一、组网需求

NGFW为公司出口设备，内网两个部门属于同一网段，两个部门的内网用户都将NGFW作为网关上网。

公司内部有一台HTTP服务器，提供HTTP服务。外网用户可以通过访问NGFW出口IP的80端口来访问HTTP服务器。

二、网络拓扑

三、配置要点

步骤1、配置接口地址

步骤2、配置IPv4地址对象

步骤3、配置默认路由

步骤4、配置源NAT

步骤5、配置目的NAT

步骤6、配置安全策略

步骤7、保存配置

步骤8、配置客户端IP等信息

四、操作步骤

1、配置接口地址

配置外网接口：

进入网络管理> 接口>物理接口，编辑eth0接口。

地址模式选择静态地址，格式为12.1.1.1/24，管理方式根据访问需要进行选择。

说明：需要根据实际情况正确选择接口属性（内、外网口），否则流量统计将会发生错误。

配置桥接口，并把eth1、eth2加入桥：

进入网络管理> 接口>桥接口，点击新建。

把eth1、eth2接口加入桥，地址模式选择静态地址，配置BVI0口为192.168.9.1/24，点击“新建”，根据需要勾选管理方式，最后提交。

2、配置IPv4地址对象。

进入资源管理>地址>IPv4地址对象，点击页面左上角的新建按钮，配置IPv4地址对象，若内网有多个网段，也可将多个网段统一归入一个地址组，方便配置时调用。

名称为“出口地址”，地址节点选择“主机地址”：“12.1.1.1”，点击“新建”，点击提交。

名称为“上网网段”，地址节点选择“子网地址”：“192.168.9.0/24”,点击“新建”点击提交。

名称为“HttpServer”，地址节点选择“主机地址”：“192.168.9.2”,点击“新建”点击提交。

3、配置默认路由

进入网络管理>路由>静态路由，点击新建

4、配置源NAT

配置所控制“上网网段”的IPv4地址对象流量通过源NAT访问外网

在源地址处选择“上网网段”，转换类型为“出接口”接口选择公网出口，配置完成后点击提交。

进入网络管理>NAT>源NAT，点击新建：

5、配置目的NAT

配置外网访问内网HTTP服务器的端口映射。

进入网络管理>NAT>地址池，点击新建

新建地址池名称为HTTPServer，用于目的NAT引用。地址为192.168.9.2：

进入网络管理>NAT>目的NAT，点击新建

目的地址选择出口地址，接口选择相应的接口，服务选择HTTP，转换类型选择地址映射，转换后IP选择HTTPServer，点击提交。

6、配置安全策略

进入防火墙>安全策略，点击页面左上角的新建按钮

选择源地址为已配置的“上网网段”点击提交

7、配置客户端、HTTP Server IP等，使其能够访问外网。

五、验证效果

外网用户使用浏览器访问NGFW出口地址，被映射到内网服务器。