收到的報文沒有埠資訊，正反向報文埠資訊不匹配，導致業務中斷
• 透明模式下（業務介面作業在交換模式）的源NAT的配置，華為防火墻支持采用地址池中的地址做為轉換后的源地址，不支持easy-ip方式
• NAT地址池探測功能不支持在地址池是PCP模式下應用
• 當NAT地址池地址與出介面地址不在同一網段時，必須配置黑洞路由，當公網用戶主動訪問NAT地址池中的地址時，華為防火墻收到此報文后，無法匹配到會話表，根據預設路由轉發給路由器，路由器收到報文后，查找路由表再轉發給華為防火墻，此報文就會在華為防火墻和路由器之間回圈轉發，造成路由環路，因此需要配置黑洞路由
• 當NAT地址池地址與出介面地址在同一網段時，建議配置黑洞路由，在這種情況下，不會產生路由環路，但當公網用戶發起大量訪問時，華為防火墻將發送大量的ARP請求報文，也會消耗系統資源，因此需要配置黑洞路由，避免華為防火墻發送ARP報文請求報文，節省華為防火墻的系統資源，可以使用ip route-static ip-address NULL 0命令手工進行配置，也可以使用route enable命令配置UNR路由，該UNR路由的作用與黑洞路由的作用相同，可以防止路由環路，同時也可以引入到OSPF等動態路由協議中發布出去
• 當NAT地址池地址與出介面地址一致時，華為防火墻收到公網用戶的報文后，發現是訪問自身的報文，這時候取決于出介面所屬安全區域和Local安全區域之間的安全策略，安全策略允許通過，就處理，安全策略不允許通過，就丟棄，不會產生路由環路，也不需配置黑洞路由
• 配置三元組NAT時，建議配置Smart三元組NAT功能，這樣可以將一些僅需內部主動訪問外部的應用流量（比如單向訪問外部網站）排除不進行三元組NAT轉化，以此來減少系統資源的消耗

7、目的NAT的使用限制

• 當采用動態NAT策略的方式配置時，如果對外提供的公網地址與公網介面地址同網段，則需要在對端設備配置靜態ARP將流量引到華為防火墻上，否則華為防火墻接收不到流量
• 直接將設備介面的地址配置為NAT Server的公網地址后，無法通過該介面的地址使用Web方式或Telnet方式對設備進行管理，也無法對設備進行Ping探測，如果在實際應用中確實需要將設備介面的地址配置為NAT Server的公網地址，又需要通過該介面的地址對設備進行遠程管理，您可以在配置NAT Server時選擇允許埠轉換，并配置協議和埠號，以縮小地址和埠轉換的范圍，從而避免與訪問設備本身的需求相沖突，
• NAT策略配置目的NAT或者雙向NAT時，不支持下發UNR路由，為了防止路由環路，需要手工配置到轉換前的目的IP地址的黑洞路由
• 對于配置指定協議和埠的NAT Server并且NAT Server的Global地址和公網介面地址不在同一網段時，必須配置黑洞路由，當公網用戶主動訪問NAT Server的global地址時，華為防火墻收到此報文后，無法匹配到會話表，根據預設路由轉發給路由器，路由器收到報文后，查找路由表再轉發給華為防火墻，此報文就會在華為防火墻和路由器之間回圈轉發，造成路由環路，因此需要配置黑洞路由
• 對于配置指定協議和埠的NAT Server并且NAT Server的Global地址和公網介面地址在同一網段時，建議配置黑洞路由，在這種情況下，不會產生路由環路，但當公網用戶發起大量訪問時，華為防火墻將發送大量的ARP請求報文，也會消耗系統資源，因此需要配置黑洞路由，避免華為防火墻發送ARP報文請求報文，節省華為防火墻的系統資源
• 當NAT Server的global地址與公網介面地址一致時，華為防火墻收到公網用戶的報文后，如果能匹配上Server-map表，就轉換目的地址，然后轉發到私網，如果不能匹配上Server-map表，就會認為是訪問自身的報文，這時候取決于公網介面所屬安全區域和Local安全區域之間的安全策略，安全策略允許通過，就處理，安全策略不允許通過，就丟棄，不會產生路由環路，不需要配置黑洞路由
• 配置NAT Server時，如果內網服務器的私網埠和其對外發布的公網埠同時使用了非知名埠，則需要配置埠映射功能，使華為防火墻可以將這些訪問非知名埠的報文識別為知名服務的報文
• 配置NAT Server時，對于同一個內部服務器發布多個公網IP供外部網路訪問的場景，如果不同公網IP所在的鏈路規劃在同一個安全區域，必須通過配置指定no-reverse引數的NAT Server來實作，另外，指定no-reverse引數后，內部服務器將無法主動訪問外部網路
• 不建議公網地址同時被NAT地址池和NAT Server使用，如果必須使用，需要精細配置NAT Server映射的公網地址和埠，并在地址池中排除該埠，當公網地址同時被NAT地址池和NAT Server使用時，可能會出現Server-map表項沖突，導致地址轉換失敗

