F100防火墙，关于端口转换的问题

在H3C F100防火墙（二层工作模式）下实现端口映射（服务器1433端口映射到外网8999端口），需通过NAT配置和安全策略实现，步骤如下：
1. 配置NAT服务器（端口映射）
在防火墙全局配置模式下执行：
[H3C] nat server protocol tcp global 111.123.111.111 8999 inside 192.168.1.10 1433
参数说明：
global：外网公网IP及映射端口（8999）；
inside：内网服务器IP及原端口（1433）。
若需UDP协议，将tcp改为udp。
2. 配置安全策略允许外网访问映射端口
允许外网用户通过8999端口访问内网1433端口：
[H3C] security-policy
[H3C-policy-security] rule name Allow_DB_8999
[H3C-policy-security-rule-Allow_DB_8999] source-zone untrust
[H3C-policy-security-rule-Allow_DB_8999] destination-zone trust
[H3C-policy-security-rule-Allow_DB_8999] source-address any
[H3C-policy-security-rule-Allow_DB_8999] destination-address 111.123.111.111 32
[H3C-policy-security-rule-Allow_DB_8999] destination-port range 8999 8999
[H3C-policy-security-rule-Allow_DB_8999] action permit
3. 验证与注意事项
验证命令：
display nat server：查看NAT服务器配置；
display security-policy：确认安全策略生效。
关键说明：
防火墙工作在二层模式时，需确保内外网接口（G03/G02）已正确配置IP地址且三层可达；
若原开放的9100~9200端口需保留，无需修改，新增策略不影响原规则。
补充说明
若需进一步限制访问源IP，可在source-address中指定具体网段（如1.2.3.0 mask 255.255.255.0）。配置完成