Juniper防火墙端口映射操作步骤

Juniper防火墙简明实用手册（版本号：）目录1juniper中文参考手册重点章节导读.................................... 错误!未定义书签。

第二卷：基本原理 ...................................................... 错误!未定义书签。

第一章：ScreenOS 体系结构 .......................... 错误!未定义书签。

第二章：路由表和静态路由............................ 错误!未定义书签。

第三章：区段.................................................... 错误!未定义书签。

第四章：接口.................................................... 错误!未定义书签。

第五章：接口模式............................................ 错误!未定义书签。

第六章：为策略构建块.................................... 错误!未定义书签。

第七章：策略.................................................... 错误!未定义书签。

第八章：地址转换............................................ 错误!未定义书签。

第十一章：系统参数........................................ 错误!未定义书签。

第三卷：管理 .............................................................. 错误!未定义书签。

第一章：管理.................................................... 错误!未定义书签。

以192.168.10.221:3389映射222.173.69.150:221为例
第一步，在Policy > Policy Elements > Services > Custom 下建立内网的端口
点击右上角的New按钮，输入：
第二步，在Network > Interfaces 中，点击222.173.69.150后面的Edit，然后点击上方的VIP
点击右上角New VIP service
其中第一行是外网IP，第二行是外网端口，第三行是第一步中建立的内网端口，第四行是内网IP
点击OK完成
（如果内网端口已经建立过，或者系统自带一些常用端口，可省略第一步）
第三步，标准的端口映射还需要建立策略，在Policy > Policies中，选择From Untrust TO Trust 点击GO按钮
点击New建立一条允许策略，如下
因为这条策略是针对所有端口映射的，我已经在防火墙上建立过了，所以这步你这个防火墙
不需要再做了。

一般来说，你可以先执行第二步，
在Map to Service 中先看看有没有你需要的内网端口，如果没有再执行第一步即可。

如果有的话填上外网端口，选择内网端口，填上内网IP，去掉Enable的勾，点OK就完成了。

Juniper操作手册防火墙设备样式与接口简介：所选用Juniper设备正面为9个网口（AUX，CONSOLE，0/0，0/1，0/2，0/3，0/4，0/5，0/6）我们需要用到的网口主要为：0/0与0/1两者之一，0/2、0/3、0/4、0/5与0/6四者之一。

（注明：0/0与0/1为接外网网口，如：10.195.56.5；0/2、0/3、0/4、0/5与0/6为接内网网口，如：192.168.0.5）。

对防火墙进行初步配置：首先将防火墙通上电，设备约有一分钟的启动时间。

将外网网线接到口0/0或者0/1(本次配置选用0/1口)，将内网某一台PC与防火墙内网接口之一相连（本次配置选用0/2。

该PC主要用于来配置，可以是内网中任一PC）。

在内网PC上：首先通过运行进行测试，以确定防火墙已启动（Ping 命令成功即可, 若设备为出厂新设备，默认内网IP为：192.168.0.1.若已配置过，内网IP需资询相关技术人员。

），下图所示：确定设备与内网PC（即用于配置防火墙的PC）连接正常后。

打开IE，输入防火墙内网IP：192.168.0.1Admin Name: netscreen. Password: netscreen登陆成功界面如上图所示（IE主要分为左右两部分，配置之初，右侧参数可不必在意）：据网络要求，我们对防火墙配置主要分为六部分。

主要配置过程：一、内网、外网接口配置由路径Network>Interfaces(list)（所见参数部分说明：在下图所示界面上，主要操作包括内网_Trust、外网_Untrust接口配置。

此处需要注意Untrust所对应的接口：ethemet0/0或ethemet0/1 up。

）a)内网接口配置Trust对应内网，点击其对应的Edit，进入内网配置界面。

上图红线标示处需注意。

参数设置Zone Name : TrustStatic Ip:IP Adress/Netmask: 内网IP（通常设为内网网关地址）“/”后为子网掩码Manage IP 若无特殊要求，一般与“IP Adress/Netmask”相同Interface Mode : NATManagement Services(此项根据需要):推荐->WEB UI TELNET PING内网接口配置完成，OK 。