8、與雙機熱備結合使用的限制

• 雙機熱備組網下，不支持NAT地址池探測功能
• 雙機熱備的負載分擔場景下，當NAT方式是NAPT模式時，必須在一臺華為防火墻上配置hrp nat resource primary-group命令，另外一臺華為防火墻上配置hrp nat resource secondary-group命令，將地址池中地址的埠分為前后兩端，保證NAT地址池埠不沖突
• 雙機熱備的負載分擔場景下，當NAT方式是NAT NO-PAT模式時，必須執行nat resource load-balance enable命令，將地址和埠的分配轉移到同一臺設備上執行，保證兩臺設備分配到的地址和埠不沖突， 開啟該命令后，心跳口的流量會有所增加（增加大小視現網業務大小而定，一般為首包流量大小），需要確定心跳口的帶寬是否足夠
• 雙機熱備場景下，NAT地址池不允許包含主機、備機介面的IP地址，如果NAT地址池包含了介面的IP地址，上行設備請求該地址池IP的ARP的時候，主機和備機都會回應，導致ARP沖突
• 雙機熱備場景下，NAT策略中的源或目的地址不允許包含心跳介面IP地址，以免心跳報文被NAT轉換引發心跳鏈路通信例外
• 在負載分擔方式的雙機熱備組網中，地址池模式不能為三元組模式（包括靜態映射），只能為PAT模式（包括埠預分配）和NO-PAT模式
• 在非鏡像模式雙機熱備場景中，不能使用Easy-ip，由于Easy-ip是直接使用介面的公網地址作為轉換后的地址，所以在非鏡像模式雙機熱備場景中，如果使用Easy-ip，NAT轉換后的地址是主機的介面IP地址，因為備機上沒有主機的介面IP地址，所以主機的會話備份到備機后是不可用的，上行設備進行ARP學習時，學到的是主機MAC地址，并沒有學習到備機MAC地址，因此，在非鏡像模式雙機熱備場景中是不能使用Easy-ip的
  

9、其它使用限制

• 不帶UDP/TCP報文頭的RAW IP報文無法命中NAT策略進行地址轉換
• 當NAT與VPN功能同時作業時，請精確定義NAT策略的匹配條件，確保NAT功能不會將原本是需要進行VPN封裝的資料流做地址轉換
• 通過nat statistics enable開啟NAT地址池統計功能時，統計期間中性能下降5%左右， 在NAT地址池統計的10秒內，CPU使用率會有一定的上升（5%左右），統計完成后CPU使用率恢復正常
• 通過ip-detect healthcheck開啟NAT地址池探測功能后，華為防火墻會周期性的向遠端服務器發送探測報文，其中探測報文的源地址是地址池中的地址，地址池中地址中的數量越大，發送探測報文的數量越多，會占用一定的系統資源，影響設備的性能
• 更改NAT配置后，基于ACL的目的NAT相關的會話不會重繪，NAT策略和NAT Server相關的會話會重繪，但是NAT策略中地址池的變更不會立即重繪會話，如果希望配置立即生效，則需要使用reset firewall session table命令清除相關的會話表資訊，清除會話表資訊時，可以使用reset firewall session table命令帶上指定引數進行小范圍清除，否則將導致業務中斷
• 當NAT策略中需要指定源IP地址時，源IP地址應該設定為NAT轉換前的私網IP地址，如果與NAT Server配合使用時，當NAT策略中需要指定目的IP地址時，目的地址應該為NAT Server的私網地址
• 用于登錄SSL VPN虛擬網關、設備Web界面的IP地址和埠不能與NAT Server配置的公網IP地址和埠沖突，否則將無法正常登錄虛擬網關或設備Web界面

