【WALL1600下一代防火墙】下一代防火墙单线环境端口映射

一、组网需求

        如下图所示，

        1、内网的web服务器的80端口（即http服务）需要映射到外网口，让外网的用户能访问到此服务。由于运营商经常会将公网IP的80端口封闭，故以下配置将内网服务器的80端口映射为外网口IP地址的9999端口为例。

        2、同时内网用户也可以用公网地址访问服务器。

二、网络拓扑

三、配置要点

       1、配置接口IP

       2、配置地址资源、服务资源

       本地网段：192.168.3.0/24

       外网口IP地址wanip:192.168.33.229

       服务器IP地址server:192.168.3.1

       内网口IP地址lanip：192.168.3.254

       自定义服务serport对应9999端口。内网服务器使用的80端口为预定义好的http服务。

       3、配置默认路由

       4、配置NAT规则

              a、定义需要用到的NAT地址池

              服务器地址serverpool: 192.168.3.1

             内网口：192.168.3.254 (也可以不建NAT地址池，选择将地址转换为出接口地址)

             b、配置源NAT转换

             配置内网用户访问外网将源地址转换为外网口IP地址，服务为any

             配置内网用户访问服务器将源地址转换为内网口IP地址，服务为http

            c、配置目的NAT转换    

             配置外网用户访问外网口IP的目的地址转换为服务器的IP地址。服务由serport转换为http（80端口）。

             配置内网用户访问外网口IP的目的地址转换为服务器的IP地址。服务由serport转换为http（80端口）。  （由于入接口不同，故外网访问和内网访问得分别建目的NAT转换）

       5、配置安全策略

            a、放通内网访问外网安全策略

            b、放通内网访问服务器安全策略（注意源接口是内网口ge4，目的端口是内网口ge4，服务为http）

            c、放通外网访问服务器策略（注意源接口是外网口ge2，目的端口是内网口ge4，服务为http）

            配置完策略后务必勾选“启用”此策略，才会生效。

         6、保存配置

四、操作步骤

       1、配置接口IP

进入菜单--网络管理--接口--编辑

配置外网口地址为192.168.33.229：

配置内网口地址为192.168.3.254：

       2、配置地址资源、服务资源

进入菜单--资源管理--地址资源--地址节点--新建

本地网段：192.168.3.0/24

外网口IP地址wanip:192.168.33.229

服务器IP地址server:192.168.3.1

内网口IP地址lanip：192.168.3.254

自定义服务资源：

进入资源管理--服务资源--自定义服务--新建

自定义名称为serport，源端口为1-65535，目的端口为9999-9999

       3、配置默认路由

进入菜单--网络管理--基本配置--缺省网关--新建：

配置外网网关为192.168.33.1：

       4、配置NAT规则

            a、配置NAT地址池

     服务器地址serverpool: 192.168.3.1

     内网口：192.168.3.254    

            b、配置源NAT转换

     进入菜单--网络管理--NAT--NAT规则--新建

     配置内网用户访问服务器的源地址转换为内网口IP地址，服务选择为http：

     配置内网用户访问外网的源地址转换为外网口IP地址，服务选择为所有：

    配置后查看：

            c、配置目的NAT转换

     配置内网用户访问外网口IP的目的地址转换为服务器的IP地址。

     目标地址为：外网口IP地址wanip

     服务为外网口端口9999对应的serport服务

                 入接口选择为内网口ge4

                 转换后的目的地址为服务器IP地址serverpool

     转换后的端口为服务器端口80

   配置外网用户访问外网口IP的目的地址转换为服务器的IP地址。

     配置外网用户访问外网口IP的目的地址转换为服务器的IP地址。

     目标地址为：外网口IP地址wanip

     服务为外网口端口9999对应的serport服务

                 入接口选择为外网口ge2

                 转换后的目的地址为服务器IP地址serverpool

     转换后的端口为服务器端口80

配置后查看：

       5、配置安全策略

            a、配置内网上网策略

    放通内网访问外网安全策略

            b、配置内网访问服务器策略，服务为http

     注意源接口和目的接口均是ge4：

            c、配置外网访问服务器策略

     注意源接口是外网口ge2，目的端口是内网口ge4，服务为http：

配置后务必在全局勾选“启用”。

       6、保存配置

五、验证效果

外网用户192.168.33.177在浏览器里输入http://192.168.33.229:9999

内网用户配置IP地址为192.168.3.20，同样在浏览器里输入http://192.168.33.229:9999

可打开所映射的web界面：