Juniper SRX防火墙简明配置手册目录一、 JUNOS 操作系统介绍 (3)1.1层次化配置结构 (3)1.2 JunOS 配置管理 (4)1.3 SRX 主要配置内容 (4)二、 SRX 防火墙配置说明 (5)2.1初始安装 (5)2.1.1登陆 (5)2.1.2设置 root 用户口令 (9)2.1.3JSRP 初始化配置 (9)2.1.4设置远程登陆管理用户 (14)2.1.5远程管理 SRX相关配置 (15)2.1.6ZONE 及相关接口的配置 (15)2.2 Policy (16)2.3 NAT (17)2.3.1Interface based NAT (18)2.3.2Pool based Source NAT (18)2.3.3Pool base destination NAT (19)2.3.4Pool base Static NAT (20)2.4 IPSEC VPN (21)2.5 Application and ALG (22)三、 SRX 防火墙常规操作与维护 (22)3.1单机设备关机 (22)3.2单机设备重启 (23)3.3单机操作系统升级 (23)3.4双机模式下主备 SRX 关机 (23)3.5双机模式下主备设备重启 (24)3.6双机模式下操作系统升级 (24)3.7双机转发平面主备切换及切换后恢复 (25)3.8双机控制平面主备切换及切换后恢复 (25)3.9双机模式下更换备SRX (25)3.10双机模式下更换主SRX (26)3.11双机模式更换电源 (27)3.12双机模式更换故障板卡 (27)3.13配置备份及还原方法 (27)3.14密码修改方法 (28)3.15磁盘文件清理方法 (28)3.16密码恢复 (28)3.17常用监控维护命令 (29)四、 SRX 防火墙介绍 (31)Juniper SRX防火墙简明配置手册SRX系列防火墙是 Juniper 公司基于 JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

JUNIPER 防火墙快速安装手册Juniper防火墙配置教程V1.0联强国际（香港）有限公司2011目录1、前言 (4)1.1、J UNIPER防火墙配置概述 (4)1.2、J UNIPER防火墙管理配置的基本信息 (4)1.3、J UNIPER防火墙的常用功能 (5)2、JUNIPER防火墙三种部署模式及基本配置 (6)2.1、NAT模式 (6)2.2、R OUTE-路由模式 (7)2.3、透明模式 (8)2.4、基于向导方式的NAT/R OUTE模式下的基本配置 (8)2.5、基于非向导方式的NAT/R OUTE模式下的基本配置 (17)2.5.1、NS-5GT NAT/Route模式下的基本配置 (18)2.5.2、NS-25-208 NAT/Route模式下的基本配置 (19)2.6、基于非向导方式的透明模式下的基本配置 (20)3、JUNIPER防火墙几种常用功能的配置 (21)3.1、MIP的配置 (21)3.1.1、使用Web浏览器方式配置MIP (22)3.1.2、使用命令行方式配置MIP (24)3.2、VIP的配置 (24)3.2.1、使用Web浏览器方式配置VIP (25)3.2.2、使用命令行方式配置VIP (26)3.3、DIP的配置 (27)3.3.1、使用Web浏览器方式配置DIP (27)3.3.2、使用命令行方式配置DIP (29)4、JUNIPER防火墙IPSEC VPN的配置 (29)4.1、站点间IPS EC VPN配置：STAIC IP-TO-STAIC IP (29)4.1.1、使用Web浏览器方式配置 (30)4.1.2、使用命令行方式配置 (34)4.2、站点间IPS EC VPN配置：STAIC IP-TO-DYNAMIC IP (36)4.2.1、使用Web浏览器方式配置 (37)4.2.1、使用命令行方式配置 (40)5、JUNIPER中低端防火墙的UTM功能配置 (42)5.1、防病毒功能的设置 (43)5.1.1、Scan Manager的设置 (43)5.1.2、Profile的设置 (44)5.1.3、防病毒profile在安全策略中的引用 (46)5.2、防垃圾邮件功能的设置 (48)5.2.1、Action 设置 (49)5.2.2、White List与Black List的设置 (49)5.2.3、防垃圾邮件功能的引用 (51)5.3、WEB/URL过滤功能的设置 (51)5.3.1、转发URL过滤请求到外置URL过滤服务器 (51)5.3.2、使用内置的URL过滤引擎进行URL过滤 (53)5.3.3、手动添加过滤项 (54)5.4、深层检测功能的设置 (58)5.4.1、设置DI攻击特征库自动更新 (58)5.4.2、深层检测（DI）的引用 (59)6、JUNIPER防火墙的HA（高可用性）配置 (61)6.1、使用W EB浏览器方式配置 (62)6.2、使用命令行方式配置 (64)7、JUNIPER防火墙一些实用工具 (65)7.1、防火墙配置文件的导出和导入 (65)7.1.1、配置文件的导出 (66)7.1.2、配置文件的导入 (66)7.2、防火墙软件（S CREEN OS）更新 (67)7.3、防火墙恢复密码及出厂配置的方法 (68)8、JUNIPER防火墙的一些概念 (68)关于本手册的使用：①本手册更多的从实际使用的角度去编写，如果涉及到的一些概念上的东西表述不够透彻、清晰，请使用者自行去找一些资料查证；②本手册在编写的过程中对需要使用者特别注的地方，都有“注”标识，请大家仔细阅读相关内容；对于粗体、红、蓝色标注的地方也需要多注意；③本着技术共享的原则，我们编写了该手册，希望对在销售、使用Juniper防火墙的相应技术人员有所帮助，大家在使用过程中有任何建议可反馈到：chuang_li@；jiajun_xiong@；④本手册归“联强国际（香港）有限公司”所有，严禁盗版。

