內(nèi)容來源：華為文檔。本文樣式、排版由 網(wǎng)絡(luò)工程師阿龍編輯，如需轉(zhuǎn)載 本樣式風(fēng)格、封面、字體版權(quán)，請保留此信息，以尊重小編辛苦編輯，否則后果自負(fù)。

端口映射（兩步走）1、允許外網(wǎng)流量到達(dá)內(nèi)網(wǎng)，配置安全策略

此處以USG20005000 V300R001C10作為示例，其他在菜單上有變化。

此處檢查untrust--trust默認(rèn)動(dòng)作是否為permit

如為permit，可跳過此步，直接配置端口映射

非permit狀態(tài)可以右側(cè)編輯為permit 或者保留deny,見第二圖新建轉(zhuǎn)發(fā)策略

USG20005000:防火墻 安全策略 轉(zhuǎn)發(fā)策略

USG6000：策略 安全策略

展開全文

2、配置端口映射

此處以USG20005000 V300R001C10作為示例，其他版本在菜單上有變化。

V300R001C00:防火墻--NAT--虛擬服務(wù)器

USG6000：策略 NAT策略 服務(wù)器映射

故障處理：映射不通

做完配置后不能通，與服務(wù)器或網(wǎng)絡(luò)環(huán)境有關(guān)：

請使用 http://tool.chinaz.com/port 來檢測端口開放（僅支持TCP），不要使用同一個(gè)內(nèi)網(wǎng)來測試（要額外做配置）

a. 是否有多網(wǎng)卡，有沒有配網(wǎng)關(guān)，防火墻有沒關(guān)閉

b. 服務(wù)是否正常運(yùn)行，服務(wù)的端口是否與映射的內(nèi)部端口相同

內(nèi)網(wǎng)服務(wù)器：

外部端口是否是80，這個(gè)端口容易被封

中間是否還有上網(wǎng)行為管理設(shè)備

請使用 http://tool.chinaz.com/port 來檢測端口開放（僅支持TCP），不要使用同一個(gè)內(nèi)網(wǎng)來測試（要額外做配置）

a. 是否有多網(wǎng)卡，有沒有配網(wǎng)關(guān)，防火墻有沒關(guān)閉

b. 服務(wù)是否正常運(yùn)行，服務(wù)的端口是否與映射的內(nèi)部端口相同

a. 是否有多網(wǎng)卡，有沒有配網(wǎng)關(guān)，防火墻有沒關(guān)閉

b. 服務(wù)是否正常運(yùn)行，服務(wù)的端口是否與映射的內(nèi)部端口相同

內(nèi)網(wǎng)服務(wù)器：

外部端口是否是80，這個(gè)端口容易被封

中間是否還有上網(wǎng)行為管理設(shè)備

2、查看會話表來判斷問題點(diǎn)

a) 打開端口掃描工具： http://tool.chinaz.com/port ，填寫外部IP和外部端口，點(diǎn)“查詢”，或者有人配合從公網(wǎng)上來測試

a) 打開端口掃描工具： http://tool.chinaz.com/port ，填寫外部IP和外部端口，點(diǎn)“查詢”，或者有人配合從公網(wǎng)上來測試

b) 同時(shí)在防火墻上查看會話表：

b) 同時(shí)在防火墻上查看會話表：

c) 用命令行方式查看，能看到來回的數(shù)據(jù)包個(gè)數(shù)

c) 用命令行方式查看，能看到來回的數(shù)據(jù)包個(gè)數(shù)

（舉例）

-- packets 表示進(jìn)入的數(shù)據(jù)包

-- packets 表示發(fā)出的數(shù)據(jù)包

d) 一定要同時(shí)進(jìn)行，會話最長只有20秒

d) 一定要同時(shí)進(jìn)行，會話最長只有20秒

-- packets的值為0

a)尤其是80等常用端口會被運(yùn)營商封閉

b)嘗試把映射的外部端口改成大端口，如 12000 ，轉(zhuǎn)發(fā)策略同步修改。如能測試通，表明端口被封，聯(lián)系運(yùn)營商申請，或改用其他外部端口

c)可聯(lián)系運(yùn)營商幫忙排查

a)尤其是80等常用端口會被運(yùn)營商封閉

b)嘗試把映射的外部端口改成大端口，如 12000 ，轉(zhuǎn)發(fā)策略同步修改。如能測試通，表明端口被封，聯(lián)系運(yùn)營商申請，或改用其他外部端口

c)可聯(lián)系運(yùn)營商幫忙排查

-- packets的值為0

a) 在防火墻上 ping –a 外網(wǎng)口ip 服務(wù)器內(nèi)部ip，看是否能ping通，如 ping -a 100.1.1.1 192.168.1.20

a) 在防火墻上 ping –a 外網(wǎng)口ip 服務(wù)器內(nèi)部ip，看是否能ping通，如 ping -a 100.1.1.1 192.168.1.20

也可在系統(tǒng)-維護(hù)-診斷中心--ping中操作

如果ping不通，那不填“報(bào)文源地址”，再測試能否ping通。

b) 在內(nèi)網(wǎng)測試業(yè)務(wù)端口是否正常，最好能跨網(wǎng)段測試?？赡苄裕悍?wù)器雙網(wǎng)卡或誤配/少配默認(rèn)路由

c) 檢查服務(wù)器對訪問者ip是否有安全策略，請聯(lián)系服務(wù)器管理員確認(rèn)

d) 如果內(nèi)網(wǎng)中有三層設(shè)備，檢查路由

e) 如果內(nèi)網(wǎng)中有上網(wǎng)行為管理，嘗試去掉測試或修改策略

b) 在內(nèi)網(wǎng)測試業(yè)務(wù)端口是否正常，最好能跨網(wǎng)段測試?？赡苄裕悍?wù)器雙網(wǎng)卡或誤配/少配默認(rèn)路由

c) 檢查服務(wù)器對訪問者ip是否有安全策略，請聯(lián)系服務(wù)器管理員確認(rèn)

d) 如果內(nèi)網(wǎng)中有三層設(shè)備，檢查路由

e) 如果內(nèi)網(wǎng)中有上網(wǎng)行為管理，嘗試去掉測試或修改策略