10、源NAT簡介

源NAT是指對報文中的源地址進行轉換，通過源NAT技術將私網IP地址轉換成公網IP地址，使私網用戶可以利用公網地址訪問Internet

當主機訪問外網時，華為防火墻的處理程序如下

• 當私網地址用戶訪問Internet的報文到達華為防火墻時，華為防火墻將報文的源IP地址由私網地址轉換為公網地址
• 當回程報文回傳至華為防火墻時，華為防火墻再將報文的目的地址由公網地址轉換為私網地址

11、源NAT分類

根據轉換源地址時是否同時轉換埠，源NAT分為僅源地址轉換的NAT（NAT No-PAT），源地址和源埠同時轉換的NAT（NAPT、Smart NAT、Easy IP、三元組NAT）

（1）NAT No-PAT

NAT No-PAT是一種NAT轉換時只轉換地址，不轉換埠，實作私網地址到公網地址一對一的地址轉換方式，適用于上網用戶較少且公網地址數與同時上網的用戶數量相同的場景

當主機通過NAT No-PAT訪問Internet時，華為防火墻的處理程序如下

• 華為防火墻收到主機發送的報文后，根據目的IP地址判斷報文需要在Trust區域和Untrust區域之間流動，通過安全策略檢查后繼而查找NAT策略，發現需要對報文進行地址轉換
• 華為防火墻根據輪詢演算法從NAT地址池中選擇一個空閑的公網IP地址，替換報文的源IP地址，并建立Server-map表和會話表，然后將報文發送至Internet
• 華為防火墻收到Web Server回應Host的報文后，通過查找會話表匹配到步驟2中建立的表項，將報文的目的地址替換為主機的IP地址，然后將報文發送至Intranet

此方式下，公網地址和私網地址屬于一對一轉換，如果地址池中的地址已經全部分配出去，則剩余內網主機訪問外網時不會進行NAT轉換，直到地址池中有空閑地址時才會進行NAT轉換

華為防火墻上生成的Server-map表中存放主機的私網IP地址與公網IP地址的映射關系

• 正向Server-map表項保證特定私網用戶訪問Internet時，快速轉換地址，提高了華為防火墻處理效率
• 反向Server-map表項允許Internet上的用戶主動訪問私網用戶，將報文進行地址轉換

NAT NO-PAT有兩種

①本地（Local）NO-PAT

本地NO-PAT生成的Server-Map表中包含安全區域引數，只有此安全區域的Server可以訪問內網主機

②全域（Global）NO-PAT

全域NO-PAT生成的Server-Map表中不包含安全區域引數，一旦建立，所有安全區域的Server都可以訪問內網主機

（2）NAPT

NAPT是一種轉換時同時轉換地址和埠，實作多個私網地址共用一個或多個公網地址的地址轉換方式，適用于公網地址數量少，需要上網的私網用戶數量大的場景

當主機通過NAPT訪問Internet時，華為防火墻的處理程序如下

• 華為防火墻收到主機發送的報文后，根據目的IP地址判斷報文需要在Trust區域和Untrust區域之間流動，通過安全策略檢查后繼而查找NAT策略，發現需要對報文進行地址轉換
• 華為防火墻根據源IP Hash演算法從NAT地址池中選擇一個公網IP地址，替換報文的源IP地址，同時使用新的埠號替換報文的源埠號，并建立會話表，然后將報文發送至Internet
• 華為防火墻收到Web Server回應Host的報文后，通過查找會話表匹配到步驟2中建立的表項，將報文的目的地址替換為Host的IP地址，將報文的目的埠號替換為原始的埠號，然后將報文發送至Intranet

此方式下，由于地址轉換的同時還進行埠的轉換，可以實作多個私網用戶共同使用一個公網IP地址上網，華為防火墻根據埠區分不同用戶，所以可以支持同時上網的用戶數量更多，此外，NAPT方式不會生成Server-map表，這一點也與NAT No-PAT方式不同

（3）Smart NAT

Smart NAT是No-PAT方式的一種補充，Smart NAT是一種可以在No-PAT的NAT模式下，指定某個IP地址預留做NAPT方式的地址轉換方式，適用于平時上網的用戶數量少，公網IP地址數量與同時上網用戶數基本相同，但個別時段上網用戶數激增的場景
使用No-PAT方式時，進行地址池的一對一轉換，隨著內部用戶數量的不斷增加，地址池中的地址數可能不再能滿足用戶上網需求，部分用戶將得不到轉換地址而無法訪問Internet，此時，用戶可以利用預留的IP地址進行NAPT地址轉換，然后訪問Internet

