F1000-T200-H3 如何做端口映射

在F1000-T200-H3防火墙3-8口下联服务器时，配置端口映射步骤如下：

### 1. **配置NAT端口映射**
在外网接口（假设为GigabitEthernet1/0/1）上配置端口映射，将公网IP和端口映射到内网服务器：
```plaintext
system-view
[H3C] interface GigabitEthernet1/0/1 //进入外网接口
[H3C-GigabitEthernet1/0/1] ip address 202.1.1.100 24 //配置公网IP（根据实际地址修改）
[H3C-GigabitEthernet1/0/1] nat server protocol tcp global 202.1.1.100 8081 inside 192.168.100.X 8081
//将公网IP 202.1.1.100的8081端口映射到内网服务器192.168.100.X的8081端口
[H3C-GigabitEthernet1/0/1] quit
```

### 2. **配置安全策略**
放通外网（Untrust）到内网（Trust）的流量：
```plaintext
[H3C] object-group ip address OA服务器 //创建地址对象组
[H3C-obj-grp-ip-OA服务器] network host address 192.168.100.X //添加服务器IP
[H3C-obj-grp-ip-OA服务器] quit

[H3C] object-group service 8081端口 //创建服务对象组
[H3C-obj-grp-service-8081端口] service tcp destination eq 8081 //指定TCP 8081端口
[H3C-obj-grp-service-8081端口] quit

[H3C] security-policy ip //进入安全策略视图
[H3C-security-policy-ip] rule name Untrust_to_Trust //创建规则
[H3C-security-policy-ip-rule-Untrust_to_Trust] source-zone Untrust //源安全域
[H3C-security-policy-ip-rule-Untrust_to_Trust] destination-zone Trust //目的安全域
[H3C-security-policy-ip-rule-Untrust_to_Trust] destination-ip OA服务器 //目的地址组
[H3C-security-policy-ip-rule-Untrust_to_Trust] service 8081端口 //服务对象组
[H3C-security-policy-ip-rule-Untrust_to_Trust] action pass //允许流量
[H3C-security-policy-ip-rule-Untrust_to_Trust] quit
[H3C-security-policy-ip] quit
```

### 3. **保存配置**
```plaintext
[H3C] save force
```

### 验证配置
- **查看NAT映射状态**：
```plaintext
display nat server
```
- **检查安全策略**：
```plaintext
display security-policy rule
```
- **测试外网访问**：
使用公网IP `202.1.1.100:8081` 访问内网服务器服务。

### 注意事项
1. **接口安全域**：确保外网接口加入`Untrust`域，内网接口加入`Trust`域。
2. **端口冲突**：若映射端口与防火墙管理端口冲突（如HTTPS 443），需修改管理端口或映射端口。
3. **路由可达**：外网接口需有公网路由，内网到服务器路由需可达。
4. **防火墙版本差异**：若配置不生效，检查版本兼容性（参考文档中的F1000-X-G2/F5000系列配置逻辑）。