我们以例子来说明：

需求：用户有多个公有IP，网络里面有几台服务器需要对外面提供服务（如：WEB/FTP/POP3/SMTP），每台服务器对应一个公有IP；

环境：防火墙用FVL328（F/W版本：2.0.07），3台服务器分别对外提供不同的服务；

那么在FVL328的设置上需要包括：

1、在NETWORK DATABSE里面要有3台服务器的相关信息；

2、在WAN里面分别定义好公有IP与3台服务器的对应关系；

3、在2定义好后，服务器的所有端口都是开放的，因此需要在Rules里面过滤掉不需要开放的端口：

1）定义服务范围；

2）定义规则

首先我们有随专线分配的三个固定IP地址：210.21.56.228、210.21.56.229、210.21.56.230，具体规划如下图：

打开浏览器，在其中的地址栏中输入http://192.168.0.1进入FVL328的管理页面，点击左边的“Basic Settings”，在右边的”Internet IP Address”中输入默认的公网IP地址：如下图。

这时候我们的VPN防火墙也只能够给内网用户提供代理上网的功能，还未能实现对公网用户提供服务的功能，例如：公司网站、邮件服务、FTP等的服务。假设公司在域名服务提供商处注册的域名为：test.net，且A记录指针指向分别为

www.test.net —>210.21.56.228

mail.test.net —>210.21.56.229

ftp.test.net —> 210.21.56.230

做完以上工作后，我们就需在FVL328防火墙中把这几个地址绑定于WAN口上，假定我们内网提供www，mail，ftp的三台服务器的地十分别是 192.168.0.170、192.168.0.171、192.168.0.172，我们只需做如下设置即可，如下图所示：

通过以上设置后，当Internet用户想访问公司服务器的时候，连接请求将会是如下流程：

Internet User —> www.test.net —>210.21.56.228 —>192.168.0.170

Internet User —> mail.test.net —>210.21.56.229 —>192.168.0.171

Internet User —> ftp.test.net —> 210.21.56.230 —>192.168.0.172

至此，我们的VPN防火墙已经实现了对外网用户多IP进行反向NAT的功能。

但是还有一个安全问题就是，这样的话，我们每台服务器的所有端口将全部对外网开放，为了只对使每台服务器只对外开放必需的端口外，如：WWW服务器只开放TCP80、MAIL服务器只开放TCP25&110、FTP服务器只开放TCP20&21，所以我们还须做如下设置：进入防火墙的WEB配置页面，在左边的“Security”中的“Service”中添加自定义的服务：如图所示：

在“Service”中添加完对端口的定义后，我们需在“Rules”中应用，在其“Inbound Services”中按“添加”把相应的端口策略分别定义在内网服务器上，如下图所示：

最终所有端口策略定义后，Inbound Servers 内容应为下图所示：

通过以上设置后，Internet用户就只能访问内网服务器的 20、21、25、80、110端口，从而起到保护服务器的功能。