天融信防火墙 外部udp 访问不进来

请检查如下几项内容：

1、映射地址是否还映射了其他服务器或端口，如是调整一下端口转换的顺序，注意小范围放在前面执行。

2、对服务器的访问策略是否正确开放。

3、映射时是否设置了端口转换。

4、防火墙与服务器之间是否还有其他设备有相关策略没开

5、最后还没搞定，就要在防火墙命令行下，tcpdump 查看一下，

希望对你排故障有帮助。

天融信的终端安全管理系统主要是说网络卫士主机监控与审计系统。TopDesk是第三代终端管理系统，在具备补丁管理、准入控制、存储介质（U盘等）管理、非法外联管理等功能基础上，增加风险管理和主动防范机制，具备完善的违规监测和风险分析，实现有效防护和控制，降低风险，并指导持续改进和完善防护策略，是最佳的终端防护解决方案。TopDesk已经广泛应用在各行各业，如石油石化、电力、政府部门（地税、公安、法院、政务等），实现以总部为中心的跨区域、分级管理，监控整个行业和系统的终端安全风险，包括管理和下发全局终端安全策略、接收全局上报信息、数据综合分析、系统协同联动等功能。TopDesk是终端安全防护的最佳解决方案。

下一代防火墙六招御敌：

下一代防火墙实实在在的六大功能告诉了人们“我不是加强版和附属品，我是独立的，完全自我的网关安全产品，有独特的特性和气质。”

一、基于用户防护 传统防火墙策略都是依赖IP或MAC地址来区分数据流，不利于管理也很难完成对网络状况的清晰掌握和精确控制。下一代防火墙则具备用户身份管理系统，实现了分级、分组、权限、继承关系等功能，充分考虑到各种应用环境下不同的用户需求。此外还集成了安全准入控制功能，支持多种认证协议与认证方式，实现了基于用户的安全防护策略部署与可视化管控。

二、面向应用安全 在应用安全方面，下一代防火墙应该包括“智能流检测”和“虚拟化远程接入”两点。一方面可以做到对各种应用的深层次的识别;另外在解决数据安全性问题方面，通过将虚拟化技术与远程接入技术相结合，为远程接入终端提供虚拟应用发布与虚拟桌面功能，使其本地无需执行任何应用系统客户端程序的情况下完成与内网服务器端的数据交互，就可以实现了终端到业务系统的“无痕访问”，进而达到终端与业务分离的目的。

三、高效转发平台 为了突破传统网关设备的性能瓶颈，下一代防火墙可以通过整机的并行多级硬件架构设计，将NSE(网络服务引擎)与SE(安全引擎)独立部署。网络服务引擎完成底层路由/交换转发，并对整机各模块进行管理与状态监控;而安全引擎负责将数据流进行网络层安全处理与应用层安全处理。通过部署多安全引擎与多网络服务引擎的方式来实现整机流量的分布式并行处理与故障切换功能。

四、多层级冗余架构 下一代防火墙设备自身要有一套完善的业务连续性保障方案。针对这一需求，必须采用多层级冗余化设计。在设计中，通过板卡冗余、模块冗余以及链路冗余来构建底层物理级冗余;使用双操作系统来提供系统级冗余;而采用多机冗余及负载均衡进行设备部署实现了方案级冗余。由物理级、系统级与方案级共同构成了多层级的冗余化架构体系。

五、全方位可视化 下一代防火墙还要注意“眼球经济”，必须提供丰富的展示方式，从应用和用户视角多层面的将网络应用的状态展现出来，包括对历史的精确还原和对各种数据的智能统计分析，使管理者清晰的认知网络运行状态。实施可视化所要达到的效果是，对于管理范围内任意一台主机的网络应用情况及安全事件信息可以进行准确的定位与实时跟踪;对于全网产生的海量安全事件信息，通过深入的数据挖掘能够形成安全趋势分析，以及各类图形化的统计分析报告。

六、安全技术融合 动态云防护和全网威胁联防是技术融合的典范。下一代防火墙的整套安全防御体系都应该是基于动态云防护设计的。一方面可以通过“云”来收集安全威胁信息并快速寻找解决方案，及时更新攻击防护规则库并以动态的方式实时部署到各用户设备中，保证用户的安全防护策略得到及时、准确的动态更新;另一方面，通过 “云”，使得策略管理体系的安全策略漂移机制能够实现物理网络基于“人”、虚拟计算环境基于“VM”(虚拟机)的安全策略动态部署。

目前，国内如天融信等一线安全厂商通过历史的经验积累和强大的研发实力，已经在下一代防火墙产品方面有所建树，性能也达到了320G。

除了以上六大特点之外，天融信下一代防火墙NGFW还通过多核硬件架构，数据与应用双引擎组，TopTurbo数据层高速处理技术，八元组高级访问控制设计等，充分体现了下一代防火墙“基于用户防护”与“面向应用安全”的设计理念，是一款真正意义上的下一代防火墙。