內(nèi)容來源：華為文檔。本文樣式、排版由 網(wǎng)絡(luò)工程師阿龍編輯，如需轉(zhuǎn)載 本樣式風格、封面、字體版權(quán)，請保留此信息，以尊重小編辛苦編輯，否則后果自負。

端口映射（兩步走）1、允許外網(wǎng)流量到達內(nèi)網(wǎng)，配置安全策略

此處以USG20005000 V300R001C10作為示例，其他在菜單上有變化。

此處檢查untrust--trust默認動作是否為permit

如為permit，可跳過此步，直接配置端口映射

非permit狀態(tài)可以右側(cè)編輯為permit 或者保留deny,見第二圖新建轉(zhuǎn)發(fā)策略

USG20005000:防火墻 安全策略 轉(zhuǎn)發(fā)策略

USG6000：策略 安全策略

展開全文

2、配置端口映射

此處以USG20005000 V300R001C10作為示例，其他版本在菜單上有變化。

V300R001C00:防火墻--NAT--虛擬服務器

USG6000：策略 NAT策略 服務器映射

故障處理：映射不通

做完配置后不能通，與服務器或網(wǎng)絡(luò)環(huán)境有關(guān)：

請使用 http://tool.chinaz.com/port 來檢測端口開放（僅支持TCP），不要使用同一個內(nèi)網(wǎng)來測試（要額外做配置）

a. 是否有多網(wǎng)卡，有沒有配網(wǎng)關(guān)，防火墻有沒關(guān)閉

b. 服務是否正常運行，服務的端口是否與映射的內(nèi)部端口相同

內(nèi)網(wǎng)服務器：

外部端口是否是80，這個端口容易被封

中間是否還有上網(wǎng)行為管理設(shè)備

請使用 http://tool.chinaz.com/port 來檢測端口開放（僅支持TCP），不要使用同一個內(nèi)網(wǎng)來測試（要額外做配置）

a. 是否有多網(wǎng)卡，有沒有配網(wǎng)關(guān)，防火墻有沒關(guān)閉

b. 服務是否正常運行，服務的端口是否與映射的內(nèi)部端口相同

a. 是否有多網(wǎng)卡，有沒有配網(wǎng)關(guān)，防火墻有沒關(guān)閉

b. 服務是否正常運行，服務的端口是否與映射的內(nèi)部端口相同

內(nèi)網(wǎng)服務器：

外部端口是否是80，這個端口容易被封

中間是否還有上網(wǎng)行為管理設(shè)備

2、查看會話表來判斷問題點

a) 打開端口掃描工具： http://tool.chinaz.com/port ，填寫外部IP和外部端口，點“查詢”，或者有人配合從公網(wǎng)上來測試

a) 打開端口掃描工具： http://tool.chinaz.com/port ，填寫外部IP和外部端口，點“查詢”，或者有人配合從公網(wǎng)上來測試

b) 同時在防火墻上查看會話表：

b) 同時在防火墻上查看會話表：

c) 用命令行方式查看，能看到來回的數(shù)據(jù)包個數(shù)

c) 用命令行方式查看，能看到來回的數(shù)據(jù)包個數(shù)

（舉例）

-- packets 表示進入的數(shù)據(jù)包

-- packets 表示發(fā)出的數(shù)據(jù)包

d) 一定要同時進行，會話最長只有20秒

d) 一定要同時進行，會話最長只有20秒

-- packets的值為0

a)尤其是80等常用端口會被運營商封閉

b)嘗試把映射的外部端口改成大端口，如 12000 ，轉(zhuǎn)發(fā)策略同步修改。如能測試通，表明端口被封，聯(lián)系運營商申請，或改用其他外部端口

c)可聯(lián)系運營商幫忙排查

a)尤其是80等常用端口會被運營商封閉

b)嘗試把映射的外部端口改成大端口，如 12000 ，轉(zhuǎn)發(fā)策略同步修改。如能測試通，表明端口被封，聯(lián)系運營商申請，或改用其他外部端口

c)可聯(lián)系運營商幫忙排查

-- packets的值為0

a) 在防火墻上 ping –a 外網(wǎng)口ip 服務器內(nèi)部ip，看是否能ping通，如 ping -a 100.1.1.1 192.168.1.20

a) 在防火墻上 ping –a 外網(wǎng)口ip 服務器內(nèi)部ip，看是否能ping通，如 ping -a 100.1.1.1 192.168.1.20

也可在系統(tǒng)-維護-診斷中心--ping中操作

如果ping不通，那不填“報文源地址”，再測試能否ping通。

b) 在內(nèi)網(wǎng)測試業(yè)務端口是否正常，最好能跨網(wǎng)段測試?？赡苄裕悍掌麟p網(wǎng)卡或誤配/少配默認路由

c) 檢查服務器對訪問者ip是否有安全策略，請聯(lián)系服務器管理員確認

d) 如果內(nèi)網(wǎng)中有三層設(shè)備，檢查路由

e) 如果內(nèi)網(wǎng)中有上網(wǎng)行為管理，嘗試去掉測試或修改策略

b) 在內(nèi)網(wǎng)測試業(yè)務端口是否正常，最好能跨網(wǎng)段測試?？赡苄裕悍掌麟p網(wǎng)卡或誤配/少配默認路由

c) 檢查服務器對訪問者ip是否有安全策略，請聯(lián)系服務器管理員確認

d) 如果內(nèi)網(wǎng)中有三層設(shè)備，檢查路由

e) 如果內(nèi)網(wǎng)中有上網(wǎng)行為管理，嘗試去掉測試或修改策略