F100-M-G2 端口映射怎么做

这种方式直观，易于理解和操作。

1. ​​登录Web管理界面​​

   • 在浏览器地址栏输入防火墙的管理IP地址（例如：https://192.168.1.1），使用您的用户名和密码登录。

2. ​​进入NAT配置页面​​

   • 在左侧导航菜单中，依次找到并点击：​​“策略” -> “NAT” -> “NAT静态映射”​​。

3. ​​新建静态映射规则​​

   • 点击 ​​“新建”​​ 按钮，会弹出配置窗口。

   • 按照您的需求填写以下关键参数：

     • ​​内部IP地址​​： 填写需要映射的内网服务器IP地址（例如：192.168.10.100）。

     • ​​外部IP地址​​： 选择防火墙连接互联网的接口IP（通常是“出接口地址”），或者您也可以在防火墙上创建一个环回口（Loopback）地址作为对外提供服务的公网IP。一般选择 ​​“出接口地址”​​ 即可。

     • ​​协议类型​​： 选择服务使用的协议，如 TCP、UDP或 任何（Any）。

     • ​​内部端口​​： 服务器内部实际使用的端口（例如：Web服务是 80，远程桌面是 3389）。

     • ​​外部端口​​： 外部用户访问时使用的端口（例如：将内网的 3389映射到外网的 53389，以提高安全性）。

     • ​​描述​​： 可选项，填写一个便于记忆的规则说明，如“Web-Server映射”或“RDP-Mapping”。

   【重要】：如果内部端口和外部端口相同（例如都将端口80映射到端口80），这叫做“一对一映射”或“端口转发”。如果外部端口和内部端口不同（例如外部的5000映射到内部的80），这叫做“端口重定向”。

4. ​​配置安全策略（最关键的一步！）​​

   • 仅仅配置NAT映射是​​无法生效​​的，因为流量还会被防火墙的​​安全策略​​拦截。

   • 在左侧导航菜单中，依次找到：​​“策略” -> “安全策略”​​。

   • 点击 ​​“新建”​​ 创建一条新的安全策略。

   • ​​规则配置建议：​​

     • ​​源安全域​​： 选择 Untrust（不信任域，即互联网侧）。

     • ​​目的安全域​​： 选择 Trust（信任域，即内网侧）。

     • ​​源IP地址​​： 如果需要限制特定IP访问，可以设置；否则选择 any。

     • ​​目的IP地址​​： 这里要填写防火墙​​对外的公网IP地址​​，而不是内网服务器地址。并在服务处选择你映射的端口（例如外部端口是 53389，则需要新建一个服务端口）。

     • ​​动作​​： 选择 允许（Permit）。

   • 将这条新策略移动到策略列表的顶部附近，确保它能被优先匹配。

5. ​​保存配置​​

   • 在Web界面完成配置后，记得点击右上角的 ​​“保存”​​ 按钮，将配置保存到防火墙的启动配置文件中，否则设备重启后配置会丢失。

二、通过命令行（CLI）配置（专业工程师常用）

如果您习惯使用命令行，可以通过以下步骤配置。

1. ​​进入系统视图​​

   <H3C> system-view

2. ​​配置内部服务器（NAT静态映射）​​

   • ​​基本命令格式​​：

     nat static global {global-address} inside {host-address} [ protocol { pro-type } ] [ port { global-port inside-port } ]

   • ​​示例1：将内网Web服务器（80端口）映射到公网IP的80端口​​

     [H3C] nat static global 202.96.128.10 inside 192.168.10.100 protocol tcp port 80 80

     （假设 202.96.128.10是防火墙外网接口IP，192.168.10.100是内网服务器IP）

   • ​​示例2：将内网远程桌面（3389端口）映射到公网IP的53389端口​​

     [H3C] nat static global 202.96.128.10 inside 192.168.10.200 protocol tcp port 53389 3389

3. ​​在接口上应用NAT配置​​

   • 你需要进入连接外网的接口（通常是GigabitEthernet 0/0），并启用静态NAT。

   • 首先确认你的外网接口编号，通常是 GigabitEthernet 0/0。

   [H3C] interface GigabitEthernet 0/0 # 进入外网接口视图 [H3C-GigabitEthernet0/0] nat static enable # 在该接口上启用静态NAT功能 [H3C-GigabitEthernet0/0] quit # 退回系统视图

4. ​​配置安全策略（同样关键！）​​

   • 创建ACL来匹配外部访问流量。

     [H3C] acl name FROM_INTERNET advanced # 创建一个名为FROM_INTERNET的高级ACL [H3C-acl-adv-FROM_INTERNET] rule permit tcp destination 202.96.128.10 0 destination-port eq 53389 # 允许访问公网IP的53389端口 [H3C-acl-adv-FROM_INTERNET] quit

   • 创建安全策略引用这个ACL。

     [H3C] security-policy [H3C-security-policy] rule name NAT_RDP # 创建一条名为NAT_RDP的策略 [H3C-security-policy-rule-NAT_RDP] action pass # 动作为允许 [H3C-security-policy-rule-NAT_RDP] source-zone untrust # 源区域为外网 [H3C-security-policy-rule-NAT_RDP] destination-zone trust # 目的区域为内网 [H3C-security-policy-rule-NAT_RDP] source-ip any # 源IP任意 [H3C-security-policy-rule-NAT_RDP] destination-ip host 202.96.128.10 # 目的IP为公网IP [H3C-security-policy-rule-NAT_RDP] service tcp-53389 # 服务为TCP-53389（需确保此服务已存在或提前定义） [H3C-security-policy-rule-NAT_RDP] quit [H3C-security-policy] quit

5. ​​保存配置​​

   [H3C] save force

总结与注意事项

1. ​​安全策略是关键​​： 80%的端口映射不成功都是因为忘记了配置安全策略。NAT只负责地址转换，防火墙策略负责允许或拒绝流量。

2. ​​端口冲突​​： 不要映射防火墙本机正在使用的管理端口（如80、443、22、23等），除非您知道如何更改防火墙本机的管理端口。

3. ​​公网IP地址​​： 确保您映射时填写的“外部IP地址”是您的防火墙真正拥有的公网IP地址。如果运营商给您的是动态公网IP，可能会变化，建议使用DDNS服务。

4. ​​测试​​： 配置完成后，最好从外部网络（例如使用手机的4G/5G网络作为热点）进行测试，确保映射成功。

按照以上步骤操作，您就可以成功在华三F100-M-G2防火墙上完成端口映射了。