收藏
下载资源

防火墙应用指南(二)——虚拟服务器的搭建

上传人:wm****3 文档编号:42128964 上传时间:2018-06-01 格式:DOC 页数:17 大小:566.50KB
返回 下载 相关 举报
防火墙应用指南(二)——虚拟服务器的搭建_第1页
第1页 / 共17页
防火墙应用指南(二)——虚拟服务器的搭建_第2页
第2页 / 共17页
防火墙应用指南(二)——虚拟服务器的搭建_第3页
第3页 / 共17页
防火墙应用指南(二)——虚拟服务器的搭建_第4页
第4页 / 共17页
防火墙应用指南(二)——虚拟服务器的搭建_第5页
第5页 / 共17页
点击查看更多>>
资源描述

《防火墙应用指南(二)——虚拟服务器的搭建》由会员分享,可在线阅读,更多相关《防火墙应用指南(二)——虚拟服务器的搭建(17页珍藏版)》请在金锄头文库上搜索。

1、防火墙应用指南(二)防火墙应用指南(二)虚拟服务器的搭建虚拟服务器的搭建在您继续了解本文档下面的内容之前,我们建议您能够先了解参考一下我们的防火墙应用指南系列文档之防火墙应用指南(一)基本配置指导思想 。 下面将详细介绍在使用 TL-FR5300 的情况下如何在内网搭建“虚拟服务器”供外网主机访问?一,拓扑模型一,拓扑模型说明:说明:如上图所示,使用了 TL-FR5300 这款防火墙之后,想要从 Interne 上一台主机访问处于 TL-FR5300 内网的一台服务器,因为默认情况下从 Internet 上访问来的数据包只能到达 TL-FR5300 的 WAN口,如果这个数据包想要经过 TL-

2、FR5300 到达内网的服务器,就需要我们对 TL-FR5300 进行适当的设置,也就是本文档所要阐述的内容。假设我们搭建的是一台 WEB 服务器,服务器监听的端口是 80 ,那么 Internet 上的主机在访问的时候不可能通过 http:/192.168.1.20 访问服务器,因为 192.168.1.20 是私网 IP 地址在互联网上不可路由的,只能通过 http:/222.77.77.233 来访问,这里的 222.77.77.233 就是路由器的 WAN 口公网 IP 地址。外网任意一台主机访问过来的数据包结构我们可以用下图来表示:现在我们对上面的数据包结构简单分析一下:“源 IP”

3、:主机发送的数据包在 Internet 上传输的时候,用这个字段表明是谁发送的数据包?“目的 IP”:数据包中这个字段标明这个数据包是发往 Internet 上那个节点的?这个字段填入目的地主机的 IP 地址。“源端口”:主机在发送数据包的时候随即选取的一个数值,用于标识本机应用。“目的端口”:数据包里的这个字段定义了目的主机上那个应用程序接收处理本数据包,比如本例中目的端口就是我们建立在 TL-FR5300 内网的服务器上的服务端口,假设我们在 192.168.1.20 主机上建立的是 WEB 服务器而且使用 80 端口作为服务端口,那么这里的“目的端口”就是 80 ,假设我们在192.16

4、8.1.20 主机上建立的是 FTP 服务器而且使用 21 端口作为服务端口,那么这里的“目的端口”就是 21 。DATA :数据包携带的内容,比如要访问 WEB 服务器上的什么资源就在这一部分表述。那么我们思考一下:当互联网上许多主机来访问处于那么我们思考一下:当互联网上许多主机来访问处于 TL-FR5300 内网的服务器的时候,那些访问内网的服务器的时候,那些访问到来的数据包,到来的数据包, “源源 IP”这个参数就是不固定的,而这个参数就是不固定的,而“目的目的 IP”这个参数却是固定的这个参数却是固定的 TL-FR5300 的的 WAN 口口IP 地址。地址。当外网访问的数据包抵达 T

