华为防火墙NAT这样配，公网内网双向都通！

大家好！

企业接入互联网，最常遇到的问题就是“内网终端不能直接访问外网”，“公网服务怎么做端口映射”。

NAT（网络地址转换）是华为防火墙最基础也最常用的功能，配置对了，内网上网、服务器发布、远程桌面都能搞定！

今日文章阅读福利：《网络工程师手册》

扫添加小助理微信，备注【网工】，即可获取。

一、什么是NAT？一句话解释

NAT就是把内网私网IP（如192.168.x.x）自动转换成公网IP，实现内网上网、外部访问内网服务的“翻译器”。

二、典型应用场景举例

1. 内网终端安全上网（源NAT）

2. 公网访问内网服务器（目的NAT/端口映射）

3. 多分支统一出口地址（企业级NAT）

4. 远程桌面/WEB服务发布

三、华为防火墙NAT标准配置流程（命令全流程！）
假设场景：

· 内网：192.168.10.0/24

· 公网接口：GigabitEthernet0/0/1，IP为1.1.1.2

· 内网接口：GigabitEthernet0/0/2

· 内网Web服务器：192.168.10.100，需发布TCP 80端口

第一步：源NAT（内网终端上网）
最常用方式：Easy-IP

[FW] nat-policy

[FW-nat-policy] rule name SNAT-EASY

[FW-nat-rule-SNAT-EASY] source-zone trust

[FW-nat-rule-SNAT-EASY] destination-zone untrust

[FW-nat-rule-SNAT-EASY] action source-nat easy-ip

[FW-nat-rule-SNAT-EASY] quit

Easy-IP会自动用外网接口IP做转换。

第二步：目的NAT（公网访问内网服务器）
常用方式：Server-NAT（端口映射）

[FW] nat-policy

[FW-nat-policy] rule name DNAT-WEB

[FW-nat-rule-DNAT-WEB] source-zone untrust

[FW-nat-rule-DNAT-WEB] destination-zone trust

[FW-nat-rule-DNAT-WEB] destination-address 1.1.1.2

[FW-nat-rule-DNAT-WEB] service tcp 80

[FW-nat-rule-DNAT-WEB] action destination-nat address 192.168.10.100

[FW-nat-rule-DNAT-WEB] quit

这样外部访问1.1.1.2的80端口就会自动转到内网服务器。

第三步：安全策略放行NAT流量
源NAT配合普通上网策略即可。
目的NAT需放行外网访问内网服务器相关端口：

[FW] security-policy

[FW-policy] rule name WEB-IN

[FW-policy-rule-WEB-IN] source-zone untrust

[FW-policy-rule-WEB-IN] destination-zone trust

[FW-policy-rule-WEB-IN] destination-address 192.168.10.100

[FW-policy-rule-WEB-IN] service tcp 80

[FW-policy-rule-WEB-IN] action permit

[FW-policy-rule-WEB-IN] logging enable

[FW-policy-rule-WEB-IN] quit

四、验证与排查命令

1. 查看NAT会话：

[FW] display nat session all

2. 验证公网访问：
外部用浏览器访问 http://1.1.1.2

3. 查看策略命中和日志：

[FW] display security-policy all

[FW] display logbuffer | include nat

五、常见配置坑与解决思路

· NAT策略未写source/destination zone，导致流量不走NAT

· Easy-IP未指定外网接口，转换失败

· DNAT端口未放行安全策略，外部访问不通

· 内网服务器网关没指向防火墙，回包走错路径

· NAT会话过多，建议定期检查和优化

六、进阶升级建议

· 多公网IP发布多个服务时，用“address-pool”多地址池

· 配合ACL实现精细NAT控制

· NAT+安全策略双重保障，防止端口暴露风险

· 结合NAT日志定期巡检异常访问

七、自测3问（答不出建议收藏本文！）

1. Easy-IP和Server-NAT（DNAT）的核心区别是什么？

2. DNAT配置完为什么还要写安全策略？

3. display nat session all能看出哪些关键信息？

我们今天就分享到这，下次再见啦！