问

公司现在有个静态Ip，现在希望开放公司内部一个端口作为web服务访问

Web防护

2025-05-12提问

0关注
0收藏，452浏览

yu。

yu。零段

粉丝：0人关注：0人

问题描述：

购买了新华3的防火墙。公司现在有个静态Ip，现在希望开放公司内部一个端口作为web服务访问（web服务已经在内部安装好了，可以通过内网访问）

组网及组网描述：

目前公司内部有个web服务已经部署好了, 服务地址为 http://172.168.3.2:8100/,

服务的ip 信息是通过新华3防火墙的。怎么设置可以让外部的任意服务可以访问这个端口，（通过静态ip做衍射）

最佳答案

zhiliao_sEUyB

zhiliao_sEUyB 九段

粉丝：116人关注：9人

映射实现

本举例是在F1000-AI-55的R8860版本上进行配置和验证的。

组网需求

如下图所示，公司有一台对外提供Web服务的Web Server，其地址为172.16.100.1/24，通过配置NAT内部服务器功能，外部网络主机Host可以通过公网地址200.2.2.1/24访问公司内部的Web Server。

图-1 NAT内部服务器配置组网图

注意事项

本特性不支持与策略NAT特性混用。

配置步骤

Device配置

配置接口的IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，配置如下。

· 安全域：Untrust

· 选择“IPv4地址”页签，配置IP地址/掩码：200.2.2.254/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 按照同样的步骤配置接口GE1/0/2，配置如下。

· 安全域：Trust

· 选择“IPv4地址”页签，配置IP地址/掩码：172.16.100.254/24

· 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

配置安全策略

# 选择“策略 > 安全策略> 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建安全策略，并进行如下配置：

名称：Secpolicy

源安全域：Untrust

目的安全域：Trust

类型：IPv4

动作：允许

源IPv4地址：100.100.100.100

目的IPv4地址：172.16.100.1

其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

配置NAT内部服务器转换

# 选择“策略 > 接口NAT > IPv4 > NAT内部服务器 > 策略配置”。

# 单击<新建>按钮，新建NAT内部服务器，参数配置如下图所示。

图-2 新建NAT内部服务器

# 单击<确定>按钮，完成NAT内部服务器配置。

回复yu。:

https://www.h3c.com/cn/pub/Document_Center/2023/08/WebHelp_H3C_SecPath_FHQCP_DXPZALJ(V7)/default_auto.htm?CHID=904200

zhiliao_sEUyB 发表时间：2025-05-12 更多>>

有文档吗？不怎么清楚怎么操作这个新华3的后台

yu。发表时间：2025-05-12

回复yu。:

https://www.h3c.com/cn/pub/Document_Center/2023/08/WebHelp_H3C_SecPath_FHQCP_DXPZALJ(V7)/default_auto.htm?CHID=904200

zhiliao_sEUyB 发表时间：2025-05-12

5 个回答

按时间按赞数

已采纳

zhiliao_v6hOyc

zhiliao_v6hOyc 九段

粉丝：32人关注：1人

有的

https://blog.csdn.net/sj349781478/article/details/147433574

1 配置需求或说明

1.1 适用的产品系列

本案例适用于如F1000-AK180、F1000-AK170等F1000-AK系列的防火墙。

1.2 配置需求及实现的效果

防火墙部署在互联网出口，内网有一台OA服务器192.168.1.88通过防火墙发布了8081端口到外网，内网用户使用192.168.1.88加端口号8081可以正常访问服务器，目前需要实现外用用户通过公网地址202.1.1.100加端口号8081访问OA服务器

2 组网图

配置步骤

3.1 配置内部服务器映射（端口映射）

#选择“策略”>“NAT”>“NAT内部服务器”>“策略配置”点击“新建”，“接口”选择外网口1/0/1，“协议类型”选择6（TCP协议），“外网地址”填写1/0/1接口真实地址，“外网端口”填写要发布的8081端口，“内网服务器IP地址”添加真实服务器地址，“内部服务器端口”填写8081端口