當內部網路中多臺主機通過Smart NAT同時訪問Server時，處理程序如下

• 華為防火墻收到Intranet發送的報文后，根據目的IP地址判斷報文需要在Trust區域和Untrust區域之間流動，通過域間安全策略檢查后繼而查找域間NAT策略，發現需要對報文進行地址轉換
• 如果NAT地址池中有空閑地址，華為防火墻從NAT地址池中選擇一個空閑的公網IP地址，替換報文的源IP地址，并建立會話表，然后將報文發送至Server
• 如果NAT地址池中沒有空閑地址，華為防火墻使用預留的NAPT地址替換報文的源IP地址，同時使用新的埠號替換報文的源埠號，并建立會話表，然后將報文發送至Internet
• 此方式下，華為防火墻優先采用No-PAT的方式轉換地址，當可被No-PAT方式的公網地址用完時，新的用戶連接將使用預留的這個IP地址做NAPT方式的地址轉換

此方式下，華為防火墻優先采用No-PAT的方式轉換地址，當可被No-PAT方式的公網地址用完時，新的用戶連接將使用預留的這個IP地址做NAPT方式的地址轉換

（4）Easy IP

Easy IP是一種利用出介面的公網IP地址作為NAT轉后的地址，同時轉換地址和埠的地址轉換方式，對于介面IP是動態獲取的場景，Easy IP也一樣支持
當華為防火墻的公網介面通過撥號方式動態獲取公網地址時，如果只想使用這一個公網IP地址進行地址轉換，此時不能在NAT地址池中配置固定的地址，因為公網IP地址是動態變化的，此時，可以使用Easy IP方式，即使出介面上獲取的公網IP地址發生變化，華為防火墻也會按照新的公網IP地址來進行地址轉換

當主機通過Easy IP訪問Web Server時，華為防火墻的處理程序如下

• 華為防火墻收到主機發送的報文后，根據目的IP地址判斷報文需要在Trust區域和Untrust區域之間流動，通過安全策略檢查后繼而查找NAT策略，發現需要對報文進行地址轉換
• 華為防火墻使用與Internet連接的介面的公網IP地址替換報文的源IP地址，同時使用新的埠號替換報文的源埠號，并建立會話表，然后將報文發送至Internet
• 華為防火墻收到Web Server回應主機的報文后，通過查找會話表匹配到步驟2中建立的表項，將報文的目的地址替換為主機的IP地址，將報文的目的埠號替換為原始的埠號，然后將報文發送至Intranet

此方式下，由于地址轉換的同時還進行埠的轉換，可以實作多個私網用戶共同使用一個公網IP地址上網，華為防火墻根據埠區分不同用戶，所以可以支持同時上網的用戶數量更多

（5）三元組NAT

三元組NAT是一種轉換時同時轉換地址和埠，實作多個私網地址共用一個或多個公網地址的地址轉換方式，它允許Internet上的用戶主動訪問私網用戶，與基于P2P技術的檔案共享、語音通信、視頻傳輸等業務可以很好地共存
當內網PC訪問Internet時，如果華為防火墻采用五元組NAT（NAPT）方式進行地址轉換，外部設備無法通過轉換后的地址和埠主動訪問內部PC

三元組NAT方式可以很好的解決上述問題，因為三元組NAT方式在進行轉換時有以下兩個特點

• 三元組NAT的埠不能復用，保證了內部PC對外呈現的埠的一致性，不會動態變化，但是公網地址利用率低
• 支持外部設備通過轉換后的地址和埠主動訪問內部PC，華為防火墻即使沒有配置相應的安全策略，也允許此類訪問報文通過

華為防火墻上生成的Server-map表中存放主機的私網IP地址與公網IP地址的映射關系

• 正向Server-map表項保證內部PC轉換后的地址和埠不變
• 反向Server-map表項允許外部設備可以主動訪問內部PC

三元組NAT有兩種

①本地（Local）三元組NAT
本地三元組NAT生成的Server-Map表中包含安全區域引數，只有此安全區域的主機可以訪問內網主機

②全域（Global）三元組NAT
全域三元組NAT生成的Server-Map表中不包含安全區域引數，一旦建立，所有安全區域的主機都可以訪問內網主機

華為防火墻支持Smart三元組NAT功能，可以根據報文的目的埠來選擇分配埠的模式，在一定程度上提高公網地址的利用率，當報文的目的埠屬于設定的埠范圍之內，就采用NAPT模式來分配埠，如果報文的目的埠不屬于設定的埠范圍之內，則采用三元組NAT模式來分配埠