在当今互联网发展迅猛的时代，随着网民数量的持续增长，网络安全问题也日益突出。

为了保障网络安全，在许多组织和家庭中会使用网络防火墙来对网络进行安全防护。

而在网络防火墙的配置中，端口映射是一个重要的环节，它允许外部网络用户访问内部网络的特定服务。

在本文中，将详细介绍如何在网络防火墙上配置端口映射。

首先，了解端口映射的基本概念是至关重要的。

端口是指计算机与外界通信的接口，每个端口都有一个特定的号码。

端口映射是通过将外部网络的请求映射到内部网络中的特定端口，实现内外网络服务之间的通信。

在开始配置端口映射之前，首先要确保网络防火墙已经正确连接并能正常运行。

接下来，我们将详细介绍如何进行端口映射的配置。

第一步，登录网络防火墙的管理界面。

通常可以通过输入防火墙的IP地址在浏览器中访问管理界面。

输入正确的用户名和密码登录后，即可进入防火墙的配置页面。

第二步，找到“端口映射”选项。

在防火墙的配置页面中，一般会有一个名为“端口映射”或者“端口转发”的选项。

点击该选项进入端口映射的配置界面。

第三步，添加端口映射规则。

在端口映射的配置界面中，会有一个按钮或链接，用于添加新的端口映射规则。

点击该按钮或链接，输入所需的端口映射规则信息。

第四步，设置源端口和目标端口。

在添加端口映射规则时，需要设定源端口和目标端口。

源端口是外部网络用户访问的端口，而目标端口是内部网络提供服务的端口。

根据实际需求，填写正确的端口号码。

第五步，选择端口映射类型。

端口映射有两种类型，分别是TCP 和UDP。

TCP是一种面向连接的协议，适用于需要稳定传输的服务，如网页浏览、FTP上传下载等。

而UDP是一种非面向连接的协议，适用于对数据传输实时性要求较高的服务，如音视频通话、在线游戏等。

根据需要选择合适的端口映射类型。

第六步，保存并应用配置。

完成端口映射规则的设置后，点击保存并应用配置按钮，使设置生效。

在一些防火墙中，还需要重启防火墙才能使配置生效。

在配置完端口映射后，需要进行相关的测试，以确保端口映射是否成功。

1、配置思路1）建立ZONE，规划接口，配置接口ip和静态路由2）定义策略地址（华南这里配置没有具体到对地址对象的分组，所以这一步这里省略）3）定义策略服务（先定义端口服务，然后完成VIP，MIP服务的定义）3）匹配策略5）恢复出厂配置（知道密码，不知密码的情况）6）配置导出与导入7）其他（添加用户，修改用户密码，同步）2、具体操作1）配置接口IP和静态路由第一步，通过IE登录到防火墙的WEBUI（ip为https://192.168.1.1）,选择跳过向导直接进入登录,输入用户密码（netscreen/netscreen）进入第二步、为接口匹配iP（Zones和接口都用系统默认的就够用了，这里只需为接口配相应的IP）进入Network>interfaces界面先编辑eth0/1 的地址：其中Management Services可根管理需求勾选，ping勾上接着编辑eth0/2的地址：这里Management Service 勾上Web UI、Telnet及SSH，Ping也勾上，这样方便以后通过外网来管理防火墙。

