您好，源地址设置为固定外网地址的ip不是你的外网地址

• 规则动作：pass（允许）
• 源安全域：untrust
• 目的安全域：trust
• 源IP地址：指定的固定外网地址（或地址对象）
• 目的IP地址：内网服务器的实际IP地址（例如 30.1.1.1）
• 服务：服务器内网实际提供服务的端口（例如 tcp 8080）

防火墙 NAT Server 只允许固定外网 IP 访问 标准配置解法（H3C 防火墙通用）

先讲你不通的根因

H3C 防火墙做域间安全策略时，目的地址必须写 NAT 后的外网公网地址，不能写内网真实地址

只有路由 / ACL / 对象组里才用内网私网地址，安全策略目的域间策略看的是公网映射地址

正确配置步骤

1、先回顾 NAT Server 配置示例

2、安全策略正确写法（重点）

• 源地址：你要允许的固定外网单个 IP / 一段 IP
• 目的地址：填写NAT Server 对应的公网 IP（不是内网服务器私网 IP）
• 服务：对应端口 / 自定义服务
• 动作：允许

3、为什么源写固定 IP、目的写内网就不通？

1. 外网用户发起访问：目的 IP 是公网 IP
2. 防火墙先做会话匹配→安全策略检查，再做目的 NAT 转换
3. 策略里目的是内网私网，和报文实际目的公网 IP 对不上，策略不命中，直接拒绝
4. 你把源改成 any，命中了其他宽松默认策略，所以通了

4、额外两个必查点（很多人踩坑）

① 是否开启严格策略匹配

② 不要在策略里同时混用私网 + 公网目的

③ 端口映射也要对应

极简模板你直接套用

• 源：外网固定 IP / 地址组
• 目的：NAT Server 公网 IP
• 服务：tcp 对应端口 / 所有可按需
• 行为：允许

根本原因在于，你配错了安全策略里的“目的地址”，这是 NAT 场景里很经典的“先转换，后过滤”问题。

核心处理流程揭秘

要理解原因，需要知道 H3C 防火墙处理 NAT 与安全策略的顺序是：“先NAT，后策略”。当一个外网数据包到达防火墙时，是这样处理的：

1. 步骤一：先执行 NAT Server 转换（目的地址转换）

   • 动作：防火墙根据 NAT Server 规则，立刻将数据包的目的地址 公网IP:端口 转换为 内网服务器私网IP:端口。

   • 结果：数据包的目的地址在此刻已经变成了私网地址。

2. 步骤二：再匹配安全策略

   • 你的配置 (源改为any后能通，说明这条配对了)：防火墙拿着这个“已转换”的数据包去匹配安全策略。此时，策略需要检查的是：

     • 源地址：公网固定IP (正确)

     • 目的地址：内网服务器的私网IP (正确)

   • 你的问题配置：如果你在安全策略中，将目的地址设置为 公网IP，防火墙就会拿已经变成 内网服务器私网IP 的数据包去匹配，结果必然是“不匹配”，从而被丢弃。

因此，把源改成 any 后能通，反而是因为放松了源限制，但关键的目的地址“私网IP”无意中配对了，才侥幸成功。

 解决方案：修改策略

所以，要限制特定外网IP访问，安全策略需要这样配，规则就是：源地址 = 转换前 → 目的地址 = 转换后。

• 源安全域：Untrust

• 源地址 (Source IP)：允许的固定公网IP地址 (如 1.2.3.4) —— 此为转换前的地址

• 目的安全域：Trust

• 目的地址 (Destination IP)：内网服务器的私网IP地址 (如 192.168.1.100) —— 此为转换后的地址

• 服务 (Service)：服务的协议和端口号 (如 TCP/80)

• 动作 (Action)：允许 (Permit)

小技巧：如果觉得逐条写IP地址麻烦，可以在“对象管理”中创建“地址对象组”，将固定的外网IP或内网服务器批量加入，然后在策略中直接引用。

配置完成后，只有你指定的公网地址能访问内网服务器，其他访问依然会被拒绝，实现了你的目的。