這幾天遇到一個問題，內網服務器通過防火墻NAT轉換成公網地址，對方服務器通過公網地址能夠訪問服務器，但是通過服務器訪問對方服務器時，訪問不到，對面的服務器也是通過防火墻地址NAT轉換過來的。

環境說明：192.168.1.1、192.168.1.2、192.168.1.3組成一個局域網，能夠互相訪問，其中192.168.1.1在防火墻上NAT位231.1.3.10。231.1.3.1、231.1.3.6、231.1.3.10組成一個專網。
初步定位，對方服務器B（231.1.3.1）能夠telnet到我方服務器A（外網231.1.3.10，內網192.168.1.1），我方服務器（外網231.1.3.10，內網192.168.1.1）可以telnet訪問局域網其他服務器（192.168.1.2、192.168.1.3），說明服務器A（外網231.1.3.10，內網192.168.1.1）telnet服務沒問題。
服務器B（231.1.3.1）通過公網地址（231.1.3.10）能夠訪問到服務器A，說明防火墻目的映射配置沒問題。但是出站地址，原以為通過防火墻NAT轉換，入站地址和出站地址是一個地址，對方把我方服務器A的公網地址（231.1.3.10）加入防火墻策略后，但測試過程中，始終未收到包，反而收到了幾個231.1.3.111的包，對方詢問是否我方的出站地址是231.1.3.111
詢問防火墻維護人員，一口咬定出站地址和入站地址是一個地址（231.1.3.10），這邊配置沒問題。
我通過微信和電話詢問了原同事和現同事配置過天融信防火墻的人員，告知，天融信防火墻跟其他防火墻不太一樣，做NAT映射時，需要做一條從外往里的目的轉換，和從里往外的源轉換。


由于服務器A可以被服務器B通過公網訪問，說明防火墻目的轉換已經生效，需要再配置源轉換，把192.168.1.1NAT為231.1.3.10的源轉換策略加入到防火墻后，經驗證，命中數為0。說明策略仍未生效。最后仔細研究了下發現有一條源轉換策略（any，231.1.3.111。）
經驗總結：
1、天融信的防火墻策略是自動覆蓋，上面的策略和下面的策略如果沖突，上面的策略生效，下面的策略未生效。
2、天融信防火墻如果需要被訪問的話，需要添加源轉換和目的轉換，配置雙向轉換是不生效的。

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的天融信防火墙NGFW4000配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。