防火墙旁挂当SSLVPN需要映射哪些端口到外网

tcp 需要映射sslvpn网关的端口

在F1000-AK9150防火墙旁挂作为SSL VPN使用时，出口防火墙需映射以下端口及协议：

1. 默认端口 

   TCP 443（默认SSL VPN网关端口，用于HTTPS加密通信）。 

   若自定义端口（如2000），需映射对应的TCP端口。

2. 特殊场景 

   若涉及特定应用协议（如FTP非标端口），需通过`port-mapping`命令配置TCP协议映射，确保应用识别。 

   案例显示，部分场景若误用TCP映射导致失败，需检查协议类型（如某案例中ACG SSL VPN需映射UDP端口，但H3C SSL VPN默认基于TCP）。

配置建议： 

在SSL VPN网关配置中明确指定端口（如`sslvpn gateway gw ip address X.X.X.X port 2000`）。 

出口防火墙配置NAT映射时，选择TCP协议，映射自定义或默认的SSL VPN端口（如TCP 2000或443）。 

若涉及特殊应用，结合PBAR（基于端口的应用识别）确保流量正确处理。 

示例命令参考： 

# 映射SSL VPN网关端口（TCP 2000）

nat server protocol tcp global <公网IP> 2000 inside <SSL VPN网关IP> 2000