防火牆旁掛當SSLVPN需要映射哪些端口到外網

tcp 需要映射sslvpn網關的端口

在F1000-AK9150防火牆旁掛作為SSL VPN使用時，出口防火牆需映射以下端口及協議：

1. 默認端口 

   TCP 443（默認SSL VPN網關端口，用於HTTPS加密通信）。 

   若自定義端口（如2000），需映射對應的TCP端口。

2. 特殊場景 

   若涉及特定應用協議（如FTP非標端口），需通過`port-mapping`命令配置TCP協議映射，確保應用識別。 

   案例顯示，部分場景若誤用TCP映射導致失敗，需檢查協議類型（如某案例中ACG SSL VPN需映射UDP端口，但H3C SSL VPN默認基於TCP）。

配置建議： 

在SSL VPN網關配置中明確指定端口（如`sslvpn gateway gw ip address X.X.X.X port 2000`）。 

出口防火牆配置NAT映射時，選擇TCP協議，映射自定義或默認的SSL VPN端口（如TCP 2000或443）。 

若涉及特殊應用，結合PBAR（基於端口的應用識別）確保流量正確處理。 

示例命令參考： 

# 映射SSL VPN網關端口（TCP 2000）

nat server protocol tcp global <公網IP> 2000 inside <SSL VPN網關IP> 2000