端口映射两步走

1. 允许外网流量到达内网，配置安全策略

此处以USG2000&5000 V300R001C10作为示例，其他在菜单上有变化。

此处检查untrust-->trust默认动作是否为permit

如为permit，可跳过此步，直接配置端口映射

非permit状态可以右侧编辑为permit

      或者保留deny,见第二图新建转发策略

USG2000&5000:防火墙 > 安全策略 > 转发策略

USG6000：策略 > 安全策略

2. 配置端口映射

此处以USG2000&5000  V300R001C10作为示例，其他版本在菜单上有变化。

V300R001C00:防火墙-->NAT-->虚拟服务器

USG6000：策略 > NAT策略 > 服务器映射

=============================================故障处理

映射不通怎么处理

做完配置后不能通，与服务器或网络环境有关： 
1. 请使用http://tool.chinaz.com/port 来检测端口开放（仅支持TCP），不要使用同一个内网来测试（要额外做配置） 
2. 内网服务器：

    a. 是否有多网卡，有没有配网关，防火墙有没关闭 
    b. 服务是否正常运行，服务的端口是否与映射的内部端口相同 
3. 外部端口是否是80，这个端口容易被封 
4. 中间是否还有上网行为管理设备 
 

1.       检查安全策略，是否允许公网主动进入

2.       查看会话表来判断问题点

a)         打开端口扫描工具：http://tool.chinaz.com/port，填写外部IP和外部端口，点“查询”，或者有人配合从公网上来测试

b)         同时在防火墙上查看会话表：

display firewall session table verbose destination inside 192.168.1.20 destination-port 8080

c)         用命令行方式查看，能看到来回的数据包个数

（举例）

<--  packets 表示进入的数据包

-->packets 表示发出的数据包

d)         一定要同时进行，会话最长只有20秒

3.       如果没有产生会话，而操作是正确的，公网没有转发过来。

   <--  packets的值为0

a)         尤其是80等常用端口会被运营商封闭

b)         尝试把映射的外部端口改成大端口，如12000，转发策略同步修改。如能测试通，表明端口被封，联系运营商申请，或改用其他外部端口

c)         可联系运营商帮忙排查

4.       如果有会话产生，但没有回包

   -->  packets的值为0

a)         在防火墙上ping –a 外网口ip  服务器内部ip，看是否能ping通，如ping -a 100.1.1.1 192.168.1.20

也可在系统->维护->诊断中心-->ping中操作

如果ping不通，那不填“报文源地址”，再测试能否ping通。

b)         在内网测试业务端口是否正常，最好能跨网段测试。可能性：服务器双网卡或误配/少配默认路由

c)         检查服务器对访问者ip是否有安全策略，请联系服务器管理员确认

d)         如果内网中有三层设备，检查路由

e)         如果内网中有上网行为管理，尝试去掉测试或修改策略