在前面学习的防火墙NAT都是基于源NAT的技术配置，源NAT就是对源地址进行NAT转换。那在网络配置中不仅有源NAT的网络配置还有目的NAT的网络配置。在内主动访问到外，就是转换源地址和端口，从外主动访问到内，就是转换目的地址和端口。源NAT是数据包要从防火墙出去，源地址要转换为公有地址才可以出去，于是就进行源地址的转换；目的NAT是数据包要从外面进来，目的地址是公有地址要转换为私有地址才能进去，

在学习过基于路由器的NAT网络地址转换，现在学习基于防火墙NAT的网络地址转换，防火墙的NAT配置和路由器的NAT配置还是有比较大的区别。防火墙NAT是通过NAT策略实现的，在创建防火墙NAT之前需要先创建防火墙的安全策略。防火墙是不能直接在接口下配置NAT接口映射的。

在回传的时候，从untrust到trust，源地址InternetIP配置成all，目的地址配置成目标IP，这样就会存在一个问题，我的主机可以主动访问出去，但是所有的Internet的流量都可以进入到主机内网，这样防火墙就很危险。依然可以ping通，现在只是允许trust到untrust，不允许untrust到trust，本来就是ping的回包不能通过untrust到trust到达主机，就应该pi

这是因为在防火墙的会话表里面没有匹配数据通道的会话，而且防火墙没有配置从untrust到trust的安全策略，在默认的安全策略下是拒绝的，所以拒绝untrust安全区域内的数据主动访问trust安全区域的网络，这样数据通道就无法建立，主机和服务器之间就无法进行互相访问。最后还会通过server-map创建会话表。正常来说，是不存ftp-data的会话，因为，主动从服务器向客户端通信被设置为拒绝，流

在TCP/IP模型中，存在应用层、传输层、网络层、数据链路层，数据是由应用发送出去的，其封装过程自上而下经过各层级，而解封过程是自下而上经过各层级到达接收端的应用层。