最后方法同上修改eth0/0的ip为所要设的IP （华南这里：172.31.11.1/24）,这里为方便管理Mangement Service全勾上。

配置完成后，防火墙会自动重启，这时需要重新修改本机的IP与防火墙的eth0/0接口的IP同网段(本机通过连接线连接在eth0/0口)第三步、添加静态路由进入Network > Routing > Destination界面，点击右上角的NEW来新建路由i)添加到internet的缺省路由目标网络：0.0.0.0 0.0.0.0 网关：202.105.115.201ii)同上方式添加一条连通DMZ与内、地区的路由（目标网络172.31.0.0/16 网关：172.31.11.2）iii）同上方式添加一条连通DMZ到总部的路由（目标网络172.17.0.0/16 网关：172.31.11.2）添加完成后如下图示2）定义策略地址（略）3）定义策略服务（先定义端口服务，然后完成VIP，MIP服务的定义）进入Policy > Policy Elements > Services > Custom界面来自定义服务端口第一步、对照之前准备的照服务端口映射表，统计需要定义的端口服务注：此图为端口服务映射表的部分统计的端口有：50000，22000,51000,4489,81,8080,7761,3389,139,4899,4200接着添加定义端口服务，点击右上角新建来定义端口，进入下面的界面：服务名设为端口号，目标端口号因为只有一个，范围的最小最大值都为端口号，这样就定义好了一个端口服务。

Juniper 防火墙端口映射操作步骤注：以下操作均通过WEB用户管理界面进行：一、添加自定义服务端口1、选择菜单Policy > Policy Elements > Services > Custom，进入自定义服务管理页面2、点击右上角的New按钮进入自定义服务添加页面在Service Name处填写自定义的服务名称，在Transport protocol处选择需要使用的协议，在Destination Port 处填写自定义服务的目的端口，点击OK按钮提交操作。

在上图中，我们添加了了一个名为udp-3311的服务，它使用UDP协议，目的端口号为3311。

3、选择菜单Network > Interfaces(List)，找到Untrust Zone对应的端口名（图中Untrust Zone对应的端口为ethernet0/0），点击右边的Edit按钮进入端口编辑页面4、点击Properties中的VIP按钮，切换到VIP管理页面初次添加VIP设置时，如果你有多个外网IP地址，你可以选择填入你的Virtual IP Address，如果ISP只提供给你一个外网IP地址或者你通过PPPOE方式获得外网IP，你可以选择Same as the untrusted interface IP address，点击Add按钮提交。

5、点击New VIP Service按钮，进入VIP服务添加页面6、添加VIP Service相关信息A、在Map to Service 下拉列表中选择现有服务类型或者自定义的服务，图中我们选择了之前添加的udp-3311服务B、在Map to IP中填写提供服务的主机IP，Virtual Port与自定义服务的端口一致，不要勾选Server Auto Detection后Enable选项,点击OK按钮提交7、选择菜单Policy > Policies,进入策略管理页面8、左上角的From选择Untrust Zone，To选择Trust Zone，点击NEW进入From Untrust To Trust策略新增页面Source Address（源地址）从Address Book Entry中选择Any，Destination Address （目的地址）从Address Book Entry中选择相关的VIP服务，Service选择自定义的服务。

Juniper(JUNOS)建立NAT端口映射1、NAT配置界面介绍：Rule Name：对该NAT的命名（不影响配置）；Source Address：对源地址的限制（可以不填，若要限制可以在Policy处设置）。

Deatination Address & Port：外网地址，对应的外网地址端口。

Actions：设置NAT的行为；二、配置方式1、配置NAT①、配置NAT内部终端映射端口。

选择NAT-----Deastination NAT-----Deastination NAT Pool-----add设置Pool的名字，以及内部终端IP，需要放出去的端口。

返回Destination Rule Set，配置NAT映射。

在TEST规则中建立NA T映射，选择右下角的Add①输入Rule Name（不影响配置）；②对应的外网地址，已经映射的外网端口。

③在右方选择Do Destination NAT With Pool，并选择之前建立的Deastination NAT Pool二、以上为止NAT已经配好，但是还需要配置Policy,才能让外面的终端访问成功。

