F1000-AK108防火墙配置好portal本地认证之后，外网无法访问内网地址

根据提供的资料，F1000-AK108防火墙配置Portal认证后外网无法访问内网地址的问题，可能由以下原因导致： 关键原因分析

1. 安全策略未放行认证用户流量

   Portal认证成功后的用户流量需通过基于用户/用户组的安全策略放行。若策略中配置了user-group或user参数，但未开启用户身份识别功能（user-identity enable），流量会被策略丢弃。

   验证方法：检查是否存在类似如下配置的安全策略，并确认是否已开启用户身份识别：

     security-policy ip rule 13 name a-group

     action pass

     source-zone Trust destination-zone Untrust

     user-group portal-it  # 需开启user-identity enable才能生效

     2. Portal免认证规则缺失关键地址

   Portal的free-rule需放行DNS服务器地址、防火墙接口IP、无需认证的网段。若外网访问路径涉及这些地址未放行，流量会被强制拦截。

   关键配置示例：

     portal free-rule 0 destination ip 114.114.114.114 32  # 放行DNS

     portal free-rule 1 destination ip 10.88.142.214 32   # 放行防火墙接口地址

     portal free-rule 2 source ip 10.0.0.0 8              # 放行内网非认证网段

     portal free-rule 3 source interface GigabitEthernet1/0/2  # 放行上联路由器接口

     3. NAT映射或端口配置错误

   若外网访问依赖NAT，需检查NAT内部服务器的外网端口是否与实际服务端口一致（如HTTP 80端口映射错误会导致Web无法访问）。

   验证命令：

     display nat server  # 检查Global IP/Port与Local IP/Port映射关系

     4. 跨三层部署的VLAN标签问题

   透明部署时，若接口PVID与流量VLAN不匹配（如流量携带VLAN 10但接口PVID为1），会导致ARP探测失败。

   解决方法：调整接口PVID与业务VLAN一致，或通过portal free-rule放行接口。--解决步骤

1. 开启用户身份识别功能

   system-view

   user-identity enable  # 必须开启才能联动安全策略

   2. 补充Portal免认证规则

   portal free-rule 0 destination ip 202.38.1.4 32     # 外网DNS服务器

   portal free-rule 1 destination ip 192.168.10.10 32  # 防火墙VLAN接口

   portal free-rule 2 source interface GigabitEthernet1/0/2  # 上联路由器接口

   3. 检查安全策略放行逻辑

   确认存在放行Untrust到Trust的安全策略，且未依赖未生效的用户组：

     security-policy ip rule name untrust-trust 

     action pass

     source-zone Untrust destination-zone Trust

     destination-ip-host 10.110.10.1  # 内网服务器地址

     4. 验证NAT端口映射

   登录Web界面，进入 策略 > NAT > NAT内部服务器，确认外网端口（如80/443）与内网服务端口一致。5. 抓包及日志分析

   启用debugging确认流量是否命中策略：

     debugging security-policy packet ip

     debugging portal all

     --最终效果

完成上述配置后：

1. 外网用户访问内网服务时，流量通过免认证规则或已认证用户的策略放行。

2. NAT端口映射正确，Telnet/HTTP等端口可正常通信。

3. 安全策略日志显示流量匹配pass动作，会话表（display session table）显示ESTABLISHED状态。