公司的私網通常會有一些服務需要提供給公網的用戶訪問，但是由於網絡部署時，伺服器地址一般都會配置成私網地址，這樣就不能實現公網的用戶訪問了。那麼華為防火牆作為企業的出口網關時，是如何解決這個問題呢？

很多小夥伴會第一時間想到用NAT，沒錯，大致的方向正確了。只不過之前我們所使用的是源NAT，是對私網用戶訪問公網的報文源地址進行轉換，而伺服器對公網提供伺服器時，是公網用戶想私網發起訪問，方向正好相反了。針對伺服器的地址轉換，我們賦予了它一個形象的名字――NAT Server（伺服器映射）

下面來看下防火牆上的NAT Server是如何配置和實現的

配置思路

1、華為防火牆接口配置IP位址，並把對應的接口加入到安全區域。

2、把伺服器的私網地址映射成公網地址。

3、配置untrust區域允許訪問dmz區域的安全策略

關鍵配置

1、華為防火牆接口與安全域的配置

[FW1]interface GigabitEthernet 1/0/0

[FW1-GigabitEthernet1/0/0]ip address 10.1.1.1 24

[FW1]firewall zone dmz

[FW1-zone-dmz]add interface GigabitEthernet 1/0/0

[FW1]firewall zone untrust 

[FW1-zone-untrust]add interface GigabitEthernet 1/0/1

[FW1]interface GigabitEthernet 1/0/1

[FW1-GigabitEthernet1/0/1]ip address 1.1.1.2 24

2、把伺服器的私網地址映射成公網地址。

[FW1]nat server  protocol tcp global 1.1.1.2 9980 inside 10.1.1.2 80

這裡將80埠映射為9980埠而不是直接映射為80埠是因為，一些地區的運營商會阻斷新增的80、8000、8080埠的業務，從而導致伺服器無法訪問。

3、配置untrust區域允許訪問dmz區域的安全策略

security-policy

 rule name untrust_to_dmz

  source-zone untrust

  destination-zone dmz

  action permit

以上命令配置允許untrust區域的流量訪問dmz區域。完成了以上配置之後，可以通過訪問1.1.1.2的9980埠，從而訪問到內網10.1.1.2的80埠。

上面的配置是比較簡單的，下面來看看具體的流程吧。

當執行了nat server protocol tcp global 1.1.1.2 9980 inside 10.1.1.2 80這條命令後，Server-map會生成以下的映射關係。

上圖就是NATServer的Server-map表項， 圖中紅框標註的欄位就記錄著伺服器私網地址埠和公網地址埠的映射關係。[]內為伺服器私網地址和埠、[]外為伺服器公網地址和埠。我們將表項翻譯成文字就是：任意客戶端（any）向（->）1.1.1.2:9980發起訪問時，報文的目的地址和埠都會被轉換成10.1.1.2:80。具體的流程如下：

當客戶端通過1.1.1.2:9980訪問伺服器時，防火牆收到報文的首包後，首先是查找並匹配到Server-map表項，將報文的目的地址和埠轉換為10.1.1.2:80。然後根據目的地址判斷出報文在哪兩個安全區域間流動，報文通過域間安全策略檢查後，防火牆會建立如下的會話表，並將報文轉發到私網。

之後，伺服器對客戶端的請求做出響應。響應報文到達防火牆後匹配到上面的會話表，防火牆將報文的源地址和埠轉換為1.1.1.2:9980，而後發送至公網。後續客戶端繼續發送給伺服器的報文，防火牆都會直接根據會話表對其進行地址和埠轉換，而不會再去查找Server-map表項了。

在防火牆的前後抓包，能很清楚地看到NAT Server的效果：

A、轉換客戶端發往伺服器的報文的目的地址和埠。

防火牆處理前：

防火牆處理後：

B、轉換伺服器響應客戶端的報文的源地址和埠。

防火牆處理前

防火牆處理後

以上就是防火牆NAT Server的基本配置和工作原理。更多精彩的內容請關注我的頭條號，歡迎大家留言討論。