您的位置:360文档中心› 防火墙应用指南六——“策略”方向性问题的探讨

防火墙应用指南六——“策略”方向性问题的探讨

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

在配置TL-FR5300策略的时候,对于策略的方向性需要仔细分辨,本文档对于一些异常的、少见的

情况下策略的方向确定,给岀了一些参考建议。

假设TL-FR5300 WAN 口的IP 地址是222.77.77.40,内网服务器的IP 地址是192.168.1.10,提供的

服务端口是30。

1, 一般情况

如果在FR5300的LAN 区域建立了服务器,提供给WAN 区域主机访问,我们必须建立从 WAN — >LAN 的

策略。(将自定义服务”里面的服务端口就设置为

LAN 区域服务器提供的服务端口)设置如下:

趙肝;广疫不画

自是岌

I

测S 口

目的罐匚 ICMP

开lb

删|伽

IJ

岳使用悔这按誉值

广元a 7Cf 广1IDF 广 icwr

P

I&5535 [30

i _

■J

赫兀广ICT 「DDF 广KHF

烬元「TCP 广 TJDF 广 ICIIP

凭广 TCF 厂 UDF 「JCIF 元广 WT r UDF 广 1CWF

如上图,当然可以定义别的任何端口,只需要访问的时候使用定义端口就可以了

策略设置如上图,这个大家都已经会设置了。设置后以后,WAN区域主机主动访问WAN 口IP地址

的30端口,FR5300会将访问的数据包转发至内网的192.168.1.10这台主机,然后192.168.1.10回应数据包,

连接建立。

2, 特殊情况

上面都是WAN区域主动发起连接,连接LAN区域的服务器,这样将符合WAN —>LAN策略,可以

成功连接。如果用户的使用环境中,先是WAN区域主动发起连接,正常连接服务器,然后从服务器上获

取信息的时候,这个信息需要服务器主动发起新的连接,连接使用的源端口仍然是30这个服务端口,目的

端口是客户端的随机端口,这样的连接能否建立呢?答案是不能建立的,虽然我们设置了从WAN —>LAN

的策略,已经包含了自定义的30端口,但是这里是服务器主动发起的连接,这个新连接并不能符合从WAN —>LAN的策略,而是必须要重新定义从LAN到WAN的策略,配置如下:

注意和第一幅图片定义的端口位置不同!

如上图再增加这样一条从LAN —>WAN的策略,将源端口30的数据包也就是服务器的数据包权限开放,那么才能达到用户的需求!也就是如果WAN区域主机访问服务器后,服务器主动发起新连接但是源

端口不改动,这时候从WAN —>LAN的策略是不能满足的,必须再增加一条从LAN —>WAN的策略来开放服务器主动访问WAN区域的权限才可以!

3, 内网建立E-mail服务器的问题

如下示意图:

如果本地电脑要发送邮件给外网的 Yahoo 信箱,流程如下图:

TP-LINK E-mail

Server

如上图:在

FR5300的内网建立了

一台 TP-LINK E-mail 服务器,本地的电脑都是在

TP-LINK E-mail

服务器上收发邮件。夕卜网某主机使用 Yahoo 的信箱。如果 外网主机发送一封邮件给本地的电脑 ”,那么数

据包的流程是上图中蓝色线标注的

一一先是外网主机将自己的邮件发送给自己的

E-mail 服务器也就是

Yahoo 的邮件服务器(使用 SMTP/WEB 协议),然后Yahoo 的邮件服务器再将邮件发送给

TP-LINK E-mail

服务器(使用SMTP 协议),然后本地电脑再从 TP-LINK E-mail 服务器上收取邮件(使用POP3/WEB 协议)。

Yahoo E-mail Server

s

T P

[ 占 WAN 卩 222.77.77.4fl

:FR5304

t LANd 192.1S8.1.1

京地

PC

192.168.1.10

yt 2-LhJ

匹炳

PC

Switch

POP3/WEB

如上图:本地电脑先将数据包发送给内网的 TP-LINK E-mail 服务器(使用SMTP/WEB 协议),TP-LINK

E-mail 服务器再将数据发送给外网的

Yahoo E-mail 服务器(使用SMTP 协议),之后外网的主机再从 Yahoo

邮件服务器上收取邮件(使用 POP3/WEB 协议)。

上面的两次流程,我们可以看到内网主机和外网主机在互通邮件的时候,实际上是:县发送给自己

的E-mail 服务器,然后才是分处内外网的两台

E-mail 服务器之间通过 SMTP 协议互相发送邮件的

根据上面的描述,如果上面这种情况下在 FR5300上面设置策略,需要两条策略:

1,WAN —— >LAN (源地址)ANY -(目的地址)WAN IP -(预定义服务) SMTP -NAT

上面这条策略用于外网的邮件服务器给内网的邮件服务器发送邮件。

2,LAN —— >WAN (源地址).10-(目的地址)ANY -(预定义服务) SMTP/DNS

这条策略用户内网邮件服务器给外网邮件服务器发送邮件。 假设没有设置第 2

条策略,内网用户就发现:自

TP-LINK E-mail Server

Switch

192.168.1.10

SMTP/WEB

本地

PC

相关文档
最新文档