一、组网需求

       如下图所示，用户已完成了防火墙基础配置，现在需要将内网的一台web服务器（192.168.1.2）需要全映射到外网口的地址（202.1.1.11），让外网的用户能访问到此服务器。

        同时内网用户也可以用公网地址访问服务器。

二、网络拓扑

三、配置要点

      1、基础上网配置

      2、配置虚拟ip（DNAT）

      3、配置安全策略

四、操作步骤

      1、基础上网配置

           配置详细过程请参照 "路由模式典型功能--单线上网--静态地址线路上网配置"一节：

           接口IP配置如下：

            路由配置如下：

      2、配置虚拟IP（DNAT）

           进入菜单：策略&对象--虚拟IP，点击"新建"。

           配置虚拟IP：名称为webserver，用于wan1口的

            说明："外部的ip地址或范围"和"映射的IP地址或范围"数量是对应，一对一映射，起始框和结束框都得填写，映射ip只需要填写第一个框，后面框会根据数量对应关系自动填写。比如                     202.1.1.3-202.1.1.10，内部映射起始IP是192.168.1.2，结束ip必须是192.168.1.9（自动填写），对应映射关系也是对应的，202.1.1.3对应192.168.1.2；202.1.14对应192.168.1.3，               依此类推。

3、配置安全策略

            进入菜单：策略&对象--IPv4策略，点击 新建，按如下方式添加策略

           流入接口：wan1    //如内网用户也需通过虚拟IP访问.,需将此处设置为any

           源地址：all

           流出接口： internal

           目的地址:   webserver    //定义好的虚拟IP映射对象

           服务: http      // 只允许进行http服务访问

           注意：如内网用户也需通过虚拟IP访问，有2种方式可实现： 1. 需将原策略的【流入接口】设置为any，并在该策略上开启NAT；

                                                                                                  2.或者添加一条【流入接口】为internal的内到内策略，并在该策略上开启NAT；

           流入接口：internal

           源地址：all

           流出接口： internal

           目的地址选择:   webserver    //定义好的虚拟IP映射对象

           服务: http       //只允许进行http服务访问

           NAT:启用

4、允许内网访问VIP的公网地址

           允许内部用户通过公网的映射ip地址访问内部的web服务器，只需要添加一条允许内网访问外网的的策略即可。按如下方式添加策略。

五、验证效果

         从外部进行访问http://202.1.1.11,  如果需要测试刚映射是否有效可以在策略的服务临时添加ping服务进行测试。