FW收到报文时，首先检查报文是否匹配Nat Server或者目的Nat，以便得出报文要去往的目的地址，从而匹配对应的路由。如果存在对应的路由，则检查安全策略是否放行，如果安全策略放行，FW会根据是否配置有源Nat，来决定是否转换报文中的源地址，最后放行报文。

即：目的NAT处于匹配安全策略之前，源NAT处于匹配安全策略之后

源Nat分类：No-pat、NAPT、Easy-ip、smart Nat、三元组

源Nat地址转换的条件是：存在正确路由并且安全策略放行。

匹配安全策略时（从哪来、到哪去），还未进行Nat地址转换。源地址的转换，与是否丢弃报文没关系，因为进行到这一步的时候，说明报文使可以进行转发的（即存在正确路由且安全策略放行），匹配源Nat转换条件成不成功，只会影响发送时是否修改报文的源地址。

私网地址与公网地址一一映射，不进行端口转换。

配置No-pat：

当该Nat策略匹配流量时，会产生正向和方向两个Server-map：

注：No-pat产生的Server-map不作为临时的放行规则，只做地址映射，要与ASPF产生的Server-map区分。

实现一私网地址对多公网地址，可以进行端口转换。

配置NAPT：（不产生Server-map，由于端口过多，会生成过多表项）

Smart Nat实质是在地址池中预留一个地址进行NAPT转换，其它地址进行No-PAT方式转换。

使用出接口作为公网地址对报文的源地址进行转换，同时转换地址和端口。

目的地址转换的处理在匹配路由表和安全策略之前，以便得到报文的最终目的地，从而判断是否有路由以及安全策略是否放行。

服务器映射又叫静态映射：将内部服务器ip映射到外网，供外网用户访问。

只要配置服务器映射，就会产生Server-map表（静态），不需要流量触发，且该表项会一直存在，直到静态映射的配置被删除。

当内部网络存在多台服务器时，SLB可以将本属于一个服务器处理的流量，分配给其他冗的服务器，这些服务器组成集群，对外映射为一个公网IP地址，即用户真实去访问的地址。

流量分配方式：

服务器健康检查（检查服务器的故障）：向服务器发送故障检测报文，如果可以收到回应报文，说明服务器可用。如果多次收不到回应报文，NGFW将禁止使用该服务器，流量按照策略分配到其他服务器上。

服务器发生故障后，FW会停止向其分配流量，但仍会向故障服务器发送探测报文，监控其健康状态。

配置SLB（配置SLB后，会产生静态Server-map）：

当公网用户主动访问Nat地址池中的地址，FW收到此报文后，无法匹配到会话表，根据缺省路由转发给路由器。路由器收到报文后，查找路由表又发送给FW。报文就在路由器和FW之间循环转发，造成路由环路。

黑洞路由的目的是：将目的地址使Nat地址池中地址的报文丢弃