华为防火墙配置端口映射，并且在内网也能用外网的IP和端口访问

小型企业，一般就在路由器和防火墙之间二选一，不太会同时上两个设备，在他们眼里，防火墙和路由器都一样，无非就是用来上网，这么认为其实也的确无可厚非，因为现在的产品，边界越来越模糊，小型网络里面，用户要求不高，貌似选哪个都差不多。

但是事实上，还是有不同的，这不路由器毕竟没有防火墙的功能，服务器被恶意中继了，然后IP就被电信运营商封了。

——苏州某企业，凡是http的网站，全部都上不去，其他一切正常，笔者的笔记本电脑直接插到光猫，也不行，很明显就是被电信运营商封禁了，代客户提出申请后，运营商暂时把客户的IP放到白名单里了。

今天为客户上硬件防火墙：华为USG6305E，原来的Tp-link企业级路由器降级成为AC控制器，拓扑图如下：

配置内外网络接口，并且使内网计算机能连接互联网

一、配置网络接口

1、先把防火墙电源线插上，打开电源。这不是多此一举地凑字数，而是提醒你，防火墙启动比较慢，所以先让它上电比较重要，能节省时间；

2、给电脑的有线网卡设置一个IP地址：192.168.0.11，子网掩码：255.255.255.0，其他不必填写；电脑网线连接到防火墙的mgnt接口，即管理接口，这个接口默认的IP是192.168.0.1；

3、打开浏览器，输入https://192.168.0.1:8443，就能看到防火墙的登录界面了

默认的用户名和密码，就写在随机说明上，咱们就不在这里多说了。

4、第一次登录，需要按照系统提示修改密码，注意要满足复杂性要求，最好有大小写英文字母、数字和特殊符号组成；

5、配置内网接口，笔者将GE0/0/1配置为内网卡，IP地址为：192.168.1.1/24

6、配置外网接口，注意，Wan0/0/0接口，是固定IP的城域网，IP地址就不贴出来了，配置方法参考上图，注意子网掩码的不同之处。Wan0/0/1接口上的ADSL。暂时还没安装到位，等电信安装后再配置

二、启用DHCP服务，配置DHCP地址池

IP地址范围，根据自己的需要配置； IP地址的租期，这里配置为2小时，因为有些是顾客的手机，不会停留太长时间，要让IP及时释放。

三、配置静态路由

目的地址配置为0.0.0.0/0，即任意地址；出接口选择Wan0/0/0，下一跳地址为电信运营商提供的网关地址

四、配置NAT，使内网计算机能够访问互联网

配置服务器映射，即端口映射，使得外网能访问内网服务器

名称：随意填写，但是最好有一定意义，以便于识别；公网地址：电信运营商提供的IP地址；私网地址：即内网的服务器；协议：根据需要选择，此处选择TCP，公网接口：在外网开放给用记的端口，为安全起见，最好不要和内网真正使用的端口相同；私网接口：内网服务器真正使用的服务端口

配置完成后，可以在外网，用telnet命令检测，映射是否生效：

telnet 电信运营商IP 公网端口号

如果有反应，就表示配置成功，如果连接失败，那么需要在内网执行命令

telnet 内网服务器IP 私网端口号

如果有反应，就表示端口服务正常工作中，那么前面在外网连接失败，要从防火墙上找原因；如果连接失败，那么需要检查服务器上的相关服务是否已启动。

配置特殊的NAT，使内网计算机能通过公网的IP地址和端口来访问内网的服务器

本以为工作可以暂时告一段落，但是客户说ERP系统无法登录，定向开发的ERP系统，看到不任何配置文件，打给客服，只是说开放一个端口即可，经检查，端口已经正常开放，讨论半天，才知道，ERP公司把公网IP写在程序里面了，需要把服务器DMZ到公网，瞬间被笔者否决了，理由就一个，不安全。

程序员说改代码很麻烦的，让笔者想办法，好吧，以前也这么配置过，但是是防火墙品牌不同，参考意义不大，所以还得折腾一下：新建一个NAT

NAT类型：NAT；转换模式：仅转换源地址；源安全区域：trust；源地址：192.168.1.0/24，即内网整个网段；目的地址：内网服务器IP，注意书写格式：192.168.1.8/32；服务：any；转换后的数据包，即源地址转换为：出接口地址。这样配置以后，防火墙就会把内网计算机访问这台服务器请求，转发到公网的IP和端口了；

拓展知识：程序代码中绑定IP并不是什么好事，如何避免切换IP的烦琐？

程序代码中绑定IP的方式，非常不合理、不方便，一是IP地址有变化的风险，每次变化都要调整代码； 二来，内外网同时使用很麻烦，不支持配置特殊NAT的普通路由器怎么办？只能配置DMZ，那是相当的不安全。

其实要解决这个问题，也不难，就是在代码中抛弃IP地址，改为绑定域名：在外网，只要在域名注册商的DNS管理后台，写一条A记录，指向电信运营商给的公网IP地址就可以了；同样道理，在内网，就在自己的DNS服务器上，写一条A记录，指向内网服务器的IP地址，这样的话，无论客户端是在内网还是在外网，都能解析到需要的IP地址，也就能顺利访问到服务器了。

——笔者为网络工程师，擅长计算机网络领域，创业多年，希望把自己的经验分享给大家，觉得有用的，可以关注、点赞、转发，如有相同或者不同观点，欢迎评论。最近在“橱窗”上了一些精选商品和书籍，欢迎品评，谢谢！

以上内容由优质教程资源合作伙伴 “鲸鱼办公” 整理编辑，如果对您有帮助欢迎转发分享！

你可能对这些文章感兴趣：

• Excel表格十大函数(Excel表格函数公式出现错误怎么办?)
• iphone应用图标大小要怎么调整？(iPhone应用图标大小)
• 有办法了！批量删除多个Word页眉页脚
• 手机与和U盘的连接及文件操作(手机直接连接u盘为什么不能互传文件)
• 人像摆拍姿势和抓拍技巧，学会“安排”照片，摄影新手也能拍美照
• 调整干部开启，如何找准自己的位置？以下几点值得借鉴
• Excel表格办公—-公式与结果共同显示的方法
• 7月1日前务必身份验证，否则将中断开发者权益！（附验证指南）
• MacOS Catalina 10.15第三方软件文件提示已损坏解决办法
• iOS 12.3 ~ 13.2.2 越狱工具发布，这么快？