防火墻應用指南虛擬服務器的搭建

/防火墻應用指南（一）——基本配置指導思想注：閱讀本文前，請先詳細閱讀本文最終的紅色部分的提示內(nèi)容。

一概要介紹

新上市的TL-FR5300防火墻產(chǎn)品，主要有兩大功能特點：“攻擊防護”和“策略”。它還有其他許多功能，在這篇文檔里，我們將側(cè)重表述“策略”這一塊，其他功能我們另有特地的表述文檔。當您在看這篇文檔之前，我們希望您能夠先了解一下TL-FR5300的《用戶手冊》，對TL-FR5300運用過程中涉及的諸多概念有確定的了解。

一般狀況下用戶購買了TL-FR5300，將其置于本單位網(wǎng)絡的出口處，作為內(nèi)部網(wǎng)絡全部主機登錄互聯(lián)網(wǎng)的網(wǎng)關(guān)設(shè)備，內(nèi)網(wǎng)主機全部去往互聯(lián)網(wǎng)的數(shù)據(jù)都須要流經(jīng)TL-FR5300，我們對TL-FR5300進行適當配置，就可以對內(nèi)網(wǎng)主機的上網(wǎng)操作進行靈敏的管理。

TL-FR5300處于整個內(nèi)部網(wǎng)絡的出口，默認內(nèi)部網(wǎng)絡（LAN）和外部互聯(lián)網(wǎng)（WAN）是互通的，但建議將這一條默認策略刪除。當內(nèi)部網(wǎng)絡中某一部分主機須要某上網(wǎng)權(quán)限時，網(wǎng)絡管理員只須要在TL-FR5300上面給這一部分主機打開相應的上網(wǎng)權(quán)限，當內(nèi)部網(wǎng)絡另一部分主機須要另外的上網(wǎng)權(quán)限時，管理員只須要在TL-FR5300上打開另一部分上網(wǎng)權(quán)限即可。這就是我們配置TL-FR5300這款防火墻產(chǎn)品時候的基本指導思想——“有需求才開放”。

在運用TL-FR5300的過程中，為了順當實施上面“有需求才開放”的思想，我們極力建議您的網(wǎng)絡是經(jīng)過規(guī)劃的——特殊是“IP地址”這一部分，因為“IP地址”是互聯(lián)網(wǎng)中每臺主機標示自己的唯一標記，TL-FR5300也是通過“IP地址”實現(xiàn)對主機權(quán)限的限制。詳細地說，網(wǎng)絡里具備相同網(wǎng)絡權(quán)限的主機應當從屬于一個組，適應不同網(wǎng)絡權(quán)限的主機從屬于不同的組，而我們在規(guī)劃“IP地址”的時候，既要考慮現(xiàn)有各個組的規(guī)模，也要考慮到以后網(wǎng)絡的增長，不同網(wǎng)絡權(quán)限的主機組運用不同的IP地址段，比如下面不同的組運用不同IP地址段：

管理團隊：～0(/27)

市場部門：5～4(4/27)

銷售部門：29～58(28/27)

當配置TL-FR5300時給不同的IP地址段不同的網(wǎng)絡權(quán)限，那么網(wǎng)絡中某臺主機運用了什么IP地址就具備了什么網(wǎng)絡權(quán)限，這就是網(wǎng)絡經(jīng)過規(guī)劃的好處：

上班時間限制內(nèi)部網(wǎng)絡某臺主機只能登錄互聯(lián)網(wǎng)某個網(wǎng)站服務器。

要實現(xiàn)上面的目的，網(wǎng)絡管理員通過設(shè)置TL-FR5300的“策略”，將上面這個想要實現(xiàn)的目的體現(xiàn)出來就可以。在這條“策略/規(guī)則”設(shè)置的過程當中，“內(nèi)網(wǎng)某主機、互聯(lián)網(wǎng)某網(wǎng)站服務器、可以登錄”這些都屬于“策略/規(guī)則”的基本組成部分，“上班時間”屬于“策略/規(guī)則”的可選組成部分。

“策略”可分為基本組成部分和可選組成部分。基本組成部分有：信息流的方向、信息流的源地址、信息流的目的地址、禁止/允許通過?？蛇x組成部分有：時間、平安認證、流量限制、深層檢測、日志等。

