《2020年(战略管理)防火墙应用指南(六)——“策略”方向性问题的探讨》由会员分享,可在线阅读,更多相关《2020年(战略管理)防火墙应用指南(六)——“策略”方向性问题的探讨(7页珍藏版)》请在金锄头文库上搜索。
1、防火墙应用指南(六)“策略”方向性问题的探讨在配置TL-FR5300策略的时候,对于策略的方向性需要仔细分辨,本文档对于一些异常的、少见的情况下策略的方向确定,给出了一些参考建议。 假设TL-FR5300 WAN口的IP地址是222.77.77.40 ,内网服务器的IP地址是192.168.1.10,提供的服务端口是30 。1,一般情况如果在FR5300的LAN区域建立了服务器,提供给WAN区域主机访问,我们必须建立从WANLAN的策略。(将“自定义服务”里面的服务端口就设置为LAN区域服务器提供的服务端口)设置如下:如上图,当然可以定义别的任何端口,只需要访问的时候使用定义端口就可以了。策略
2、设置如上图,这个大家都已经会设置了。设置后以后,WAN区域主机主动访问WAN口IP地址的30端口,FR5300会将访问的数据包转发至内网的192.168.1.10这台主机,然后192.168.1.10回应数据包,连接建立。2,特殊情况上面都是WAN区域主动发起连接,连接LAN区域的服务器,这样将符合WANLAN策略,可以成功连接。如果用户的使用环境中,先是WAN区域主动发起连接,正常连接服务器,然后从服务器上获取信息的时候,这个信息需要服务器主动发起新的连接,连接使用的源端口仍然是30这个服务端口,目的端口是客户端的随机端口,这样的连接能否建立呢?答案是不能建立的,虽然我们设置了从WANLAN
3、的策略,已经包含了自定义的30端口,但是这里是服务器主动发起的连接,这个新连接并不能符合从WANLAN的策略,而是必须要重新定义从LAN到WAN的策略,配置如下:注意和第一幅图片定义的端口位置不同!如上图再增加这样一条从LANWAN的策略,将源端口30的数据包也就是服务器的数据包权限开放,那么才能达到用户的需求!也就是如果WAN区域主机访问服务器后,服务器主动发起新连接但是源端口不改动,这时候从WANLAN的策略是不能满足的,必须再增加一条从LANWAN的策略来开放服务器主动访问WAN区域的权限才可以!3,内网建立E-mail服务器的问题如下示意图:如上图:在FR5300的内网建立了一台TP-
4、LINK E-mail服务器,本地的电脑都是在TP-LINK E-mail服务器上收发邮件。外网某主机使用Yahoo的信箱。如果“外网主机发送一封邮件给本地的电脑”,那么数据包的流程是上图中蓝色线标注的先是外网主机将自己的邮件发送给自己的E-mail服务器也就是Yahoo的邮件服务器(使用SMTP/WEB协议),然后Yahoo的邮件服务器再将邮件发送给TP-LINK E-mail服务器(使用SMTP协议),然后本地电脑再从TP-LINK E-mail服务器上收取邮件(使用POP3/WEB协议)。如果本地电脑要发送邮件给外网的Yahoo信箱,流程如下图:如上图:本地电脑先将数据包发送给内网的TP
5、-LINK E-mail服务器(使用SMTP/WEB协议),TP-LINK E-mail服务器再将数据发送给外网的Yahoo E-mail服务器(使用SMTP协议),之后外网的主机再从Yahoo邮件服务器上收取邮件(使用POP3/WEB协议)。上面的两次流程,我们可以看到内网主机和外网主机在互通邮件的时候,实际上是:县发送给自己的E-mail服务器,然后才是分处内外网的两台E-mail服务器之间通过SMTP协议互相发送邮件的。根据上面的描述,如果上面这种情况下在FR5300上面设置策略,需要两条策略:1,WANLAN(源地址)ANY (目的地址)WAN IP (预定义服务)SMTP NAT 上面这条策略用于外网的邮件服务器给内网的邮件服务器发送邮件。2,LANWAN(源地址).10 (目的地址)ANY (预定义服务)SMTP/DNS这条策略用户内网邮件服务器给外网邮件服务器发送邮件。假设没有设置第2条策略,内网用户就发现:自己可以成功发送邮件给外网用户,但是外网用户收不到。因为是成功发送给了内网的邮件服务器,而内网邮件服务器因为没有LAN到WAN的权限,所有外网主机收不到邮件。
