source-ip |，source-port 对应的截图如下。相当于等价路由。

firewall packet-filter default permit interzone local trust direction inbound //允许ping通trust，允许telnet trust接口，使能够访问trust接口，如果不加这条命令不能在防火墙上ping通trust，也不能telnet trust接口。所有的local与业务无关。

firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound

配置内部服务器

V3版本通过acl指定，v5版本通过域间策略指定。 拓扑：Internet------USG2000------WEB服务器

要求：服务器及其内网通过NAT能访问Internet,服务器80端口对外发布网页 配置： １.NAT

acl number 2000

rule 10 permit source 192.168.0.0 0.0.0.255 nat address-group 1 218.1.1.1 218.1.1.1 firewall interzone trust untrust packet-filter 2000 outbound

nat outbound 2000 address-group 1 2.外网访问服务器

acl number 3000

rule 10 permit tcp destination 192.168.0.2 0 destination-port eq www nat server protocol tcp global 218.1.1.1 www inside 192.168.0.2 www firewall interzone trust untrust packet-filter 3000 inbound

3.配置telnet

acl number 3002

rule 10 permit ip destination 218.1.1.1 0 user-interface vty 0 4 acl 3002 inbound

当内网部署了一台服务器，其真实IP是私网地址，但是希望公网用户可以通过一个公网地址来访问该服务器，这时可以配置NAT Server，使设备将公网用户访问该公网地址的报文自动转发给内网服务器。

前提条件

已经配置USG5300的工作模式（只能为路由模式，混合模式也是可以的） ? 已经配置接口IP地址

? 已经配置接口加入安全区域

? （可选）如果使用虚拟防火墙功能，需要已经创建VPN实例，并配置接口绑定VPN实例

?

背景信息

在实际应用中，可能需要提供给外部一个访问内部主机的机会，如提供给外部一个WWW的服务器，或是一台FTP服务器。使用NAT Server可以灵活地添加内部服务器，例如，可以将内网一台真实IP为10.1.1.2的Web服务器的80端口映射为公网IP地址1.1.1.1的80端口，将一台真实IP为10.1.1.3的FTP服务器的23端口同样映射为公网IP地址1.1.1.1的23端口。

外部网络的用户访问内部服务器时，NAT Server将请求报文的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言，NAT Server还会自动将回应报文的源地址（私网地址）转换成公网地址。

说明：

当针对同一私网IP地址配置了NAT和内部服务器两个功能时，USG5300将优先根据内部服务器功能的配置进行地址转换。

操作步骤

1. 执行命令system-view，进入系统视图。 2. 选择执行以下命令之一，配置内部服务器。

对所有安全区域发布同一个公网IP，即这些安全区域的用户都可以通过访问同一个公网IP来访问内部服务器。

执行命令nat server [ id ] global global-address inside host-address [ vrrp virtual-router-id ] [ vpn-instance vpn-instance-name ]，配置不指定协议类型的内部服务器。

? 执行命令nat server [ id ] protocol protocol-type global

global-address [ global-port ] inside host-address [ host-port ] [ vrrp virtual-router-id ] [ vpn-instance vpn-instance-name ]，配置指定协议类型的内部服务器。

?

说明：

配置nat server protocol命令时，global-port和host-port只要有一个定义了any，则另一个要么不定义，要么是any。

? 多个不同内部服务器使用一个公有地址对外发布时，可以多次使用nat server命令对其进行配置，但是global-port不能相同。 对所有安全区域发布多个公网IP，即这些安全区域的用户都可以通过访问任意一个公网IP来访问内部服务器。 ? 执行命令nat server [ id ] global global-address inside host-address [ vrrp virtual-router-id ] no-reverse [ vpn-instance vpn-instance-name ]，配置不指定协议类型的内部服务器。 ? 执行命令nat server [ id ] protocol protocol-type global

global-address [ global-port ] inside host-address [ host-port ] [ vrrp virtual-router-id ] no-reverse [ vpn-instance vpn-instance-name ]，配置指定协议类型的内部服务器。

?

说明：

与发布一个公网IP地址相比，发布多个公网IP地址时多了个参数

no-reverse。配置不带no-reverse参数的nat server后，当公网用户访问服务器时，设备能将服务器的公网地址转换成私网地址；同时，当服务器主动访问公网时，设备也能将服务器的私网地址转换成公网地址。 ? 参数no-reverse表示设备只将公网地址转换成私网地址，不能将私网地址转换成公网地址。当内部服务器主动访问外部网络时需要执行nat outbound命令，nat outbound命令引用的地址池里必需是nat server配置的公网IP地址，否则反向NAT地址与正向访问的公网IP地址不一致，会导致网络连接失败。

?

?

多次执行带参数no-reverse的nat server命令，可以为该内部服务器配置多个公网地址；未配置参数no-reverse则表示只能为该内部服务器配置一个公网地址。

当统一安全网关同时应用于双机热备组网时，如果转换后的NAT服务器地址与VRRP备份组虚拟IP地址不在同一网段，则不必配置携带vrrp关键字的nat server命令；如果转换后的NAT服务器地址与VRRP备份组的虚拟IP地址在同一网段，则需要配置相关命令，且virtual-router-ID为统一安全网关NAT服务器出接口对应的VRRP备份组的ID。

3. 执行命令firewall interzone [ vpn-instance vpn-instance-name ] zone-name1 zone-name2，进入域间视图。

4. （可选）执行命令detect protocol，配置NAT ALG功能。

在USG5300支持FTP、HTTP、H.323、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、SQL.NET、NETBIOS、MMS等协议的会话时，需要在域间启动ALG功能。

配置举例

当一个内部服务器需要对不同网段的外部用户提供服务时，多次执行带

no-reverse参数的nat server命令，可以为一个内部服务器配置多个公网IP地址。此时，外部的不同网段用户可以通过访问不同的公网IP地址来访问此内部服务器。

如图1所示，例如服务器内部IP地址为1.1.1.1，其公网IP地址分别为2.2.2.2和3.3.3.3。

图1 配置NAT Server示意图

[USG5300] nat server protocol tcp global 2.2.2.2 ftp inside 1.1.1.1 ftp no-reverse

[USG5300] nat server protocol tcp global 3.3.3.3 ftp inside 1.1.1.1 ftp no-reverse