NAT与ACL执行顺序解析

防火墙数据包处理流程图

ACL与NAT的顺序不是固定的，各厂商数据流先ACL或先NAT不一。

引用《浅析ACL与NAT的执行顺序》-张少芳 一文中的结论如下：

H3C

出站：先匹配出站ACL，然后进行地址转换

入站：先进行地址转换，然后匹配入站ACL

CISCO

出站：先进行地址转换，然后匹配出站ACL

入站：先匹配入站ACL，然后进行地址转换（即上图所示数据流顺序）

结论

H3C设备和CISCO设备在对ACL与NAT的执行顺序处理上完全相反。由于在实际的网络中可能存在来自不同厂商的设备，因此在进行具体的ACL策略应用前一定要了解具体设备对ACL与NAT的执行顺序，以确保ACL的有效性。

特别注意

在实际设备使用时发现，CISCO ASA5545 Version 8.6(1)2，入站ACL配置时使用的是转换后地址，也就是说先进行了地址转换，然后再匹配ACL，经上网查询发现，ASA 在8.4版本后，调整了NAT与ACL的顺序。