ESM-AV-G杀毒服务端装在了云主机上，客户端装在办公电脑上

可以

一、组网可行性说明

1. 服务端：部署在公网云主机（有独立公网 IP）
2. 客户端：办公内网电脑，在NAT 后面
3. 通信模式：客户端主动向外发起连接 → 访问云主机公网 IP
   这种架构不需要服务端主动访问内网客户端，天生适合跨 NAT，架构没问题。

二、必须满足的 3 个条件（缺一不可）

1. 云主机要固定公网 IP

2. 云主机安全组 / 防火墙放行 ESM-AV-G 所有端口

• TCP 主要通信端口
• 病毒库升级端口
• 策略下发、心跳通信端口

3. 内网出口防火墙不用做反向映射

三、关键注意点（容易出问题）

1. 客户端配置服务器地址：填云主机公网 IP

   不要填内网 IP，跨 NAT 只能用公网 IP。
2. 办公网出口不要做严格会话限制、应用拦截

   部分防火墙会拦截未知外联长连接，导致：

• 客户端离线
• 心跳断连
• 策略无法更新
• 病毒库升级失败

3. 云主机端尽量不要改默认端口

   改端口后客户端也要逐个手动改，维护麻烦。
4. 域名方式更佳（可选）

   给云主机做个域名解析，客户端填域名，以后换 IP 不用改每台电脑配置。

四、总结

1. 架构完全支持：云主机服务端 + 内网 NAT 后客户端
2. 原理：客户端主动外联，无需内网映射
3. 必做：云主机固定公网 IP、安全组放行端口、客户端配置公网 IP
4. 只要端口通、不拦截长连接，就能正常上线、心跳、策略、病毒库升级

这种组网方案是支持的，H3C ESM-AV-G兼容客户端经过源NAT转换访问云上服务端的部署模式。不过，关键是要正确完成“服务端端口映射”和“客户端连接配置”，否则客户端将无法在控制中心上线。

以下是实现该组网的具体要求：

 组网的关键配置要求

1. 服务端：配置端口映射

• 配置公网IP：云主机必须配置固定的公网IP或域名，供客户端访问。

• 放通业务端口：在云安全组和NAT设备上，必须为服务端IP配置端口映射，放通以下关键业务端口：

  • TCP 8443：Web管理、客户端心跳与日志上报。

  • TCP 8445, 8446：客户端注册、心跳、数据通信及代理更新

  • TCP 9681, 9682, 9685, 9686：病毒库升级、文件上报、事务处理。

  • UDP 9683：系统调度服务。

• 调整会话超时：将以上端口的NAT会话老化时间调整为30分钟以上，避免会话提前老化导致客户端断连。

2. 客户端：手动指定服务端地址

• 安装与连接方式：安装时关闭内网广播发现，通过输入云主机的公网IP/域名+端口来连接。若已安装，可在客户端界面手动修改连接地址。

• 连通性验证：部署前，建议先在客户端 ping 服务端公网IP，并通过 telnet <公网IP> 8443 验证端口通信，确保基础网络可达。