1. 环境准备与基础配置第一次接触华为防火墙NAT配置时我对着eNSP界面发呆了半小时。后来发现先搭好实验环境比直接敲命令重要十倍。这里我用的是eNSP V100R003C00版本搭配USG6000V防火墙镜像。建议在虚拟机里跑实测物理机容易卡死。搭建环境时有个坑必须按顺序启动设备。先开Cloud绑定真实网卡再启动防火墙最后启客户端和服务器。我有次反着来结果ping包死活出不去。拓扑很简单Client1192.168.1.1/24接防火墙G1/0/1Server1200.1.1.1/24接防火墙G1/0/0防火墙G1/0/1192.168.1.254/24trust区域防火墙G1/0/0200.1.1.254/24untrust区域配置基础IP时容易输错掩码。建议用这条命令查接口状态[FW1]display interface brief看到物理和协议状态都是up才算通。有次我配完发现G1/0/1始终down折腾半天才发现是网线没连——在eNSP里也得插线2. 安全区域绑定技巧新手最常问为什么我的NAT策略不生效十次有八次是安全区域没绑对。华为防火墙严格区分trust内网、untrust外网、dmz隔离区就像小区的门禁系统。配置时要注意[FW1]firewall zone trust [FW1-zone-trust]add interface GigabitEthernet1/0/1 # 内网口加入trust [FW1]firewall zone untrust [FW1-zone-untrust]add interface GigabitEthernet1/0/0 # 外网口加入untrust实测坑点接口加入zone后必须重启防火墙服务早期版本需要查看绑定结果用[FW1]display zone有次我忘记绑定NAT策略配得再完美也白搭。安全区域就像快递收发室——没登记的门牌号包裹永远送不到。3. 源NAT配置实战想让内网192.168.1.0/24上网地址池NAT是最佳选择。这里我用单个公网IP200.1.1.10做演示[FW1]nat address-group 1 # 创建地址池 [FW1-address-group-1]section 200.1.1.10 200.1.1.10 # 起始和结束IP相同 [FW1]nat-policy # 进入NAT策略视图 [FW1-policy-nat]rule name trust_to_untrust # 规则命名要有意义 [FW1-policy-nat-rule-trust_to_untrust]source-zone trust [FW1-policy-nat-rule-trust_to_untrust]destination-zone untrust [FW1-policy-nat-rule-trust_to_untrust]source-address 192.168.1.0 24 [FW1-policy-nat-rule-trust_to_untrust]action source-nat address-group 1关键细节地址池可以设范围如200.1.1.10-200.1.1.20但测试环境单个IP足够查看NAT会话[FW1]display nat session verbose如果内网有多个网段需要添加多条rule遇到过最诡异的问题内网能ping通外网但打不开网页。后来发现是MTU不匹配在接口视图下用mtu 1400调小后解决。4. 安全策略联动配置NAT配完别高兴太早——安全策略才是真正的守门人。有次我排查两小时最后发现是安全策略没放行。配置FTP访问的例子[FW1]security-policy [FW1-policy-security]rule name ftp_outbound [FW1-policy-security-rule-ftp_outbound]source-zone trust [FW1-policy-security-rule-ftp_outbound]destination-zone untrust [FW1-policy-security-rule-ftp_outbound]source-address 192.168.1.0 24 [FW1-policy-security-rule-ftp_outbound]destination-address any # 允许访问所有外网 [FW1-policy-security-rule-ftp_outbound]service ftp # 精确控制服务类型 [FW1-policy-security-rule-ftp_outbound]action permit避坑指南策略顺序影响匹配优先级从上到下执行查看策略命中次数[FW1]display security-policy rule all hit-count临时禁用某条策略用rule disable比删除更安全5. ASPF应用层网关妙用FTP、SIP等协议有多通道问题ASPF能自动识别动态端口。配置简单但效果神奇[FW1]firewall detect ftp # 启用FTP应用识别 [FW1]firewall detect sip # 如果需要VOIP支持验证ASPF是否生效[FW1]display firewall detect看到ftp状态为enabled才算成功。曾经有用户反映FTP能登录但列不出目录就是ASPF没开的锅。6. NAT Server对外发布服务把内网服务器192.168.1.1映射为公网200.1.1.10ICMP测试为例[FW1]nat server huawei_icmp protocol icmp global 200.1.1.10 inside 192.168.1.1 [FW1]security-policy [FW1-policy-security]rule name icmp_inbound [FW1-policy-security-rule-icmp_inbound]source-zone untrust [FW1-policy-security-rule-icmp_inbound]destination-zone trust [FW1-policy-security-rule-icmp_inbound]destination-address 192.168.1.1 32 # 精确到主机 [FW1-policy-security-rule-icmp_inbound]service icmp [FW1-policy-security-rule-icmp_inbound]action permit关键点查看NAT Server映射表[FW1]display nat serverWeb服务映射要加端口nat server web protocol tcp global 200.1.1.10 8080 inside 192.168.1.1 80有次配置完发现外网访问不了原来是安全策略的destination-address写成网段了必须精确到映射的内网IP。7. 连通性测试与排错测试顺序很重要内网ping防火墙接口IP192.168.1.254内网ping外网Server1200.1.1.1外网ping NAT Server公网IP200.1.1.10抓包定位问题最快FW1 capture packet interface GigabitEthernet1/0/0用display命令三件套查状态display nat session # 查看转换关系 display security-policy hit-count # 看策略是否匹配 display firewall session table # 检查会话建立遇到NAT失效时我的排查口诀是一查区域二查策三看会话四抓包。曾经有个案例NAT配置完全正确但就是不通最后发现是Client1的网关设成了.253而不是.254。