5、L-FR5300 的 WAN 口以后,TL-FR5300 收取数据包并按照我们配置的策略规则将数据包转发至内网的服务器,这样,Internet 上的主机就可以成功访问到处于 TL-FR5300 内网的服务器了。二,实现过程二,实现过程1,建立好服务器 举例:我们建立了一台 WEB 服务器,为了测试服务器是否建立好了,我们可以在内网另一台主机上通过 http:/192.168.1.20 来尝试访问建立的 WEB 服务器,如果成功访问那说明服务器已经建立好了。 2,建立服务器的主机需要配置“默认网关”的地址,这里必须是 TL-FR5300 的 LAN 口 IP 地址。下图是 Windows2000

6、 操作系统上配置 TCP/IP 参数的界面: 如上图所示,建立服务器的主机除了配置自己的 IP 地址以外,还必须配置网关的地址,也就是 TL-FR5300 的 LAN 口 IP 地址。3,TL-FR5300 的配置 首先,在 TL-FR5300 配置界面选择“对象”-“IP 地址”,然后在“IP 地址”页面添加内网建立服务器的主机的 IP 地址。如下图所示:选择“区域”-“LAN”,然后点击右面的“新增”按钮,如下图:图片中:“IP 地址名字”就是给添加的 IP 地址取一个名字,用以在设置“策略”的时候被引用。“说明”因为实际配置过程中会增添很多 IP 地址,所以对 IP 地址进行适当的说明,

7、以便于在配置“策略”进行引用的时候,知道所引用对象代表的哪个主机。“IP 地址或域名”因为我们这里只添加建立服务器的一台主机的 IP 地址,所以在后面的掩码部位输入 32 表示单个 IP 地址。最后点击“确定”按钮,退回上一级界面,可以看到新增的一个 IP 地址对象。然后继续在“LAN”区域新增一个 IP 地址对象,这次是要将 TL-FR5300 面向 Internet 的 WAN 口 IP地址作为“对象”体现出来,在配置策略的时候会用到,如下图:如上图“IP 地址名字”和“说明”的作用同前面是一样,这里就不再赘述。好了,做好上面的准备工作后,接下来我们配置“策略”,如下图:点击后在界面右半部

8、分显出如下图片因为我们即将在“策略”里面定义的规则是 TL-FR5300 转发从 WAN 口收取到的数据包并发往内网的服务器,在这个过程中数据包是从 WAN 口到 LAN 口方向的,所以上图中的“区域”需要选成“从 WAN 到LAN”,然后点击“新增”按钮,如下图:现在我们对上图中配置的参数做一个说明:o图片右上角,确认本策略是从 WANLAN 方向的,因为我们这条策略定义的数据包是从 WANLAN 方向的。 o“策略名”为了便于管理员日常维护,建议策略名的选取最好是具备可读性,本例中取为“WEB-Server”。在 TL-FR5300 的策略匹配过程中,是从前往后(/从上往下)逐条匹配,一旦

9、匹配则不再继续查询下面的策略。所以选中了“加在最前面”,这样当 TL-FR5300 收到数据包的时候,在判断数据包应该如何转发的时候,会先参考本策略是否匹配?默认从 WANLAN 没有策略,所以本例中这个参数也可以不选择。 o“源地址”因为从 Internet 上访问本服务器的主机是不确定的,我们也不知道哪些主机将会访问我们建立在内网的服务器,所以本例中将“源地址”选为 ANY 表示从 Internet上访问到来的任何主机 IP 地址都将适配本策略。 o“目的地址”外网访问本服务器的时候数据包从 Internet 上发送过来,被 TL-FR5300的 WAN 口接收,所以 WAN 口 IP 地

10、址就是目的 IP 地址。 o“服务”定义外网访问过来的数据包的端口号。TL-FR5300 已经预先定义了很多“预定义服务”,这个参数是对数据包端口号的描述,本例中我们选择了 HTTP 作为服务,为什么?在 TL-FR5300 的“预定义服务”这个对象里面已经包含很多参数,对 HTTP 的表述参数如下图,可以看到 HTTP 对应的端口号范围源是所有端口,目的是 80 ,在本例中策略选中“服务”HTTP 意思就是说:外网访问到来的数据包, “目的端口”是 80 将符合本策略的端口范围。 o“动作”本例中当然是选择允许(通过) 。 o“NAT 转换”这个参数一定要启用,这个参数也是专门针对本例这种“

