上一節我們配置了內網用戶訪問DMZ區域,今天我們來配置一下內網用戶訪問互聯網！

首先配置好各接口IP地址，并將接口加入到相應的安全區域內

配置Trust用戶訪問互聯網UnTrust

1、創建地址池

[FW1]nat address-group 1 10.1.1.20 10.1.1.21//配置NAT轉換公網地址池；

2、配置NAT策略

[FW1]nat-policy interzone trust untrust outbound

[FW1-nat-policy-interzone-trust-untrust-outbound]policy 10

[FW1-nat-policy-interzone-trust-untrust-outbound-10]action source-nat

//配置源NAT轉換，也可以配置no-pat模式；

[
FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 192.168.2.0 mask 24 （某一段地址）

[
FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 192.168.1.10 0（允許單個主機放行）

[FW1-policy-interzone-trust-untrust-outbound-20]policy destination any

3、配置源NAT地址轉換

[
FW1-nat-policy-interzone-trust-untrust-outbound-10]address-group 1//關聯地址池,使用端口復用PAT模式；若使用動態NAT，多對多模式，配置下列命令：

4、No-Pat地址轉換

[
FW1-nat-policy-interzone-trust-untrust-outbound-10]address-group 1 no-pat//No-pat不進行端口轉換，只進行地址轉換,表示一對一轉換，一個公網對應一個私網地址；

5、配置Trust到untrust安全策略并放行

[FW1]policy interzone trust untrust outbound

[FW1-policy-interzone-trust-untrust-outbound]policy 20

[
FW1-nat-policy-interzone-trust-untrust-outbound-10]policy source 192.168.1.0 mask 24 （放行轉換之前的地址，某一段地址）

[FW1-policy-interzone-trust-untrust-outbound-20]policy service service-set icmp//不配置表示允許所有；

[FW1-policy-interzone-trust-untrust-outbound-20]action permit

[FW1-policy-interzone-trust-untrust-outbound-20]q

[FW1-policy-interzone-trust-untrust-outbound]q

[FW1]

注意：按照數據包到防火的轉發流程，先匹配安全策略，策略通過的話，再匹配源NAT。

6、檢測配置

查看NAT策略

[FW1]display nat-policy all

[FW1]display nat-policy interzone trust untrust outbound

這個只有流量通過后，才能有數據；

[FW1]display firewall session table

檢查安全策略

<FW1>display policy all

7、創建防火墻路由

[FW1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.11

<FW1>display ip routing-table protocol static

8、測試內部終端到公網PC

9、查看會話表

<FW1>display firewall session table

10、查看會話表詳細信息

<FW1>display firewall session table verbose

[FW1]display firewall packet-filter default all