天融信防火牆NGFW4000配置

這幾天遇到一個問題，內網服務器通過防火牆NAT轉換成公網地址，對方服務器通過公網地址能夠訪問服務器，但是通過服務器訪問對方服務器時，訪問不到，對面的服務器也是通過防火牆地址NAT轉換過來的。

環境說明：192.168.1.1、192.168.1.2、192.168.1.3組成一個局域網，能夠互相訪問，其中192.168.1.1在防火牆上NAT位231.1.3.10。231.1.3.1、231.1.3.6、231.1.3.10組成一個專網。
初步定位，對方服務器B（231.1.3.1）能夠telnet到我方服務器A（外網231.1.3.10，內網192.168.1.1），我方服務器（外網231.1.3.10，內網192.168.1.1）可以telnet訪問局域網其他服務器（192.168.1.2、192.168.1.3），說明服務器A（外網231.1.3.10，內網192.168.1.1）telnet服務沒問題。
服務器B（231.1.3.1）通過公網地址（231.1.3.10）能夠訪問到服務器A，說明防火牆目的映射配置沒問題。但是出站地址，原以爲通過防火牆NAT轉換，入站地址和出站地址是一個地址，對方把我方服務器A的公網地址（231.1.3.10）加入防火牆策略後，但測試過程中，始終未收到包，反而收到了幾個231.1.3.111的包，對方詢問是否我方的出站地址是231.1.3.111
詢問防火牆維護人員，一口咬定出站地址和入站地址是一個地址（231.1.3.10），這邊配置沒問題。
我通過微信和電話詢問了原同事和現同事配置過天融信防火牆的人員，告知，天融信防火牆跟其他防火牆不太一樣，做NAT映射時，需要做一條從外往裏的目的轉換，和從裏往外的源轉換。


由於服務器A可以被服務器B通過公網訪問，說明防火牆目的轉換已經生效，需要再配置源轉換，把192.168.1.1NAT爲231.1.3.10的源轉換策略加入到防火牆後，經驗證，命中數爲0。說明策略仍未生效。最後仔細研究了下發現有一條源轉換策略（any，231.1.3.111。）
經驗總結：
1、天融信的防火牆策略是自動覆蓋，上面的策略和下面的策略如果衝突，上面的策略生效，下面的策略未生效。
2、天融信防火牆如果需要被訪問的話，需要添加源轉換和目的轉換，配置雙向轉換是不生效的。