华为防火墙如何做公网IP对内网服务器的端口映射？

1、端口映射是华为防火墙中的一个常用功能，举个例子就是你内网有一台服务器，想让外网的访问者能够直接访问到这台服务器。但你的内网服务器配置的是内网地址在公网是找不到的，怎么办？这时既可以把一个公网IP地址映射到这个内网地址上，可以单独映射一个端口，也可以做全映射。今天主要说的就是服务器的端口映射。

2、端口映射在防火墙内属于一个策略。所以我们登录到防火墙后找到策略、NAT策略、服务器映射。

3、在服务器映射列表中，我们看到有一个新建选项。做端口映射需要新建一个映射策略。

4、名称随意填写，类型一般填写为“静态映射”，安全区域根据自己的网络结构进行配置。公网地址填写需要映射的公网地址，私网地址填写服务器的地址。允许端口转换如果为全映射不需要都选，如果为单独端口映射需要勾选。

5、当让图形界面看着比较容易 *** 作，如果想用命令配置界面的也可以。只需要输入natserver来画SSH2protocoltcpglobal公网IP2222inside私网IP22no-reverse

6、设置完之后，我们也可以做一个简单的验证，打开windows的cmd窗口。在里边输入Telnet+公网IP+端口看看是否连同。

打开需要通过的端口进行连接。
首先要了解清楚网络的基础架构。遇到问题要大胆怀疑，小心求证，不要完全相信客户的描述。NAT并不仅仅可以用于实现上网和隐藏内网用户，还可以间接打通网络。

1、登录到华为防火墙的Web管理界面。
2、选择网络>接口，找到需要启用DHCP的接口（例如端口1-8），点击编辑按钮进入接口设置页面。
3、在接口设置页面中，选择启用DHCP服务器选项，并设置IP地址池、租期等相关参数。在可分配地址范围中，输入需要允许自动获取IP的地址段。
4、在DHCP客户端列表中，设置只允许端口1-8的设备获得自动IP，可以通过手动添加MAC地址或者使用IP地址段过滤器来实现。

不用使用这个命令。还有一种方法
在内网的接口上使用nat ser 命令将外网接口上发布的命令重新写一遍。也就是说端口映射的信息在内外网接口都有，且一模一样。
之后写一条acl
acl num 3005
rule per ip sou 19216810 000255 de 1921681100 0
写一条规则，内网所有ip地址到内网的服务器ip。
之后在内网接口上
nat out 3005
将acl3005做nat out转换
这样2个步骤能够解决内网使用公网ip或者域名访问内网的服务器。原理是将数据流在防火墙上内部回流。。

华为防火墙同步配置是指在多台防火墙之间同步配置，使得多台防火墙的配置保持一致。
华为防火墙同步配置的方法有：
1、使用FTP协议：首先将需要同步的配置文件上传到FTP服务器，然后在各个防火墙上使用FTP协议从FTP服务器上下载该配置文件，最后在各个防火墙上把下载的配置文件应用到设备上。
2、使用TFTP协议：首先将需要同步的配置文件上传到TFTP服务器，然后在各个防火墙上使用TFTP协议从TFTP服务器上下载该配置文件，最后在各个防火墙上把下载的配置文件应用到设备上。
3、使用SFTP协议：首先将需要同步的配置文件上传到SFTP服务器，然后在各个防火墙上使用SFTP协议从SFTP服务器上下载该配置文件，最后在各个防火墙上把下载的配置文件应用到设备上。
4、使用防火墙设备之间的专用同步链路：可以使用专用同步链路，在多台防火墙之间建立一条专用的同步链路，在这条链路上进行配置文件的传输，从而实现多台防火墙的配置同步。

连接方式：
电信--防火墙--交换机--服务器，
电信进来之后有3个地址，你只需要取其中一个来配置在防火墙的任意一个端口，然后把端口加入到trunst区域，配置另一个端口做内网口，加入到trust区域，然后在nat里面做好nat，在域间策略里面做好trust到untrust和untrust到trust的策略，（一般情况下trust到untrust所有放开，untrust到trust放开需要映射的端口号），然后如果服务器需要映射，在NAT里面有虚拟服务器，做好映射即可
我说的这个是用web方式 *** 作的大致步骤，如果你想用命令行，那么请告知具体点的需求，我给你做个配置

---