在TL-FR5300里面將“策略”的組成部分稱之為“對象”，當須要設(shè)置一條“策略”的時候，要考慮一下即將設(shè)置的“策略”都包含哪些“對象”？TL-FR5300有特地用于定義“對象”的配置界面，比如策略里面涉及“上班時間”，那么配置策略之前，要先在“對象”-“時辰表”里面將“上班時間”體現(xiàn)出來，然后在“策略”配置過程中引用先設(shè)定好的“上班時間”這個“對象”，那么這樣設(shè)置的“策略”才能在“上班時間”生效。簡潔的說這就是“策略”和“對象”的關(guān)系?？梢哉f多個不同的“對象”通過組合最終生成了一條“策略”。

TL-FR5300的“策略”可由如下可選“對象”組成：IP地址、IP地址組、服務、服務組、動作、時辰表、應用、深層檢測、網(wǎng)絡地址轉(zhuǎn)換、用戶認證、QoS限制、URL過濾、日志。

二舉例以及說明

下面我們通過一些簡潔的“策略”設(shè)置過程，來詳細地描述“策略”和“對象”是一個怎樣的關(guān)系？它們是怎樣運用的？

1,銷售部員工張三只能登錄阿里巴巴網(wǎng)站。

分析：通過設(shè)置TL-FR5300的“策略”實現(xiàn)上面的目的，這條“策略”包含的“對象”有：張三（運用的IP地址）、阿里巴巴（網(wǎng)站服務器IP地址）、可以登錄（網(wǎng)站）。

設(shè)置：設(shè)置過程分兩部分，分別是設(shè)置“對象”和“策略”，設(shè)置“對象”是為了“策略”引用它，設(shè)置“策略”是為了最終實現(xiàn)我們的限制目的。

如上圖選擇了“對象”-“IP地址”，設(shè)置界面如下圖：

如上圖要在“區(qū)域”選擇LAN，因為張三處于公司內(nèi)網(wǎng)也就是TL-FR5300定義的LAN區(qū)域，選擇后點擊“新增”按鈕，界面如下圖：

如上圖：

“IP地址名字”建議具備可讀性，張三是銷售部員工，這里取為“Sales–張三”。

“說明”是對本IP地址的簡潔說明說明。給張三配置的IP地址為29。

“子網(wǎng)掩碼”填為32表示這里是單個IP地址。

設(shè)置完后點擊確定按鈕返回上一級界面如下圖：

在“對象”里設(shè)置完了張三的IP地址后，還須要設(shè)置阿里巴巴網(wǎng)站的IP地址，通過PING阿里巴巴中文網(wǎng)站的域名alibaba我們可以得到網(wǎng)站服務器對應的IP地址是，因為阿里巴巴網(wǎng)站在外部互聯(lián)網(wǎng)上，也就是TL-FR5300定義的WAN區(qū)域，所以這次新增IP地址的時候確定要先選擇WAN區(qū)域，然后新增，界面如下圖：

或者不設(shè)置服務器的IP地址而干脆填入阿里巴巴中文網(wǎng)站域名也可以，如下圖：

點擊“確定”按鈕后返回上一級頁面，選擇“區(qū)域”為全部，并點擊“顯示”按鈕，可以看到剛才分別在LAN和WAN區(qū)域新增的兩個IP地址對象，如下圖：

準備好了“對象”以后，我們就可以在“策略”里面進行配置了！因為本策略描述的對象，是張三的電腦主動向阿里巴巴網(wǎng)站發(fā)起連接，所以在設(shè)置策略的時候確定要留意“區(qū)域”的選擇是從LAN——>WAN這個方向，配置界面如下：

上圖是一個復合的圖片：

“策略名”建議具備確定的可讀性，便于日常維護！

“源地址”引用IP地址對象里張三的IP地址。

“目的地址”引用IP地址對象里阿里巴巴網(wǎng)站服務器IP地址。

“服務”粉紅色勾畫的服務這一行后面的“復選”按鈕，點擊后彈出下半部分界面，選擇了兩種服務分別是DNS和，因為訪問阿里巴巴網(wǎng)站前電腦先要聯(lián)系互聯(lián)網(wǎng)DNS服務器解析阿里巴巴網(wǎng)站域名對應的IP地址，然后才向這個服務器IP地址發(fā)起請求，也就是登錄網(wǎng)站的過程，選擇好服務以后點擊“確定”按鈕，有關(guān)“服務”的詳細描述，請參考我們的《防火墻應用指南》系列文檔之《防火墻應用指南（二）——虛擬服務器的搭建》。

