了解双向NAT

双向NAT指的是在转换过程中同时转换报文的源信息和目的信息。双向NAT不是一个单独的功能，而是源NAT和目的NAT的组合。双向NAT是针对同一条流，在其经过防火墙时同时转换报文的源地址和目的地址。

双向NAT主要应用在以下两个场景。

外网用户访问内部服务器当外部网络中的用户访问内部服务器时，使用该双向NAT功能同时转换该报文的源和目的地址可以避免在内部服务器上设置网关，简化配置。

图1 外网用户访问内部服务器工作原理示意图

如图1所示，当Host访问Server时，FW的处理过程如下：

FW对匹配双向NAT处理的策略的报文进行地址转换。FW从目的NAT地址池中选择一个私网IP地址替换报文的目的IP地址，同时使用新的端口号替换报文的目的端口号。判断是否满足安全策略的要求，通过安全策略后从源NAT地址池中选择一个私网IP地址替换报文的源IP地址，同时使用新的端口号替换报文的源端口号，并建立会话表，然后将报文发送至Intranet。FW收到Server响应Host的报文后，通过查找会话表匹配到建立的表项，将报文的源地址和目的地址替换为原先的IP地址，将报文源和目的端口号替换为原始的端口号，然后将报文发送至Internet。

私网用户访问内部服务器私网用户与内部服务器在同一安全区域同一网段时，私网用户希望像外网用户一样，通过公网地址来访问内部服务器的场景。

图2 私网用户访问内部服务器工作原理示意图

如图2所示，当Host访问Server时，FW的处理过程如下：

FW对匹配双向NAT处理的策略的报文进行地址转换。FW从目的NAT地址池中选择一个私网IP地址替换报文的目的IP地址，同时使用新的端口号替换报文的目的端口号。判断是否满足安全策略的要求，通过安全策略后从源NAT地址池中选择一个公网IP地址替换报文的源IP地址，同时使用新的端口号替换报文的源端口号，并建立会话表，然后将报文发送至Server。FW收到Server响应Host的报文后，通过查找会话表匹配到建立的表项，将报文的源地址和目的地址替换原先的IP地址，将报文源和目的端口号替换为原始的端口号，然后将报文发送至host。

在FW中，双向NAT还可采用源NAT和NAT Server组合的方式。通过源NAT转换报文的源地址，同时通过NAT Server转换同一报文的目的地址，实现双向NAT功能。NAT Server相关配置举例请参考配置NAT Server。