深信服防火墙AF映射内网服务器到外网

实验目的

深信服防火墙AF通过端口映射的方式把内网服务器（IP：192.168.1.88）的端口88放到固定公网（IP：1.1.1.1）访问，并记录到内网服务器的访问日志（服务器需要获取客户的远程IP地址）。

操作方法

1、网络 -> 接口/区域 -> 物理接口，配置Lan（信任区）：内网IP段192.168.1.1/24，Wan（非信任区）：公网固定IP 1.1.1.1/255.255.255.252

2、外网访问内网服务器：策略 -> 地址转换 -> IPv4地址转换 -> 服务器端口映射

源区域是非信任区Wan，指定IP：1.1.1.1，TCP协议、端口88，转换到内网192.168.1.88，双向地址转换不启用。

3、内网通过公网IP访问内网服务器：策略 -> 地址转换 -> IPv4地址转换 -> 服务器端口映射

源区域是信任区Lan，指定IP：1.1.1.1，TCP协议、端口88，转换到内网192.168.1.88，双向地址转换启用。

目的区域是信任区，源地址转换为出接口地址。

4、记录访问日志：策略 -> 访问控制 -> 应用策略控制 -> 新增

源是any，网络对象是全部。目的区域是信任区Lan，网络对象是内网IP所在的对象，服务是TCP88端口（可以在服务中网络对象或服务中进行设置），高级选项开启记录日志。

至此，内外网都可以访问内网服务器，并且AF会记录访问日志，同时内网服务器可以获取客户的远程IP和内网用户的IP。