返回策略設(shè)置界面如下圖：

如上圖，策略設(shè)置界面的全部“對象”中，只涉及到了基本組成部分也就是紅線勾畫的部分，其他可選組成部分的對象都沒有涉及，改動后點擊確定，返回上一級配置界面，如下圖：

就是這樣，想要實現(xiàn)“銷售部員工張三只能登錄阿里巴巴網(wǎng)站”這樣目的，通過上面這個設(shè)置過程就完成了?？雌饋砥荛L，其實嫻熟設(shè)置的時候所需時間是很短的！

2，銷售部員工張三上班時間只能登錄阿里巴巴網(wǎng)站。

這第2個例子我們在第一個例子的基礎(chǔ)上，增加了“上班時間”這個對象，那么是怎樣實現(xiàn)這個目的呢？

分析：依據(jù)在第1個例子中的分析，只要再加上“對象”-“時辰表”里面再加入上班時間段就可以了。設(shè)置策略的時候，除了第1個例子里面改動的“對象”以外，再多改動一個“時辰表”的參數(shù)就可以了。

設(shè)置：增加時辰表“對象”，在TL-FR5300設(shè)置界面“對象”-“時辰表”里面，新增時辰表如下圖：

“時辰表名”和“說明”：具備可讀性，便于日常維護管理。

“多次”和“單次”：多次表示時間是循環(huán)生效的，本周適用下周照舊適用。單次是在起先日期和結(jié)束日期這一段時間內(nèi)一次性生效，超出這個時間段的則不能生效。這里“多次”和“單次”接受了復選框的方式，表示可以同時兩項都選擇，或者每次選擇其中一種方式。留意：假如“多次”和“單次”都選中，則它們的關(guān)系是“或”的關(guān)系。也就是說，時辰表生效時間在“多次”定義的時間段內(nèi)或者“單次”定義的時間段內(nèi)。它們是“并集”的關(guān)系，而不是“交集”的關(guān)系，不行理解為“在單次定義的時間段內(nèi)的每周一至周六”！

要確保“時辰表”這個對象能夠生效，有個地方須要留意，就是TL-FR5300配置選項里面的“系統(tǒng)工具”—“時間設(shè)置”，配置界面如下：

上圖中的紅色文字已經(jīng)進行了強調(diào)，想要時辰表生效，必需從互聯(lián)網(wǎng)上獲得標準的GMT時間或者干脆指定一個當前時間。設(shè)置好時間后TL-FR5300會始終保存時間，不會因為設(shè)備斷電而時間失效。

好了，上面添加了“時辰表”這個對象，然后我們干脆在“策略”里面找到剛才設(shè)置的從LAN—>WAN的策略，并重新編輯它，如下圖：

如上圖，在原有策略基礎(chǔ)上“時辰表”這個對象里面選擇了“上班時間”，然后確定就可以了！這樣就實現(xiàn)了“銷售部員工張三上班時間只能登錄阿里巴巴網(wǎng)站”，過程很簡潔。

3，銷售部員工張三和李四上班時間只能登錄阿里巴巴網(wǎng)站。

分析：上面的例子中，兩次配置“策略”引用“源地址”這個對象的時候，都只是引用了張三的IP地址，這次還要再多引用一個銷售部員工李四，那只要在TL-FR5300的“對象”-“IP地址”里面將李四的IP地址也設(shè)置好，就可以引用了。

配置：如下圖在“對象”-“IP地址”里面新增銷售部員工李四的IP地址：

確定要留意新增的李四的IP地址要選在LAN這個區(qū)域！然后點擊“新增”按鈕，如下圖：

設(shè)定完之后點擊“確定”按鈕就可以了。在TL-FR5300的“對象”里面有個“IP地址組”，就是將已設(shè)定的具備相同屬性的“IP地址”歸并為一組，比如這里將“Sales–張三”和“Sales–李四”歸并為一組命名為“Sales”，這樣在配置“策略”時候引用“源地址”可以不必張三李四分別引用兩次，只須要引用一次“Sales”組就可以了。“IP地址組”設(shè)置如下圖：