3.2 创建Untrust到Trust域间策略，放通目的地址为192.168.1.88端口为8081的访问规则。

#创建地址对象：点击“对象”>“对象组”>“IPV4地址对象组”添加IPV4地址对象。“对象”选择“主机IP地址”填入服务器IP地址192.168.1.88。

#创建服务器对象:“点击”>“对象”>“对象组”>“服务对象组”添加服务对象，“对象选择”协议类型”，“目的端口”起始终止端口均选择8081。

#创建安全策略：点击“策略”>“安全策略”新建安全策略，“源安全域”选择untrust域，“目的安全域”选择trust域，“目的IP地址”选择OA服务器地址对象，“服务”选择8081服务对象，点击“确定”完成策略配置。

4 保存配置

#在设备右上角选择“保存”选项，点击“是”完成配置。

回复yu。:

看一下我上面发的链接

zhiliao_v6hOyc 发表时间：2025-05-12 更多>>

能贴一下具体的文档么，多谢了，就是端口衍射的操作文档

yu。发表时间：2025-05-12

回复yu。:

看一下我上面发的链接

zhiliao_v6hOyc 发表时间：2025-05-12

网工小爬虫

网工小爬虫二段

粉丝：0人关注：0人

外网是专线的话，做端口映射就可以

回复yu。:

#在外网口填写运营商提供的公网地址，掩码，配置映射，映射端口8081，服务器地址192.168.1.88 system-view [H3C] interface GigabitEthernet1/0/1 [H3C-GigabitEthernet1/0/1]ip add 202.1.1.100 255.255.255.248 [H3C-GigabitEthernet1/0/1]nat outbound [H3C-GigabitEthernet1/0/1]nat server protocol tcp global 202.1.1.100 8081 inside 192.168.1.88 8081

网工小爬虫发表时间：2025-05-12 更多>>

有文档吗？不怎么清楚怎么操作这个新华3的后台

yu。发表时间：2025-05-12

回复yu。:

网工小爬虫发表时间：2025-05-12

yu。

yu。知了小白

粉丝：0人关注：0人

有文档吗？不怎么清楚怎么操作这个新华3的后台

zhiliao_东方老赢

zhiliao_东方老赢九段

粉丝：40人关注：6人

Web方式：外网用户通过外网地址访问内网服务器典型配置（策略NAT）

使用版本

本举例是在F5000-AI-55-G的E9900版本上进行配置和验证的。

组网需求

如下图所示，公司内部部署了四台服务器，分别对外提供Web、FTP和SMTP服务。公司内部网络为10.110.10.0/24，并拥有202.38.1.1、202.38.1.2和202.38.1.3三个公网IP地址。选用202.38.1.1作为公司对外提供服务的IP地址，其中Web服务器1对外采用80端口，Web服务器2对外采用8080端口，FTP服务器对外采用21端口，SMTP服务器对外采用25端口。通过配置策略NAT目的地址转换功能，外网主机可以利用公网地址访问公司内部的服务器。

图-1 外网用户通过外网地址访问内网服务器配置组网图

注意事项

本特性不支持与接口NAT特性混用。

配置步骤

Device配置

配置接口的IP地址和安全域
# 选择“网络 > 接口与VRF > 接口”，进入接口配置页面。
# 单击接口GE1/0/2右侧的<编辑>按钮，配置如下。
- 安全域：Untrust
- 选择“IPv4地址”页签，配置IP地址/掩码：202.38.1.1/24
- 其他配置项使用缺省值
# 单击<确定>按钮，完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/1，配置如下。
- 安全域：Trust
- 选择“IPv4地址”页签，配置IP地址/掩码：10.110.10.10/24
- 其他配置项使用缺省值
# 单击<确定>按钮，完成接口IP地址和安全域的配置。
配置安全策略
# 选择“策略 > 安全策略 > 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。
# 新建安全策略，并进行如下配置：
- 名称：Secpolicy
- 源安全域：Untrust
- 目的安全域：Trust
- 类型：IPv4
- 动作：允许
- 目的IPv4地址：10.110.10.1、10.110.10.2、10.110.10.3、10.110.10.4
- 其他配置项使用缺省值
# 单击<确定>按钮，完成安全策略的配置。
配置策略NAT规则（以Web Server 1为例）
# 选择“策略 > 策略NAT”，进入策略NAT配置界面。
# 单击<新建目的地址转换>按钮，新建策略NAT规则，选择规则类型为NAT44，参数配置如下图所示。
图-2 新建策略NAT规则

# 单击<确定>按钮，完成策略NAT规则配置。