1 配置需求或说明

1.1  适用的产品系列

本案例适用于如F1080、F1070、F5040、F5020等F10X0、F50X0系列的防火墙。

注：本案例是在F100-C-G2的Version 7.1.064, Release 9510P08版本上进行配置和验证的。

1.2  配置需求及实现的效果

防火墙部署在互联网出口，内网有一台OA服务器192.168.1.88通过防火墙发布了8081端口到外网，内网用户使用192.168.1.88加端口号8081可以正常访问服务器，目前需要实现外用用户通过公网地址202.1.1.100加端口号8081访问OA服务器。

2 组网图

3 配置步骤

3.1  配置内部服务器映射（端口映射）

#在外网口填写运营商提供的公网地址，掩码，配置映射，映射端口8081，服务器地址192.168.1.88

system-view

[H3C] interface GigabitEthernet1/0/1

[H3C-GigabitEthernet1/0/1]ip add 202.1.1.100 255.255.255.248

[H3C-GigabitEthernet1/0/1]nat server protocol tcp global 202.1.1.100 8081 inside 192.168.1.88 8081

[H3C-GigabitEthernet1/0/1] quit

3.2  配置安全策略（域间策略）

      #创建地址对象组，地址对象组名称为OA服务器

[H3C]object-group ip address OA服务器

[H3C-obj-grp-ip-OA服务器]network host address 192.168.1.88

[H3C-obj-grp-ip-OA服务器]quit

#创建服务对象组，服务对象组名称为8081端口，目的端口8081

[H3C]object-group service 8081端口

[H3C-obj-grp-service-8081端口]service tcp destination eq 8081

[H3C-obj-grp-service-8081端口]quit

#创建IPv4对象策略，策略名称为0A服务器

[H3C]object-policy ip OA服务器

[H3C-object-policy-ip-OA服务器]rule 0 pass destination-ip 0A服务器 service 8081端口

#创建安全策略，源安全域为Untrust目的安全域为Trust，放通外网访问OA服务器的8081端口

[H3C]zone-pair security source Untrust destination Trust

[H3C-zone-pair-security-Untrust-Trust]object-policy apply ip OA服务器

[H3C-zone-pair-security-Untrust-Trust]quit

3.3  保存配置

[H3C]save force