如上圖留意新增的區(qū)域是“LAN”，詳細配置界面如下：

“組名”為Sales。

“說明”為salesgroup表示銷售部。

從“備選”里面選擇特定對象添加到“已選”框內(nèi)，“確定”完成配置，返回上一級頁面。

如上圖看到IP地址組里面多了一個Sales組，包含成員“李四”、“張三”。有了上面這些準備，起先修改前面的“策略”，如下圖：

“策略名”進行了更改，將以前的Sales–zhangsan–alibaba改為現(xiàn)在的Sales–alibaba。

“源地址”由張三的IP改為銷售IP地址組Sales。

其他對象保持之前的狀態(tài)不變即可，最終點擊“確定”按鈕即完成了配置，如下圖：

可以看到從LAN到WAN的策略里，ID為3的策略正是我們剛剛完成的。

以后假如銷售部增加新員工王五，支配了IP為31，上網(wǎng)權(quán)限和張三、李四都是一樣，那只須要在“對象”-“IP地址”里面新增王五的IP地址，然后將新增的王五的IP地址添加到“IP地址組”-Sales這個組里面，不須要改動策略，那么王五的網(wǎng)絡權(quán)限就和前面幾位員工的相同了。

4，銷售部員工上班時間只能登錄阿里巴巴網(wǎng)站。

分析：前面我們舉了3個例子，來說明一條簡潔的策略如何設(shè)置？我們發(fā)覺，每次銷售部新增員工，都須要網(wǎng)絡管理員在“對象”-“IP地址”里面新增，然后再將新增的IP地址歸并到“IP地址組”里Sales的小組，這樣的過程比較麻煩！有沒有更快捷的設(shè)置方式？

當然有了！一起先我們就提倡假如運用TL-FR5300我們極力舉薦您的網(wǎng)絡先做好規(guī)劃，比如網(wǎng)絡管理員依據(jù)現(xiàn)有狀況以及今后一段時間內(nèi)的網(wǎng)絡增長預期，將IP地址段29–59預留支配給銷售部員工運用，銷售部員工的網(wǎng)絡權(quán)限都是相同的。

前面設(shè)置的策略里，“源地址”曾單獨選擇過“Sales–張三”和包含張三李四的“Sales”,假如我們將Sales這個組一起先就定義成包含29–59這一段IP地址，然后在“策略”設(shè)置的時候“源地址”引用“Sales”，這樣配置一條策略相當于一次配置了29–59這30個IP地址，都是“上班時間只能登錄阿里巴巴網(wǎng)站”的權(quán)限。接下來當然是將已設(shè)置的IP地址單獨支配給張三、李四、王五運用，等以后趙六加入了銷售部，網(wǎng)絡管理員不用改動TL-FR5300的配置，只須要告知趙六運用32這個IP地址就可以了，這樣將網(wǎng)絡預先進行確定的規(guī)劃，然后配置網(wǎng)絡設(shè)備可以收到事半功倍的效果。

配置：就上面的分析，我們進行如下的配置即可快速實現(xiàn)。如下圖在TL-FR5300的“對象”-“IP地址”里面，在LAN區(qū)域新增IP地址參數(shù)：

單擊“確定”按鈕后返回上一級設(shè)置界面，如下圖：

如上圖紅線勾畫，對比“Sales–張三”和“SalesGroup”的圖標，“Sales–張三”的圖標是單臺電腦表示只包含1個IP，而“SalesGroup”是多臺重疊的圖標，表示一個IP地址段，這個IP地址段的網(wǎng)段地址是28，網(wǎng)段內(nèi)可用IP地址范圍是29–58總共包含30個可用的IP地址,這個段的廣播地址是59。

上面設(shè)置的過程中，因為接受了“變長子網(wǎng)掩碼”的方法——即將默認的24位子網(wǎng)掩碼加長到27位，所以取得了一條設(shè)置表示一段IP地址的結(jié)果。

