华为USG6000V1防火墙实现源目地址转换——不用server-map方式_华为usg 目的地址装换

一、要求：
防火墙本地创建两个安全区域，DMZ和Untrust;
DMZ区访问外部地址，可见的为内部地址；
Untrust区看到发起访问的地址也是外部地址；

二、实验环境说明：
防火墙配置两个地址10.255.1.254,划在DMZ中，用于PC终端的网关；1.1.1.1划到Untrust区中，用于和路由器互联；
路由器除配置接口地址之外，还配置了环回口地址100.1.1.1，用于DMZ发起访问；

  我在网上查了很多资料，华为防火墙实现目的转换的方式都是用server-map映射方式做的，如果从外部Untrust区对内访问用server-map方式比
  较好，但是有些场景是内部访问，但是又想是自已内部的地址，所以用以下方式会合理些。
1
2

三、实现步骤：
1、将端口划到安全区域：
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1

firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/0

2、按照防火墙报文处理流程：
目的地址转换——安全策略——源地址转换（这个非常重要）
（1）定义最终地址：
destination-nat address-group dst100.1.1.1 1
section 100.1.1.1 100.1.1.1

（2）定义源地址转换地址池 ：
nat address-group Change-source 0
mode pat
route enable（配置路由黑洞）
section 0 10.1.1.10 10.1.1.15

（3）定义安全策略：
security-policy
rule name Test-d2u
source-zone dmz
destination-zone untrust
source-address 10.255.1.0 mask 255.255.255.0
destination-address 100.1.1.1 mask 255.255.255.255
service icmp
action permit

(4)定义NAT策略
nat-policy
rule name Change-source-desti
source-zone dmz
source-address 10.255.1.0 mask 255.255.255.0
destination-address 10.255.1.10 mask 255.255.255.255(这个地址就是目的转换过后的地址)
action source-nat address-group Change-source
action destination-nat static address-to-address address-group dst100.1.1.1

四、验证：
1、从PC1去ping 10.255.1.10:

2、在防火墙查看会话信息：
display firewall session table ver
从此图可以看到10.255.1.1转成了10.1.1.13,即源地址实现了转换；
10.255.1.10转成了100.1.1.1,目的地址实现了转换。