公司买了一个华赛USG2000的防火墙做外网的防护 怎么配置能让内网用户正常访问外网

内网的服务器可以认为是一台电脑，在局域网上互联时，只要不是同一个ip就不会发生冲突，也就是说可以互相访问了，外网由于路由器、防火墙等，指定了网关，然而内网的服务器，也指定了网关，这样一来在同一个局域网里就有两个网关，互相冲突，所以只有一个能正常使用，或者两个都不能用，决绝办法：1 将内网服务器的网关指定为外网路由器的网关，访问内网时，通过访问ip实现访问内网，在usg2000中查看是否有限制局域网互相访问的设置，可能需要为PC配置指定的路由表（根据不同品牌的设备而定）2内网和外网分开使用不同的网段，PC通过双网卡实现内外网，注：内网不需要填写网关，必须为PC添加指定的路由表
其实组建内网的目的首先是为安全考虑的，如果内网和外网能随意切换，或者同时能上，那就失去了它的意义，而且最重要的是，内外网同时使用的时候，那些不懂得或者说不注意病毒木马的朋友，往往会造成内、外网瘫痪，最后麻烦的还是自己，所以能不给提供的就不要提供，能少一个人，就多给自己一些空间。
如果你是个网管的话，这些或许会有用，如果不是也希望能帮助到你

用户有一台服务器，IP地址是1921681100，公网地址是1111。在防火墙上配置地址映射如下：
nat server 10 protocol tcp global 1111 80 inside 1921681100 80
故障一：防火墙上没有放行策略
现象：访问不通，在防火墙上查看不到会话。
查看会话命令为：
display firewall session table verbose destination inside 1921681100
Current Total Sessions : 0
解决办法：在域间放行到服务器的策略。
故障二：运营商封闭端口号
现象：访问不通，在防火墙上查看不到会话。
解决办法：找运营商协商。
故障三：服务器没有配置网关，或内网路由有问题。
现象：访问不通，在防火墙上看到会话有去无回。
查看会话为：
display firewall session table verbose destination inside 1921681100
Current Total Sessions : 1
telnet ***:public --> public
Zone: untrust--> trust TTL: 00:00:00 Left: 00:00:10
Output-interface: GigabitEthernet0/0/1 NextHop: 1921681100 MAC: xx-xx-xx-xx
<--packets:445 bytes:20841 -->packets:0 bytes:0
xxxx:56221-->1111:80[1921681100:80]
解决办法1：服务器配置网关或者解决路由问题。
解决办法2：如果确认路由无问题，而服务器因特殊原因不方便配置，可以在内网接口上起用nat功能，将外网地址转换成内网地址。
故障四：特殊应用访问不正常，例如，FTP服务器可以登录，但无法访问资源。
现象：特殊应用访问不正常，例如，FTP服务器可以登录，但无法访问资源。会话查看有时正常，且数据有去有回。
解决办法：域间开启nat alg功能。
命令如下：
firewal interzone trunst untrust
detect ftp
注：此外，PPTP、SIP等问题均可参考。
故障五：双链路环境下，源进源出问题导致访问不正常。
现象：客户将一台服务器同时映射到两个接口上，访问有时正常有时无法访问，出现问题时，查看会话有去无回。
解决办法：该问题为老版本没有源进源出功能，USG2000/5000防火墙需要升级到V300R001C00SPC700以后的版本解决。

---