UR\ERG3路由器端口映射场景下防火墙无效的解决方案

客户内网部署WEB服务器，通过端口映射的方式发布到ERG3的WAN口侧，公网主机通过路由器WAN口地址+外部端口访问WEB服务。其中公网IP地址为实验室本地模拟的随机IP。

内网部署WEB服务器，通过端口映射的方式发布到ERG3的WAN口侧后，WEB页面正常发布至公网。想在此基础上实现安全策略功能，即限制能访问到此WEB页面的主机IP，但配置防火墙后发现安全策略不生效，无法正确限制非控主机的访问。

检查防火墙配置，用户配置的防火墙禁止策略【目的地址】为WAN口IP，而路由器转发流程为：
1. WAN口接受报文
2. 匹配端口映射，做DNAT转换（转换目的地址及目的端口）
3. 按转换后的五元组，匹配安全策略
4. 按路由进一步转发

因此需配置安全策略匹配为实际内网WEB服务器的IP

在配置端口映射后，分别设置两条防火墙安全策略（如图1所示）：
1. 允许受控主机的IP，访问实际内网WEB服务器的IP及端口，优先级0。
2. 禁止所有主机，访问实际内网WEB服务器的IP及端口，优先级5。

图1 设置安全策略

核心要点：目的地址、目的端口始终为实际内网IP和端口。