配置防火墙转发策略（初学防火墙的小伙伴，带你了解防火墙，每天更新一篇关于防火墙的配置，零基础入手，快速了解防火墙，一起学习，讨论，进步）

1.简介
防火墙的转发策略是配置防火墙的基础，区域间转发策略配置会对内外网通信产生影响
2.实验拓扑

3.测试配置
a.配置防火墙FW1端口1/0/1接口IP地址和网关
[USG6000V1]int g1/0/1 #选择配置的端口
[USG6000V1-GigabitEthernet1/0/1]ip add 200.200.200.2 30#配置IP地址
[USG6000V1-GigabitEthernet1/0/1]gateway 200.200.200.1 #配置网关
配置防火墙FW1端口1/0/0接口IP地址
[USG6000V1-GigabitEthernet1/0/1]int g1/0/0 #选择配置端口
[USG6000V1-GigabitEthernet1/0/0]ip add 10.10.10.1 24#配置IP地址
[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit # 开启ping服务
b.将端口安全区域
[USG6000V1]firewall zone untrust #进入防火墙untrust区域配置
[USG6000V1-zone-untrust]add interface g1/0/1#将端口添加到该区域
[USG6000V1]firewall zone trust #进入trust区域配置
[USG6000V1-zone-trust]add interface g1/0/0#将端口添加到该区域
c.配置安全转发策略
[USG6000V1]security-policy #进入安全策略配置
[USG6000V1-policy-security]rule name to_in#对安全策略命名
[USG6000V1-policy-security-rule-to_in]source-zone trust #定义源区域
[USG6000V1-policy-security-rule-to_in]destination-zone untrust #定义目的区域
[USG6000V1-policy-security-rule-to_in]source-address 10.10.10.1 24 #定义源地址
[USG6000V1-policy-security-rule-to_in]destination-address any #定义目的地址
[USG6000V1-policy-security-rule-to_in]action permit #执行动作为允许
d.配置基本的NAT策略
[USG6000V1]nat-policy #进入NAT策略配置
[USG6000V1-policy-nat]rule name nat444 #对NAT策略进行命名
[USG6000V1-policy-nat-rule-nat444]destination-zone untrust #定义目的区域
[USG6000V1-policy-nat-rule-nat444]source-zone trust #定义源区域
[USG6000V1-policy-nat-rule-nat444]source-address any #定义源地址
[USG6000V1-policy-nat-rule-nat444]destination-address any #定义目的地址
[USG6000V1-policy-nat-rule-nat444]action source-nat easy-ip #执行动作为easy-ip
e 测试结果
电脑ping测试

防火墙查看会话