假如在配置的過程當中，填入的不是28/27而是默認的28/24，這樣設(shè)置在TL-FR5300里面也是允許的，這樣設(shè)置的結(jié)果和填入/24的結(jié)果是相同的，就是產(chǎn)生了一個–54的可用IP地址段。因為我們這里舉例網(wǎng)絡規(guī)劃的時候并沒有給銷售部254個IP地址，而是給了30個IP地址，所以我們填入的子網(wǎng)掩碼不是24而是27。

對于28/24和28/27表示的IP地址范圍不同這樣一個事實，屬于網(wǎng)絡公共基礎(chǔ)學問，這里限于篇幅我們就不做過多地介紹了。假如您想要搞清楚其中的微小環(huán)節(jié)，可找尋一些“IP地址和子網(wǎng)掩碼”方面的書籍或者相關(guān)RFC文檔參考學習一下。

經(jīng)過上面的準備，只須要在“策略”里面將“源地址”選擇“SalesGroup”，其余參數(shù)不變，我們就可以通過一條策略實現(xiàn)：一個包含30個IP地址“上班時間只能訪問阿里巴巴網(wǎng)站”的目的。界面如下：

5，保存、配置備份和載入

TL-FR5300全部參數(shù)在設(shè)置的時候，是即時生效的，但是這個時候參數(shù)是沒有保存的，假如未保存設(shè)備重新啟動以后全部配置的參數(shù)都會丟失，提示您每次階段性完成參數(shù)配置后，在“系統(tǒng)工具”-“保存配置”頁面對全部已修改參數(shù)進行保存，界面如下圖：

TL-FR5300還有一個特殊有用的功能，就是“配置備份和載入”，在“系統(tǒng)工具”-“配置備份和載入”，功能界面如下圖：

當保存了已修改參數(shù)以后，可以通過點擊上圖紅色標注的按鈕“備份配置文件”來備份當前配置，界面如下圖：

點擊“保存”按鈕并選擇保存的路徑，然后保存即可，等到有須要的時候，可以通過上面的“載入配置文件”的選項來完成。

三關(guān)聯(lián)信息

TL-FR5300的功能，在這里沒有一一介紹，本文檔前面兩部分只是從總體概念上介紹了TL-FR5300最顯著的功能特點——如何對內(nèi)網(wǎng)進行靈敏的管理，但是內(nèi)容還是不夠豐富！針對這部分我們會在后面的系列文檔中不斷補充。

上面的幾個例子中，“策略”的可選“對象”部分，比如：應用、深層檢測、URL過濾、NAT轉(zhuǎn)換、認證等等，請參考我們的《防火墻應用指南》系列文檔之《防火墻應用指南——（二）虛擬服務器的搭建》和《防火墻應用指南——（三）企業(yè)典型應用》。

對于TL-FR5300的“日志服務器”的運用，請參考我們的《防火墻應用指南》系列文檔之《防火墻應用指南——（四）日志服務器的安裝和運用》。

對于TL-FR5300的“攻擊防護”功能的運用，請參考我們的《防火墻應用指南》系列文檔之《防火墻應用指南——（五）攻擊防護試驗演示》。

在本文中，我們舉例的主體是員工張三訪問阿里巴巴網(wǎng)站的權(quán)限，建立阿里巴巴這個IP對象時，我們運用“對象”－“IP對象”中的“域名”方式來實現(xiàn)的（填入域名時，TL-FR5300會自動將這個域名解析成為IP地址，就像在電腦上運用nslookup叮囑去解析一樣），但是，假如要限制的目的網(wǎng)站是搜狐（sohu）、網(wǎng)易（163）等門戶網(wǎng)站時，就不能運用本文的在IP對象中添加域名的方式去設(shè)置，因為象搜狐（sohu）、網(wǎng)易（163）等這類門戶網(wǎng)站所接受的服務器太多，而且對應了多個不同的域名，如搜狐（sohu）的新聞叫做news.sohu，搜狐（sohu）的體育是sports.sohu，沒有任何前綴的sohu又是另外一個域名，對應著不同的服務器IP，不像阿里巴巴中文只對應著一個服務器和公網(wǎng)IP。這種狀況下，我們?nèi)允沁\用在IP對象中添加一個或sohu的話，是不能達到需求的。

總結(jié)：假如您的目的是限制某人不能或能訪問什么網(wǎng)站的話，請參考《防火墻應用指南（七）――URL過濾功能運用舉例》，本文旨在告知我們：設(shè)置一個策略前須要些什么準備工作？怎么去設(shè)置一個策略？怎么結(jié)合多條件去限制員工權(quán)限？（如時間）