①、添加地址本，路径选择Security----Policy Elements----Address Book------点击右上角的Add②、添加服务端口路径选择：Security----Policy Elements----Applications------点击右上角的Add③、设置Policy路径选择：Security----Policy-----Apply Policy，选好Policy的应用区域（Unrust to DMZ），选择Add；填写Policy名称（不影响配置）；选择Policy Action（permit允许，deny阻止，reject）；选择应用的区域，一般是untrust to DNZ选择哪些外部地址受Policy影响（Source Address）,一般选择Any，意思是全部地址都所这条Policy影响。

如何在网络防火墙上配置端口映射？在当今数字化时代，网络安全成为了人们重要的关注点之一。

为了保护网络，防火墙作为一种重要的安全设备被广泛应用。

而在防火墙的配置中，端口映射是一项常见且重要的功能。

本文将讨论如何在网络防火墙上配置端口映射，并介绍一些相关的实践技巧。

第一部分：端口映射的基本原理在开始配置之前，了解端口映射的基本原理是非常重要的。

端口映射是一种将外部网络请求导向特定的网络设备或主机的技术。

当外部网络请求到达防火墙时，防火墙会根据预先配置的规则将请求转发到内部网络中相应的设备或主机。

这种方式可以实现远程访问、服务发布等网络应用。

第二部分：防火墙配置工具在进行端口映射配置之前，我们需要先了解所使用的防火墙配置工具。

常见的防火墙配置工具有FirewallD和iptables。

FirewallD是一个功能强大且易于使用的防火墙管理器，可以简化端口映射配置的过程。

它提供了一系列直观的命令和图形界面，用户可以根据自己的需求快速配置端口映射规则。

iptables是一种底层的防火墙配置工具，它具有更多的灵活性和细粒度控制。

使用iptables进行端口映射配置需要运用一些命令行操作，对于有一定Linux操作经验的用户来说，可以实现更为精细的规则配置。

第三部分：端口映射配置步骤无论使用FirewallD还是iptables，端口映射的配置步骤大致相似。

下面将以FirewallD为例，介绍具体的配置过程。

步骤一：打开终端，输入以下命令以启动FirewallD服务：```bashsudo systemctl start firewalld```步骤二：检查FirewallD是否在运行中：```bashsudo systemctl status firewalld```步骤三：开放需要映射的外部端口，例如80端口（HTTP服务）：```bashsudo firewall-cmd --add-port=80/tcp --zone=public --permanent```步骤四：开放外部访问的端口映射，例如将80端口映射到内部服务器的8080端口：```bashsudo firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 --zone=public --permanent ```步骤五：重新加载FirewallD配置：```bashsudo firewall-cmd --reload```在这个例子中，我们成功配置了将外部网络的80端口请求转发到内部网络的8080端口上。

友情提示：为了您能够看清文中插图，在浏览此文时请将PDF阅读器页面大小设置为150%环境拓扑如下服务器内网IP地址：192.168.1.11防火墙内网Eth0/0端口IP地址：192.168.1.10防火墙外网Eth0/2端口IP地址：192.168.0.10外网客户端IP：192.168.0.254需求：内网服务器IP地址为192.168.1.11，上面开有81端口对外提供服务。

由于是私网IP 地址，所以需要将其映射为公网IP，映射后的IP地址为192.168.0.11，然后允许外网用户访问此服务器的81端口、允许ping、允许内网所有服务器访问公网1、将内网服务器192.168.1.11映射为192.168.0.11将防火墙内、外网端口工作模式修改为route本环境中指的映射并不是NAT，而是路由转发（一个公网IP地址对应一个内网IP地址）。

默认情况下防火墙的内、外网端口均属于NAT模式，我们将其改为route模式即可。

下图防火墙外网端口eth0/2的修改方法（内网端口也需要修改）添加MIP点击Network ------Interfaces------ethernet0/2------edit------MIP------new注：MIP为需要映射后的IP，host ip为内网服务器的IP2、允许内网所有服务器访问外网点击Policy------Policies，选择“From Trust To Untrust”，然后点击“new”3、允许外网ping 192.168.0.11 （内网服务器192.168.1.11在上面已经被映射成为外网IP192.168.0.11）点击lolicy------policies，选择外到内，然后点击new4、允许外网访问内网服务器的81端口对于自定义的服务端口，juniper在服务中是没有的，因此我们需要自己添加，首先添加81端口至服务列表中为内网服务器开启81端口，首先在编辑刚才添加的一条允许公网ping内网服务器的策略5、测试●在192.168.0.254的机器上访问192.168.0.11的81端口●在192.168.0.254上ping 192.168.0.11注：内网所有服务器的网关都需要指向防火墙内网端口的IP地址，也就是防火墙eth0/0的IP，否则内网服务器在返回数据的时候找不到路由（本环境中内网所有服务器的网关均指向的是192.168.1.10）。

