1210---Hillstone SG-6000防火墙公网IP及端口映射操作步骤

Hillstone SG-6000防火墙公网IP及端口映射操作步骤

前提条件：外网防火墙已进行了基础设置，能正常工作。

下面分别就公网IP到内网IP的NAT转换、公网IP+端口到内网IP+端口NAT转换操作过程进行讲解，希望可以帮助到有需要的朋友。

一. 公网IP到内网IP的NAT转换

通过浏览器，以WEB的方式，访问Hillstone 管理页面。

1 新建安全策略

1. 点击策略==》安全策略==》新建
   

2. 填写有意义的名称，在设置NAT时需要。

3. 在源信息区域：

安全域：untrust
地址：any
用户：保持为空。

4. 目的区域：

安全域：trust
地址：点击下拉列表框，选择IP/掩码，输入公网IP及32位掩码。
服务：any
应用：保持为空

5. 操作：选择为允许，点击确认。

2. 设置目的NAT

NAT选择策略==》NAT==》目的NAT

在目的NAT配置表中，最重要的两个栏目要填写正确。

1. 目的地址：公网IP地址。
2. 将地址转换为：选择IP/掩码，输入正确的内网IP地址。
   
3. 动作：选择转换，点击确认。

这里再强调一下：仅涉及公网IP和服务器IP的地址一对一转换时，“策略配置”中的目的服务和“目的NAT配置”中的源地址都选any。

二. 公网IP+端口到内网IP+端口NAT转换

公网IP相对稀缺，人们往往通过公网IP+端口号的形式，通过NAT转换映射到内网的IP及端口。

譬如通过公网IP，端口号是5122，通过SSH来访问内网的服务器（内网地址是：10.31.100.113:22），步骤如下：

1. 新建服务簿

1. 对象==》服务簿==》服务名称
2. 点击新建
   
3. 填写服务名称tcp5122，规则描述中点击新建，类型选择TCP，目的端口：最小=5122，然后点击确定。

2. 添加安全策略

1. 点击策略==》安全策略==》新建。
2. 进行策略配置
   
3. 填写一个有意义的名字，目的地址栏填写正确的公网IP，服务栏目是上面新建的服务名称，操作选择允许，按确定保存。

3. 新建目的NAT

1. 点击策略==》NAT==》目的NAT。
2. 新建==》高级配置
   
3. 目的地址栏选择IP/掩码，输入公网IP，服务栏选择在服务薄中定义的服务名称。将地址转换为内网的IP，将服务端口转换为22并启用，点击确认完成。

三. 一个公网IP映射给多个内部服务器IP，但不做端口转换

1. 新建服务，一般是连续的一段端口号

2. 添加安全策略。

3. 针对每台内网服务器，配置一个目的NAT

公网IP的端口和内网IP的端口是相同的。

以上就是通过WEB方式进行防火墙公网IP及端口映射操作步骤。

​ 2021-12-10