防火墻應用指南（二）——虛擬服務器的搭建在您接著了解本文檔下面的內(nèi)容之前，我們建議您能夠先了解參考一下我們的《防火墻應用指南》系列文檔之《防火墻應用指南（一）——基本配置指導思想》。下面將詳細介紹在運用TL-FR5300的狀況下如何在內(nèi)網(wǎng)搭建“虛擬服務器”供外網(wǎng)主機訪問？一，拓撲模型說明：如上圖所示，運用了TL-FR5300這款防火墻之后，想要從Interne上一臺主機訪問處于TL-FR5300內(nèi)網(wǎng)的一臺服務器，因為默認狀況下從Internet上訪問來的數(shù)據(jù)包只能到達TL-FR5300的WAN口，假如這個數(shù)據(jù)包想要經(jīng)過TL-FR5300到達內(nèi)網(wǎng)的服務器，就須要我們對TL-FR5300進行適當?shù)脑O(shè)置，也就是本文檔所要闡述的內(nèi)容。假設(shè)我們搭建的是一臺WEB服務器，服務器監(jiān)聽的端口是80，那么Internet上的主機在訪問的時候不行能通過訪問服務器，因為是私網(wǎng)IP地址在互聯(lián)網(wǎng)上不行路由的，只能通過來訪問，這里的就是路由器的WAN口公網(wǎng)IP地址。外網(wǎng)隨意一臺主機訪問過來的數(shù)據(jù)包結(jié)構(gòu)我們可以用下圖來表示：現(xiàn)在我們對上面的數(shù)據(jù)包結(jié)構(gòu)簡潔分析一下：“源IP”：主機發(fā)送的數(shù)據(jù)包在Internet上傳輸?shù)臅r候，用這個字段表明是誰發(fā)送的數(shù)據(jù)包？“目的IP”：數(shù)據(jù)包中這個字段標明這個數(shù)據(jù)包是發(fā)往Internet上那個節(jié)點的？這個字段填入目的地主機的IP地址?！霸炊丝凇保褐鳈C在發(fā)送數(shù)據(jù)包的時候隨即選取的一個數(shù)值，用于標識本機應用。“目的端口”：數(shù)據(jù)包里的這個字段定義了目的主機上那個應用程序接收處理本數(shù)據(jù)包，比如本例中目的端口就是我們建立在TL-FR5300內(nèi)網(wǎng)的服務器上的服務端口，假設(shè)我們在主機上建立的是WEB服務器而且運用80端口作為服務端口，那么這里的“目的端口”就是80，假設(shè)我們在主機上建立的是FTP服務器而且運用21端口作為服務端口，那么這里的“目的端口”就是21。DATA：數(shù)據(jù)包攜帶的內(nèi)容，比如要訪問WEB服務器上的什么資源就在這一部分表述。那么我們思索一下：當互聯(lián)網(wǎng)上許多主機來訪問處于TL-FR5300內(nèi)網(wǎng)的服務器的時候，那些訪問到來的數(shù)據(jù)包，“源IP”這個參數(shù)就是不固定的，而“目的IP”這個參數(shù)卻是固定的TL-FR5300的WAN口IP地址。當外網(wǎng)訪問的數(shù)據(jù)包抵達TL-FR5300的WAN口以后，TL-FR5300收取數(shù)據(jù)包并依據(jù)我們配置的策略規(guī)則將數(shù)據(jù)包轉(zhuǎn)發(fā)至內(nèi)網(wǎng)的服務器，這樣，Internet上的主機就可以成功訪問到處于TL-FR5300內(nèi)網(wǎng)的服務器了。二，實現(xiàn)過程1，建立好服務器

