防火墻應(yīng)用指南-“策略”方向性問題的探討

1、防火墻應(yīng)用指南一“策略”方向性問題的探討在配置TL-FR53OO策略的時(shí)候，對(duì)于策略的方向性需要仔細(xì)分辨，本文檔對(duì)于一些異常的、少見的 情況下策略的方向確定.給出了一些參考建議。假設(shè)TL-FR5300 WAN 口的IP地址是222.77.77.40 ,內(nèi)網(wǎng)服務(wù)器的IP地址是192.168-1.10,提供的 服務(wù)端口是30 o1, 一般情況如果在FR53OO的LAN區(qū)域建立了服務(wù)器,提供給WAN區(qū)域主機(jī)訪問，我們必須建立從WANLAN的策略。（將白定義服務(wù)里面的服務(wù)端口就設(shè)置為LAN區(qū)域服務(wù)器提供的服務(wù)端口）設(shè)置如下：如上圖，當(dāng)然可以定義別的任何端口，只需要訪問的時(shí)候使川定義端口就可以了。應(yīng)用：

2、1無二1滉層檢測(cè)URL過濾：1蕪zJ 設(shè)蚩1廠啟用UM過魂配置：匚日志：廠啟用廠會(huì)話開対時(shí)記錄動(dòng)作：|允許目的地址：服務(wù):|Test - WAX to LKN新覽址IL金覽址烹頂両匚復(fù)選|a目的地址：服務(wù):|Test - WAX to LKN新覽址IL金覽址烹頂両匚復(fù)選|a新地址匪.77 77.40/ 32朋址表頂|曲二|復(fù)選I Test - X - WAN jJ 復(fù)選 |恥消 幫助NKT轉(zhuǎn)換：&啟用 轉(zhuǎn)換到ip |192 168. 1 100皺射到端口 F認(rèn)證：廠啟用用尸組：用尸：時(shí)間表：國三廠啟用呈小莆寬:)0kbpspg 最夫帝寬：okbps優(yōu)先級(jí):1最曲二1策略設(shè)置如上圖.這個(gè)人家都已

3、經(jīng)會(huì)設(shè)置了。設(shè)置后以屁 WAN區(qū)域主機(jī)主動(dòng)訪問WAN 口 IP地址 的30端, FR5300會(huì)將訪問的數(shù)據(jù)包轉(zhuǎn)發(fā)至內(nèi)網(wǎng)的192.168丄10這臺(tái)主機(jī)，然后192.168.1.10回應(yīng)數(shù)據(jù)包, 連接建立。2,特殊情況上面都是WAN區(qū)域主動(dòng)發(fā)起連接.連接LAN區(qū)域的服務(wù)器，這樣將符介WANLAN策略，可以成功連接。如果用戶的使用環(huán)境中，先是WAN區(qū)域主動(dòng)發(fā)起連接，正常連接服務(wù)器，然后從服務(wù)器上獲取信息的時(shí)候，這個(gè)信息需耍服務(wù)器主動(dòng)發(fā)起新的連接，連接使川的源端口仍然是30這個(gè)服務(wù)端口，丨丨的 端口是客八端的隨機(jī)端口，這樣的連接能否建立呢？答案是不能建立的，雖然我們?cè)O(shè)置了從WAN_LAN的策略，已經(jīng)包

4、含了 H定義的30端口，但是這里是服務(wù)器主動(dòng)發(fā)起的連接，這個(gè)新連接并不能符合從WANLAN的策略，而是必須要重新定義從LAN到WAN的策略，配置如卜:注意和第一幅圖片定義的端I 1位置不同!如上圖再增加這樣一條從LAN-WAN的策略，將源端口 30的數(shù)據(jù)包也就是服務(wù)器的數(shù)據(jù)包權(quán)限開 放，那么才能達(dá)到用戶的需求！也就是如果WAN區(qū)域主機(jī)訪問服務(wù)器后，服務(wù)器主動(dòng)發(fā)起新連接但是源 端口不改動(dòng)，這時(shí)候從WANLAN的策略是不能滿足的，必須再増加一條從LANWAN的策略來開 放服務(wù)器主動(dòng)訪問WAN區(qū)域的權(quán)限才叮以！3,內(nèi)網(wǎng)建立E-mail服務(wù)器的問題如下示意圖:IWAND 222.77.77.40:FR

5、5300T LAND 192.168.1.1TP-LINK E-mail ServerIWAND 222.77.77.40:FR5300T LAND 192.168.1.1女口上圖：在FR53OO的內(nèi)網(wǎng)建立了一臺(tái)TP-LINK Email服務(wù)器，木地的電腦都是在TP-LINK E-mail 服務(wù)器上收發(fā)郵件。外網(wǎng)某主機(jī)使用Yahoo的信箱。如果“外網(wǎng)主機(jī)發(fā)送一封郵件給木地的電腦”，那么數(shù) 據(jù)包的流程是上圖中藍(lán)色線標(biāo)注的先是外網(wǎng)主機(jī)將自己的郵件發(fā)送給口己的E-mail服務(wù)器也就是 Yahoo的郵件服務(wù)器（使用SMTP/WEB協(xié)議），然后Yahoo的郵件服務(wù)器再將郵件發(fā)送給TP-LINK E-ma

6、il 服務(wù)器（使用SMTP協(xié)議），然后本地電腦再從TP丄INK E-mail服務(wù)器上收取郵件（使用POP3/WEB協(xié)議）。如果本地電腦要發(fā)送郵件給外網(wǎng)的Yahoo信箱，流程如下圖:InternetWAN 口 222.77.77.40LAN 口 192.168.1.1SwitchV PCPOP3/WEBSMTP/WEB丄山PCTP-LINKE-mailYahoo E-mail ServerFR5300TP-LINK E-mail ServerV InternetWAN 口 222.77.77.40LAN 口 192.168.1.1SwitchV PCPOP3/WEBSMTP/WEB丄山PCTP-

7、LINKE-mailYahoo E-mail ServerFR5300TP-LINK E-mail ServerV Server192.168.1.10192.168.1.10如上圖:木地電腦先將數(shù)據(jù)包發(fā)送給內(nèi)網(wǎng)的TP-LINK E-mail服務(wù)器（使用SMTP/WEB協(xié)議）,TP-LINKE-mail服務(wù)器再將數(shù)據(jù)發(fā)送給外網(wǎng)的Yahoo E-mail服務(wù)器（使用SMTP協(xié)議）,之后外網(wǎng)的主機(jī)再從Yahoo 郵件服務(wù)器上收取郵件（使用POP3/WEB協(xié)議）。上而的兩次流程，我們可以看到內(nèi)網(wǎng)主機(jī)和外網(wǎng)主機(jī)在互通郵件的時(shí)候，實(shí)際上是：縣發(fā)送給鬥己的E-mail服務(wù)器，然后才是分處內(nèi)外網(wǎng)的兩臺(tái)E-mail服務(wù)器Z間通過SMTP協(xié)議互相發(fā)送郵件的。根據(jù)上而的描述，如果上而這種悄況卜在FR5300 而設(shè)置策略，需要兩條策略:I, WANLAN （源地址）ANY-（目的地址）WAN IP -（預(yù)定義服務(wù)）SMTP-NAT上而這條策略用丁外網(wǎng)的郵件服務(wù)器給內(nèi)網(wǎng)的郵件服務(wù)器發(fā)送郵件。2, LANWAN （源地址）.10- （H的地址）ANY-（預(yù)定義服務(wù)）SMTP/DNS這條策略用八內(nèi)網(wǎng)