F1000-9320 内网设备通过公网地址访问内网服务器

关于内网终端使用外网IP或域名访问内网服务器的问题，可参考如下方法：

1、涉及到的物理端口都全部开启nat hairpin，不要在外网口开启。

2、如果不使用NAT回流，可使用双向NAT的方式来实现。

你这个场景是用公网地址访问内部服务器，在这个基础上内网口增加配置和调整安全策略，参考这个案例吧，详细的可以

在这个手册里面搜到：轻轻松松配安全   https://zhiliao.h3c.com/topic/huati/1248

案例：

https://zhiliao.h3c.com/Theme/details/45866

#在防火墙接口面板找到 0 接口，用网线将电脑和设备的 0 接口连在一起，电脑配置与设备管理 IP

相同网段的地址 192.168.0.2/24，下面是电脑 IP 地址配置方法：

点击电脑右下角电脑图标，选择”打开网络和共享中心”选项。

鼠标单击”本地连接”后在弹出的状态窗口中选择”属性”选项

#鼠标双击“Internet 协议版本 4”打开属性菜单，按照下面图片内容配置电脑 IP 地址。

#电脑 IP 地址配置完成后打开浏览器，在浏览器地址栏中输入 https://192.168.0.1 登录设备管理

界面。设备默认用户名密码均为 admin。

1. 配置内部服务器（端口映射）

#点击“策略”>“NAT”>“NAT      内部服务器”>“策略配置”中新建NAT      内部服务器。“接口”选择外网 1/0/1 接口，“协议类型”选择 6（TCP 协议），“外网地址”填写 1/0/1 接口真实地址，“外网端口”填写要发布的 8081 端口，“内网服务器 IP 地址”添加真实服务器地址，“内部服务器端口”填写 8081 端口。

“

2.  
3.  
4. 创建 Untrust 到 Trust 域间策略，放通目的地址为 192.168.1.88 端口

为 8081 的访问规则。

#创建地址对象：点击“对象”>“对象组”>“IPV4 地址对象组”添加IPV4 地址对象。“对象” 选择

“主机 IP 地址”填入服务器 IP 地址 192.168.1.88。

#创建服务器对象：点击“对象”>“对象组”>“服务对象组”添加服务对象。“对象”选择“协议类型”，

“目的端口”起始终止端口均选择 8081。

#创建安全策略：点击 “策略”>“安全策略”新建安全策略，“源安全域”选择 Untrust 域，“目的安全

域”选择Trust 域，“目的 IP 地址”选择 OA 服务器地址对象，“服务”选择 8081 服务对象，点击

“确定”完成策略配置。

5. 内网接口开启 NAT Hairpin 功能

#点击“策略”>“NAT”>“NAT 高级设置”>“NAT Hairpin”中找到 1/0/4 接口开启 NAT Hairpin

功能。

6. 配置安全策略将 Trust 域和Local 域之间的数据全放通

#在“安全策略”中点击“新建”。

#创建策略名称为互通，源安全域、目的安全域选择多选，并选中 Local、trust。

#策略配置如下图所示，点击“确定”完成策略配置。

7. 保存配置

#在设备右上角选择“保存”选项，点击“是”完成配置。