舉例：我們建立了一臺WEB服務器，為了測試服務器是否建立好了，我們可以在內(nèi)網(wǎng)另一臺主機上通過來嘗試訪問建立的WEB服務器，假如成功訪問那說明服務器已經(jīng)建立好了。2，建立服務器的主機須要配置“默認網(wǎng)關(guān)”的地址，這里必需是TL-FR5300的LAN口IP地址。下圖是Windows2000操作系統(tǒng)上配置TCP/IP參數(shù)的界面：如上圖所示，建立服務器的主機除了配置自己的IP地址以外，還必需配置網(wǎng)關(guān)的地址，也就是TL-FR5300的LAN口IP地址。3，TL-FR5300的配置首先，在TL-FR5300配置界面選擇“對象”-“IP地址”，然后在“IP地址”頁面添加內(nèi)網(wǎng)建立服務器的主機的IP地址。如下圖所示：選擇“區(qū)域”-“LAN”，然后點擊右面的“新增”按鈕，如下圖：圖片中：“IP地址名字”——就是給添加的IP地址取一個名字，用以在設(shè)置“策略”的時候被引用?！罢f明”——因為實際配置過程中會增加許多IP地址，所以對IP地址進行適當?shù)恼f明，以便于在配置“策略”進行引用的時候，知道所引用對象代表的哪個主機?！癐P地址或域名”——因為我們這里只添加建立服務器的一臺主機的IP地址，所以在后面的掩碼部位輸入32表示單個IP地址。最終點擊“確定”按鈕，退回上一級界面，可以看到新增的一個IP地址對象。然后接著在“LAN”區(qū)域新增一個IP地址對象，這次是要將TL-FR5300面對Internet的WAN口IP地址作為“對象”體現(xiàn)出來，在配置策略的時候會用到，如下圖：如上圖“IP地址名字”和“說明”的作用同前面是一樣，這里就不再贅述。好了，做好上面的準備工作后，接下來我們配置“策略”，如下圖：點擊后在界面右半部分顯出如下圖片因為我們即將在“策略”里面定義的規(guī)則是TL-FR5300轉(zhuǎn)發(fā)從WAN口收取到的數(shù)據(jù)包并發(fā)往內(nèi)網(wǎng)的服務器，在這個過程中數(shù)據(jù)包是從WAN口到LAN口方向的，所以上圖中的“區(qū)域”須要選成“從WAN到LAN”，然后點擊“新增”按鈕，如下圖：現(xiàn)在我們對上圖中配置的參數(shù)做一個說明：圖片右上角，確認本策略是從WAN—>LAN方向的，因為我們這條策略定義的數(shù)據(jù)包是從WAN—>LAN方向的。“策略名”——為了便于管理員日常維護，建議策略名的選取最好是具備可讀性，本例中取為“WEB-Server”。在TL-FR5300的策略匹配過程中，是從前往后（/從上往下）逐條匹配，一旦匹配則不再接著查詢下面的策略。所以選中了“加在最前面”，這樣當TL-FR5300收到數(shù)據(jù)包的時候，在推斷數(shù)據(jù)包應當如何轉(zhuǎn)發(fā)的時候，會先參考本策略是否匹配？默認從WAN——>LAN沒有策略，所以本例中這個參數(shù)也可以不選擇?！霸吹刂贰薄驗閺腎nternet上訪問本服務器的主機是不確定的，我們也不知道哪些主機將會訪問我們建立在內(nèi)網(wǎng)的服務器，所以本例中將“源地址”選為ANY表示從Internet上訪問到來的任何主機IP地址都將適配本策略?！澳康牡刂贰薄饩W(wǎng)訪問本服務器的時候數(shù)據(jù)包從Internet上發(fā)送過來，被TL-FR5300的WAN口接收，所以WAN口IP地址就是目的IP地址?！胺铡薄x外網(wǎng)訪問過來的數(shù)據(jù)包的端口號。TL-FR5300已經(jīng)預先定義了許多“預定義服務”，這個參數(shù)是對數(shù)據(jù)包端口號的描述，本例中我們選擇了作為服務，為什么？在TL-FR5300的“預定義服務”這個對象里面已經(jīng)包含許多參數(shù)，對的表述參數(shù)如下圖，可以看到對應的端口號范圍源是全部端口，目的是80，在本例中策略選中“服務”意思就是說：外網(wǎng)訪問到來的數(shù)據(jù)包，“目的端口”是80將符合本策略的端口范圍?！皠幼鳌薄纠挟斎皇沁x擇允許（通過）。