简介：防火墙NAT（Network Address Translation）是一种地址转换技术，支持将报文的源地址进行转换，也支持将报文的目的地址进行转换。NAT策略由转换后的地址（地址池地址或者出接口地址）、匹配条件、动作三部分组成。其一，地址池类型包括源地址池（NAT No-PAT、NAPT、Smart NAT）和目的地址池。根据NAT转换方式的不同，可以选择不同类型的地址池或者出接口方式。其二，匹配条件包括源地址、目的地址、源安全区域、目的安全区域、出口、服务、时间段。根据不同的需求配置不同的匹配条件，对匹配上条件的流量进行NAT转换。其三、动作包括源地址转换或者目的地址转换。无论源地址转换或者目的地址转换，都可以对匹配上条件的流量进行选择NAT转换或者不转换两种方式。本文主要介绍华为防火墙的FTP端口映射策略的配置过程。详细内容参考下文。

一、使用授权账号和密码登陆华为防火墙

二、用户视图

1、输入sys进入配置视图

2、执行指令display zone查看防火墙Zone的划分

三、配置FTP端口映射策略

配置内容如下：

1、设置内、外网接口IP。

#配置内网的IP

interface XGigabitEthernet0/0/0

ip address 172.17.0.1 255.255.255.248

#配置外网的IP

interface GigabitEthernet0/0/0

ip address 183.63.1.1 255.255.255.248

2、指定内网信任区和外网非信任区。

#指定内网信任区

firewall zone trust

detect ftp (启用FTP应用层转换)

add interface XGigabitEthernet0/0/0

#指定外网非信任区

firewall zone untrust

add interface GigabitEthernet0/0/0

3、启内网FTP服务映射到外网，开通区域间的通信许可。

#开启内网到外网的FTP服务映射

firewall interzone trust untrust

detect ftp

firewall packet-filter default permit all

4、定义NAT地址池、配置NAT Server发布内网站点服务。

#定义地址池，映射服务

nat address-group 1 183.63.1.200 183.63.1.200

nat server zone untrust protocol tcp global 183.63.1.200 www inside

172.16.0.8 www

nat server zone untrust protocol tcp global 183.63.1.200 ftp inside

172.16.0.8 ftp

nat server zone trust protocol tcp global 183.63.1.200 www inside

172.16.0.8 www

nat server zone trust protocol tcp global 183.63.1.200 ftp inside

172.16.0.8 ftp

5、配置NAT转换，使得内网可以访问外网。

#配置nat转换

nat-policy interzone trust untrust outbound

policy 1

action source-nat

policy source 172.17.0.0 0.0.0.255

address-group 1

6、配置源地址转换，强制要求内网用户须通过映射地址访问内部服务器。

#配置源地址转换

nat-policy zone trust

policy 1

action source-nat

policy source 172.17.0.0 0.0.0.255

policy destination 183.63.1.200 0

address-group 1

#比如配置Project策略。如下图

备注：查看某个NAT策略的指令为display nat-policy rule name 后面接NAT策略名称

四、防火墙常用查询指令