在日常工作中，有時候需要把公司內部的某些服務向外提供服務，例如FTP服務、WEB服務等等，像這種需求，應該怎樣解決呢？下面通過一個簡單的案例來講解

拓撲圖

企業內網用戶和FTP服務器均在同一網段192.168.10.0/24，并且均在Trust安全區域。企業采用上行接入Internet(固定IP方式)，IP地址向ISP申請獲得。內網用戶和外網用戶均通過公網地址202.102.20.1和端口為2121訪問FTP服務器。

步驟1：配置接口

[USG6000V1]interface GigabitEthernet 1/0/0

[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.10.254 24

[USG6000V1]interface GigabitEthernet 1/0/1

[USG6000V1-GigabitEthernet1/0/1]ip address 202.102.20.1 24

步驟2：把接口加入到對應的安全區域

[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0

[USG6000V1]firewall zone trust

[USG6000V1]firewall zone untrust 

[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/1

步驟3：配置安全策略

華為防火墻配置安全策略，建議使用web界面配置，這樣相對簡單理解。

步驟4：新建NAT地址池

步驟5：新建源NAT

步驟6：配置服務器映射關系

完成以上操作即可在外網通過202.102.20.3和端口2121訪問內網的FTP服務器。下面一起來驗證一下啦

在防火墻上通過會話表也可以驗證。

通過本次案例主要的目的是介紹華為USG防火墻的配置NAT方法，在工作中，建議在配置安全策略是最好使用web配置，由于WEB界面友好提示，方便明了。