H3CF1020防火墙做映射后外网不通

检查下配置   安全策略  不要使用知名端口  

按照以下步骤进行系统性排查与修复：

一、基础配置核查‌

确认NAT映射完整性‌

display nat server # 查看已配置的端口映射规则

验证 global（外网IP/端口）与 inside（内网IP/端口）对应关系是否正确
若使用域名访问，确保域名已正确解析至防火墙外网接口IP

检查接口区域划分‌
display zone # 查看接口所属安全区域

外网接口需划入untrust区域，内网接口划入trust区域
若使用非标准区域（如自定义区域），需同步调整策略关联区域
二、安全策略深度验证‌

策略方向性配置‌

display security-policy rule # 查看所有安全策略

必须存在 ‌从外到内（untrust→trust）‌ 的放行策略：
rule name "Allow_External_Access"
source-zone untrust
destination-zone trust
destination-address <内网服务器IP> subnet 255.255.255.255
service protocol tcp destination-port <映射端口>
action permit


策略优先级冲突排查‌

确认无更高优先级的 ‌拒绝规则‌ 覆盖当前策略（如默认deny all规则）
通过模拟阻断测试验证策略生效性：
test security-policy source <外网测试IP> destination <内网服务器IP> protocol tcp destination-port <映射端口>

三、路由与物理层诊断‌

外网路由可达性测试‌

display ip routing-table # 查看防火墙路由表

确认外网接口存在默认路由指向ISP网关（如0.0.0.0/0下一跳为运营商网关）
若使用多WAN口，检查策略路由是否导致流量分流异常

物理链路状态检查‌
display interface brief # 查看接口物理状态

外网接口需显示UP状态且无errors/discards计数
若为光纤接入，检查光模块协商模式（强制/自协商）是否匹配运营商要求
四、高级功能干扰排除‌

ALG协议干扰检测‌


display nat alg # 查看ALG功能状态

关闭非常用协议的ALG功能（如FTP/SIP），避免干扰TCP/UDP会话跟踪
nat alg ftp disable


会话表状态分析‌

display session table verbose # 查看活跃会话详情

外网发起请求后，会话表中应生成对应条目且状态为ESTABLISHED
若会话快速老化，调整超时时间：
session aging-time tcp 7200 # 延长TCP会话保持时间

五、日志与抓包取证‌

实时流量跟踪‌

debugging packet capture interface <外网接口> # 开启外网口抓包

观察外网请求是否到达防火墙（SYN包是否被接收）
若请求未到达，排查上游设备（如运营商ACL、第三方防火墙拦截）

系统日志分析‌

display logbuffer # 查看防火墙操作日志

重点关注SECURITY/4/POLICY_DENY日志，定位被拦截的具体规则
典型故障案例参考‌

案例1：端口冲突导致映射失效‌

现象‌：外网端口80映射失败
根因‌：防火墙管理页面占用80端口
解决‌：修改管理端口或映射使用非80端口（如8080）

案例2：NAT与策略路由冲突‌

现象‌：部分外网IP无法访问
根因‌：策略路由将特定源IP流量导向其他出口
解决‌：调整策略路由优先级或关闭冲突路由

操作总结‌：
完成上述排查后，90%以上的映射故障可定位至以下原因：‌安全策略未放行‌（40%）、‌NAT配置错误‌（30%）、‌路由异常‌（20%）。建议优先使用test security-policy命令验证策略有效性，再结合抓包确认流量路径。