防火墙怎么做端口映射防火墙做端口映射是怎么样的呢,.那么防火墙又是怎么做端口映射的?下面是店铺收集整理的防火墙怎么做端口映射，希望对大家有帮助~~防火墙做端口映射的方法工具/原料路由器方法/步骤知道要供给外网访问的端口号做了某某游戏服务器、网站、监控或财务软件主机等(以下把这台电脑称为主机)，这些如果要访问都需要开放端口号。

首先你要清楚知道软件要开放哪些端口号?举例：如建了个网站默认需要开放80端口，由于80端口一般被宽带提供商屏蔽了，所以要到iis换个端口号如8282(如图)。

注，如果不知道端口号，可以做DMZ主机。

DMZ主机相当于把整台主机暴露在网络上，端口映射只是开通一条通道。

固定主机的IP地址如图192.168.1.88IP地址要改为不属于DHCP分配地址范围没并且和网内其他联网设置的IP一样，防止冲突。

如果不会可参见下方链接。

1如何固定手机电脑IP关闭主机防火墙或在防火墙添加须开放端口打开控制面板--windows防火墙--设置关闭防火墙注，防火墙添加须开放端口适合高手使用，新手建议关闭也方便后续排查错误。

路由器做端口映射一般在转发规则下的虚拟服务器，点击添加条目，输入需要开放的端口和对应的的主机ip,协议可选TCP或UDP，保存。

需开放多个端口可继续添加。

注，不通路由器叫法，位置都可能不一样，原理一样。

如果有主机接在下级路由器参考下方链接设置。

如果不知道端口号，可以做DMZ主机。

DMZ设置就比较简单，只要输入要开放主机的内网IP即可。

建议做端口映射。

2一级或多级路由器设置端口映射图解检查wan口获取的IP是否是公网IP现在由于IP地址短缺，宽带提供商把一些拨号上网的宽带组成一个大型局域网通过同一个公网IP访问网络。

如果你获取的IP不是公网IP前面做的都白做了，外网一样访问不了。

登陆路由器点击运行状态查看wan口IP，如果获取到的是10或100开头的都不是公网IP。

或者百度输入IP地址查询，如果和wan口IP显示不一样就不是公网IP。

Juniper NetScreen 防火墙如何做VIP映射1、先看服务端口系统是否有预定义或者自己有添加：Policy -》Services -》Predefined 【系统预定义的服务端口】如果两个里面都没有需要的服务端口，则Policy -》Services -》Custom【New】新建一个服务服务名称自定义;如3389，传输协议.如选择TCP，源端口是任意的，也就是默认的。

目的端口就是服务对应的端口，我们开的是Telnet3389端口，所以填3389-3389。

然后点击ok保存Policy -》Services -》Custom 【自定义的服务端口】2、配置VIP映射关系Network-》interfaces-》list然后选择你要映射的unstrust的interface，如默认的入口ethernet0/0，点击对应的[Edit]进入interface编辑界面后，点击【vip】这里先定义访问的外网IP，选择same as the interface ip address就是以当前上网的ip作为访问地址。

如果供应商有给多的ip，可以选择下面的virtual ip address，然后填入ip地址即可、填完后，点击【add】进行添加然后点击【new vip service】进入映射操作阶段选择要映射的虚拟ip地址，就是刚才添加的，或者以前添加的，填写虚拟端口，比如3389. map to service就选择要映射的服务，就是第一步我们要添加的服务端口map to ip就是要映射的内网服务器地址。

然后点击ok保存，这个时候映射操作完成。

3、配置策略对于ssg5防火墙来说，默认unstrust是不可以访问trust的，所以我们还得建立一条策略允许外网使用内网的当前服务；Policy-》policies选择From Unstrust to Trust ，然后点击【New】源地址为any，目的地址选择刚才的虚拟地址，是Vip（***）service就是选择3389服务端口然后action选择permit。