小型企業，一般就在路由器和防火墻之間二選一，不太會同時上兩個設備，在他們眼里，防火墻和路由器都一樣，無非就是用來上網，這么認為其實也的確無可厚非，因為現在的產品，邊界越來越模糊，小型網絡里面，用戶要求不高，貌似選哪個都差不多。

但是事實上，還是有不同的，這不路由器畢竟沒有防火墻的功能，服務器被惡意中繼了，然后IP就被電信運營商封了。

——蘇州某企業，凡是http的網站，全部都上不去，其他一切正常，筆者的筆記本電腦直接插到光貓，也不行，很明顯就是被電信運營商封禁了，代客戶提出申請后，運營商暫時把客戶的IP放到白名單里了。

今天為客戶上硬件防火墻：華為USG6305E，原來的Tp-link企業級路由器降級成為AC控制器，拓撲圖如下：

配置內外網絡接口，并且使內網計算機能連接互聯網

一、配置網絡接口

1、先把防火墻電源線插上，打開電源。這不是多此一舉地湊字數，而是提醒你，防火墻啟動比較慢，所以先讓它上電比較重要，能節省時間；

2、給電腦的有線網卡設置一個IP地址：192.168.0.11，子網掩碼：255.255.255.0，其他不必填寫；電腦網線連接到防火墻的mgnt接口，即管理接口，這個接口默認的IP是192.168.0.1；

3、打開瀏覽器，輸入https://192.168.0.1:8443，就能看到防火墻的登錄界面了

默認的用戶名和密碼，就寫在隨機說明上，咱們就不在這里多說了。

4、第一次登錄，需要按照系統提示修改密碼，注意要滿足復雜性要求，最好有大小寫英文字母、數字和特殊符號組成；

5、配置內網接口，筆者將GE0/0/1配置為內網卡，IP地址為：192.168.1.1/24

6、配置外網接口，注意，Wan0/0/0接口，是固定IP的城域網，IP地址就不貼出來了，配置方法參考上圖，注意子網掩碼的不同之處。Wan0/0/1接口上的ADSL。暫時還沒安裝到位，等電信安裝后再配置

二、啟用DHCP服務，配置DHCP地址池

IP地址范圍，根據自己的需要配置； IP地址的租期，這里配置為2小時，因為有些是顧客的手機，不會停留太長時間，要讓IP及時釋放。

三、配置靜態路由

目的地址配置為0.0.0.0/0，即任意地址；出接口選擇Wan0/0/0，下一跳地址為電信運營商提供的網關地址

四、配置NAT，使內網計算機能夠訪問互聯網

配置服務器映射，即端口映射，使得外網能訪問內網服務器

名稱：隨意填寫，但是最好有一定意義，以便于識別；公網地址：電信運營商提供的IP地址；私網地址：即內網的服務器；協議：根據需要選擇，此處選擇TCP，公網接口：在外網開放給用記的端口，為安全起見，最好不要和內網真正使用的端口相同；私網接口：內網服務器真正使用的服務端口

配置完成后，可以在外網，用telnet命令檢測，映射是否生效：

telnet 電信運營商IP 公網端口號

如果有反應，就表示配置成功，如果連接失敗，那么需要在內網執行命令

telnet 內網服務器IP 私網端口號

如果有反應，就表示端口服務正常工作中，那么前面在外網連接失敗，要從防火墻上找原因；如果連接失敗，那么需要檢查服務器上的相關服務是否已啟動。

配置特殊的NAT，使內網計算機能通過公網的IP地址和端口來訪問內網的服務器

本以為工作可以暫時告一段落，但是客戶說ERP系統無法登錄，定向開發的ERP系統，看到不任何配置文件，打給客服，只是說開放一個端口即可，經檢查，端口已經正常開放，討論半天，才知道，ERP公司把公網IP寫在程序里面了，需要把服務器DMZ到公網，瞬間被筆者否決了，理由就一個，不安全。

程序員說改代碼很麻煩的，讓筆者想辦法，好吧，以前也這么配置過，但是是防火墻品牌不同，參考意義不大，所以還得折騰一下：新建一個NAT

NAT類型：NAT；轉換模式：僅轉換源地址；源安全區域：trust；源地址：192.168.1.0/24，即內網整個網段；目的地址：內網服務器IP，注意書寫格式：192.168.1.8/32；服務：any；轉換后的數據包，即源地址轉換為：出接口地址。這樣配置以后，防火墻就會把內網計算機訪問這臺服務器請求，轉發到公網的IP和端口了；

拓展知識：程序代碼中綁定IP并不是什么好事，如何避免切換IP的煩瑣？

程序代碼中綁定IP的方式，非常不合理、不方便，一是IP地址有變化的風險，每次變化都要調整代碼；二來，內外網同時使用很麻煩，不支持配置特殊NAT的普通路由器怎么辦？只能配置DMZ，那是相當的不安全。

其實要解決這個問題，也不難，就是在代碼中拋棄IP地址，改為綁定域名：在外網，只要在域名注冊商的DNS管理后臺，寫一條A記錄，指向電信運營商給的公網IP地址就可以了；同樣道理，在內網，就在自己的DNS服務器上，寫一條A記錄，指向內網服務器的IP地址，這樣的話，無論客戶端是在內網還是在外網，都能解析到需要的IP地址，也就能順利訪問到服務器了。