12、目的NAT簡介

目的NAT是指對報文中的目的地址和埠進行轉換，通過目的NAT技術將公網IP地址轉換成私網IP地址，使公網用戶可以利用公網地址訪問內部Server

當外網用戶訪問內部Server時，華為防火墻的處理程序如下

• 當外網用戶訪問內網Server的報文到達華為防火墻時，華為防火墻將報文的目的IP地址由公網地址轉換為私網地址
• 當回程報文回傳至華為防火墻時，華為防火墻再將報文的源地址由私網地址轉換為公網地址
  

13、目的NAT分類

根據轉換后的目的地址是否固定，目的NAT分為靜態目的NAT和動態目的NAT

（1）靜態目的NAT

靜態目的NAT是一種轉換報文目的IP地址的方式，且轉換前后的地址存在一種固定的映射關系，通常情況下，出于安全的考慮，不允許外部網路主動訪問內部網路，但是在某些情況下，還是希望能夠為外部網路訪問內部網路提供一種途徑，例如，公司需要將內部網路中的資源提供給外部網路中的客戶和出差員工訪問

當主機通過靜態目的NAT訪問Server時，華為防火墻的處理程序如下

• 華為防火墻收到Internet上用戶訪問的報文的首包后，將匹配NAT策略的報文的目的地址進行轉換
• 華為防火墻選擇一個私網IP地址，替換報文的目的地址，同時可以選擇使用新的埠替換目的埠號或者埠號保持不變，公網地址與私網地址一對一進行映射的場景下，公網地址與目的地址池地址按順序一對一進行映射，華為防火墻從地址池中依次取出私網IP地址，替換報文的目的地址
• 報文通過安全策略后，華為防火墻建立會話表，然后將報文發送至內網服務器
• 華為防火墻收到Server回應主機的報文后，通過查找會話表匹配到3中建立的表項，用源主機報文的目的地址替換Server的IP地址，然后將報文發送至主機
• 后續主機繼續發送給Server的報文，防火墻都會直接根據會話表項的記錄對其進行轉換

NAT Server會生成Server-map表，并通過Server-map保存地址轉換前后的映射關系，與NAT Server不同，基于NAT策略的靜態目的NAT不會產生Server-map表，但如果轉換前的地址沒有變化,轉換后的目的地址也不會改變，轉換前后的目的依然會存在固定的映射關系，華為防火墻在進行地址轉換的程序中還可以選擇是否多個地址轉換為同一個目的地址，是否選擇埠轉換，以滿足不同場景的需求

（2）動態目的NAT

動態目的NAT是一種動態轉換報文目的IP地址的方式，轉換前后的地址不存在一種固定的映射關系，通常情況下，靜態目的NAT可以滿足大部分目的地址轉換的場景，但是在某些情況下，希望轉換后的地址不固定，例如，移動終端通過轉換目的地址訪問無線網路

當主機通過動態目的NAT訪問Server時，華為防火墻的處理程序如下

• 華為防火墻收到主機發送的報文后，將匹配NAT策略的報文進行目的地址轉換，從地址池中隨機選擇一個地址作為轉換后的地址，將報文的目的IP地址進行轉換
• 華為防火墻通過域間安全策略檢查后建立會話表，然后將報文發送至Server
• 華為防火墻收到Server回應主機的報文后，通過查找會話表匹配到2中建立的表項，將報文的源地址替換，然后將報文發送至主機

基于ACL的目的NAT將符合特定條件的報文的目的地址以及目的埠轉換為指定的地址及埠，其中特定條件包含“安全區域”和“ACL”兩項，即設備只對來自某一安全區域且命中特定ACL的報文進行目的NAT，作業原理與基于NAT策略的動態目的NAT的作業原理類似，區別在于轉換地址的匹配條件不同，基于ACL的目的NAT通過特定條件匹配，而基于NAT策略的動態目的NAT通過NAT策略匹配

二、防火墻NAT配置

1、案例

2、配置程序

（1）USG1

（2）USG2

（3）AR1

（4）AR2

（5）AR3

3、測驗

（1）客戶機1

（2）客戶機2

結語

預設情況下，端點無關過濾功能處于開啟狀態，端點無關過濾功能開啟后，當Internet上的用戶主動訪問位于內部網路的用戶時，將會匹配目的Server-map表，華為防火墻根據目的Server-map表中的轉換關系進行地址轉換，然后不進行安全策略處理，直接轉發報文，如果沒有開啟端點無關過濾功能，則還是會查找安全策略規則，由安全策略規則決定是否轉發報文