端口映射（两步走）

1、允许外网流量到达内网，配置安全策略

此处以USG2000&5000 V300R001C10作为示例，其他在菜单上有变化。

此处检查untrust-->trust默认动作是否为permit

如为permit，可跳过此步，直接配置端口映射

非permit状态可以右侧编辑为permit 或者保留deny,见第二图新建转发策略

USG2000&5000:防火墙 > 安全策略 > 转发策略

USG6000：策略 > 安全策略

2、配置端口映射

此处以USG2000&5000  V300R001C10作为示例，其他版本在菜单上有变化。

V300R001C00:防火墙-->NAT-->虚拟服务器

USG6000：策略 > NAT策略 > 服务器映射

故障处理：映射不通

做完配置后不能通，与服务器或网络环境有关：

1. 请使用http://tool.chinaz.com/port 来检测端口开放（仅支持TCP），不要使用同一个内网来测试（要额外做配置）
   
   
• a. 是否有多网卡，有没有配网关，防火墙有没关闭
• b. 服务是否正常运行，服务的端口是否与映射的内部端口相同
2. 内网服务器：
   
   
3. 外部端口是否是80，这个端口容易被封
   
   
4. 中间是否还有上网行为管理设备

1、检查安全策略，是否允许公网主动进入

2、查看会话表来判断问题点

• a) 打开端口扫描工具：http://tool.chinaz.com/port，填写外部IP和外部端口，点“查询”，或者有人配合从公网上来测试

• b) 同时在防火墙上查看会话表：

display firewall session table verbose destination inside 192.168.1.20 destination-port 8080

• c) 用命令行方式查看，能看到来回的数据包个数

（举例）

<--  packets 表示进入的数据包

--> packets 表示发出的数据包