“NAT轉(zhuǎn)換”——這個參數(shù)確定要啟用，這個參數(shù)也是特地針對本例這種“虛擬服務器”的搭建而設(shè)計的參數(shù)，搭建虛擬服務器就必定運用這個參數(shù)?！稗D(zhuǎn)換到IP”顧名思義就是接收到外網(wǎng)符合條件的數(shù)據(jù)包后轉(zhuǎn)發(fā)到內(nèi)網(wǎng)的哪個IP地址的主機？“映射到端口”填的是內(nèi)網(wǎng)服務器的服務端口。經(jīng)過上面這幾個參數(shù)的配置后，策略就算是設(shè)置完成了，最終點擊“確定”按鈕就行了。如下圖可以看到從WAN——>LAN新增了一條策略，策略的源地址ANY表示任何源地址，發(fā)送到目的地址也就是TL-FR5300的WAN口IP，數(shù)據(jù)包訪問的是80端口，那么TL-FR5300就將數(shù)據(jù)包轉(zhuǎn)發(fā)至內(nèi)網(wǎng)。三，深化理解假設(shè)現(xiàn)在內(nèi)網(wǎng)主機也建立了一臺WEB服務器，也運用80端口作為服務端口，那么在Internet上除了可以訪問上建立的WEB服務器以外，能不能訪問這臺主機上面的WEB服務器呢？當然也是可以的。在本文檔一起先我們就對從Internet訪問過來的數(shù)據(jù)包結(jié)構(gòu)進行了分析，數(shù)據(jù)包結(jié)構(gòu)里面有“目的端口”這個參數(shù)，假設(shè)Internet上的主機要訪問TL-FR5300內(nèi)網(wǎng)上面建立的WEB服務器，依據(jù)上面策略的配置處于外部互聯(lián)網(wǎng)上的主機只須要在IE閱讀器里面通過就可以訪問上建立的WEB服務器了，假如這時候外部主機想要訪問建立在上面的WEB服務器，那么還能通過訪問嗎？那當然不行了！都是同樣的訪問過來，都是訪問目的端口是80的服務，數(shù)據(jù)包結(jié)構(gòu)沒有任何差異，TL-FR5300作為機器怎么可能知道該轉(zhuǎn)發(fā)給還是0？所以，外網(wǎng)主機想要訪問建立在主機上的WEB服務，在訪問的時候須要通過不同的參數(shù)來表達自己想要訪問的是內(nèi)網(wǎng)的那臺主機？比如可以通過://33:88，也就是說數(shù)據(jù)包的“目的端口”不是默認的80端口了而是88端口，如下圖的對比，這樣當不同的數(shù)據(jù)包發(fā)送過來的時候TL-FR5300就可以辨別了：在配置前面的策略的時候，我們已經(jīng)看到對于目的端口是80的限定在“預定義服務”里面已經(jīng)存在了，但是目的端口是88的并沒有，所以我們要在“自定義服務”里面將我們須要的88端口定義出來，如下圖所示選擇“對象”-“自定義服務”-“新增”：設(shè)定好了“自定義服務”以后，接著配置策略，如下圖：說明：留意策略適用的區(qū)域范圍！“策略名”——為了和前一條WEB服務器的策略區(qū)分開來，這里取了“WEB-Server-Two”作為策略名。數(shù)據(jù)包的“源地址”和“目的地址”和上一條策略都是一樣的?！胺铡薄褪俏覀儗ν饩W(wǎng)訪問過來的數(shù)據(jù)包端口的限定，選擇我們“自定義的服務”-Two。“NAT轉(zhuǎn)換”——填入新的服務器主機地址0和服務端口80，假如這臺服務器不是用80端口作為服務端口而運用8000作為服務端口，那么我們在這里就須要填入8000，就是告知TL-FR5300將數(shù)據(jù)包轉(zhuǎn)發(fā)到主機上的哪個監(jiān)聽端口？最終“確定”就可以完成策略配置，返回上一級頁面，可以看到如下圖所示的信息，可以看到從WAN——>LAN方向上目前建立了兩條策略。四，F(xiàn)TP服務器的搭建假如內(nèi)網(wǎng)主機建立了一臺FTP服務器供外網(wǎng)訪問，服務端口是21，要怎樣配置TL-FR5300呢？既然服務器供應的服務端口是21，那就是說外網(wǎng)的主機訪問的時候數(shù)據(jù)包“目的端口”就21，這個在TL-FR5300的“預定義服