F1000-AK108防火牆配置好portal本地認證之後，外網無法訪問內網地址

根據提供的資料，F1000-AK108防火牆配置Portal認證後外網無法訪問內網地址的問題，可能由以下原因導致： 關鍵原因分析

1. 安全策略未放行認證用戶流量

   Portal認證成功後的用戶流量需通過基於用戶/用戶組的安全策略放行。若策略中配置了user-group或user參數，但未開啟用戶身份識別功能（user-identity enable），流量會被策略丟棄。

   驗證方法：檢查是否存在類似如下配置的安全策略，並確認是否已開啟用戶身份識別：

     security-policy ip rule 13 name a-group

     action pass

     source-zone Trust destination-zone Untrust

     user-group portal-it  # 需開啟user-identity enable才能生效

     2. Portal免認證規則缺失關鍵地址

   Portal的free-rule需放行DNS服務器地址、防火牆接口IP、無需認證的網段。若外網訪問路徑涉及這些地址未放行，流量會被強製攔截。

   關鍵配置示例：

     portal free-rule 0 destination ip 114.114.114.114 32  # 放行DNS

     portal free-rule 1 destination ip 10.88.142.214 32   # 放行防火牆接口地址

     portal free-rule 2 source ip 10.0.0.0 8              # 放行內網非認證網段

     portal free-rule 3 source interface GigabitEthernet1/0/2  # 放行上聯路由器接口

     3. NAT映射或端口配置錯誤

   若外網訪問依賴NAT，需檢查NAT內部服務器的外網端口是否與實際服務端口一致（如HTTP 80端口映射錯誤會導致Web無法訪問）。

   驗證命令：

     display nat server  # 檢查Global IP/Port與Local IP/Port映射關係

     4. 跨三層部署的VLAN標簽問題

   透明部署時，若接口PVID與流量VLAN不匹配（如流量攜帶VLAN 10但接口PVID為1），會導致ARP探測失敗。

   解決方法：調整接口PVID與業務VLAN一致，或通過portal free-rule放行接口。--解決步驟

1. 開啟用戶身份識別功能

   system-view

   user-identity enable  # 必須開啟才能聯動安全策略

   2. 補充Portal免認證規則

   portal free-rule 0 destination ip 202.38.1.4 32     # 外網DNS服務器

   portal free-rule 1 destination ip 192.168.10.10 32  # 防火牆VLAN接口

   portal free-rule 2 source interface GigabitEthernet1/0/2  # 上聯路由器接口

   3. 檢查安全策略放行邏輯

   確認存在放行Untrust到Trust的安全策略，且未依賴未生效的用戶組：

     security-policy ip rule name untrust-trust 

     action pass

     source-zone Untrust destination-zone Trust

     destination-ip-host 10.110.10.1  # 內網服務器地址

     4. 驗證NAT端口映射

   登錄Web界麵，進入 策略 > NAT > NAT內部服務器，確認外網端口（如80/443）與內網服務端口一致。5. 抓包及日誌分析

   啟用debugging確認流量是否命中策略：

     debugging security-policy packet ip

     debugging portal all

     --最終效果

完成上述配置後：

1. 外網用戶訪問內網服務時，流量通過免認證規則或已認證用戶的策略放行。

2. NAT端口映射正確，Telnet/HTTP等端口可正常通信。

3. 安全策略日誌顯示流量匹配pass動作，會話表（display session table）顯示ESTABLISHED狀態。