11、虚拟服务器”的搭建而设计的参数,搭建虚拟服务器就必然使用这个参数。 “转换到 IP”顾名思义就是接收到外网符合条件的数据包后转发到内网的哪个 IP 地址的主机?“映射到端口”填的是内网服务器的服务端口。 o经过上面这几个参数的配置后,策略就算是设置完成了,最后点击“确定”按钮就行了。如下图可以看到从 WANLAN 新增了一条策略,策略的源地址 ANY 表示任何源地址,发送到目的地址也就是 TL-FR5300 的 WAN 口 IP ,数据包访问的是 HTTP 80 端口,那么 TL-FR5300 就将数据包转发至内网。 三,深入理解三,深入理解假设现在内网主机 192.168.1.30 也建立了

12、一台 WEB 服务器,也使用 80 端口作为服务端口,那么在Internet 上除了可以访问 192.168.1.20 上建立的 WEB 服务器以外,能不能访问 192.168.1.30 这台主机上面的 WEB 服务器呢?当然也是可以的。在本文档一开始我们就对从 Internet 访问过来的数据包结构进行了分析,数据包结构里面有“目的端口”这个参数,假设 Internet 上的主机要访问 TL-FR5300 内网 192.168.1.20 上面建立的 WEB 服务器,根据上面策略的配置处于外部互联网上的主机只需要在 IE 浏览器里面通过 http:/222.77.77.233 就可以访问192

13、.168.1.20 上建立的 WEB 服务器了,如果这时候外部主机想要访问建立在 192.168.1.30 上面的 WEB 服务器,那么还能通过 http:/222.77.77.233 访问吗?那当然不行了!都是同样的 http:/222.77.77.233 访问过来,都是访问目的端口是 80 的服务,数据包结构没有任何差异,TL-FR5300 作为机器怎么可能知道该转发给 192.168.1.20 还是 192.168.1.30 ?所以,外网主机想要访问建立在 192.168.1.30 主机上的 WEB 服务,在访问的时候需要通过不同的参数来表达自己想要访问的是内网的那台主机?比如可以通过h

14、ttp:/222.77.77.233:88,也就是说数据包的“目的端口”不是默认的 80 端口了而是 88 端口,如下图的对比,这样当不同的数据包发送过来的时候 TL-FR5300 就可以分辨了:在配置前面的策略的时候,我们已经看到对于目的端口是 80 的限定在“预定义服务”里面已经存在了,但是目的端口是 88 的并没有,所以我们要在“自定义服务”里面将我们需要的 88 端口定义出来,如下图所示选择“对象”-“自定义服务”-“新增”:设定好了“自定义服务”以后,继续配置策略,如下图:说明:o注意策略适用的区域范围! o“策略名”为了和前一条 WEB 服务器的策略区别开来,这里取了“WEB-Se

15、rver-Two”作为策略名。 o数据包的“源地址”和“目的地址”和上一条策略都是一样的。 o“服务”就是我们对外网访问过来的数据包端口的限定,选择我们“自定义的服务”HTTP-Two 。 o“NAT 转换”填入新的服务器主机地址 192.168.1.30 和服务端口 80,如果这台服务器不是用 80 端口作为服务端口而使用 8000 作为服务端口,那么我们在这里就需要填入8000 ,就是告知 TL-FR5300 将数据包转发到主机上的哪个监听端口? o最后“确定”就可以完成策略配置,返回上一级页面,可以看到如下图所示的信息,可以看到从 WANLAN 方向上目前建立了两条策略。 四,四,FTP

16、 服务器的搭建服务器的搭建如果内网主机 192.168.1.40 建立了一台 FTP 服务器供外网访问,服务端口是 21,要怎样配置 TL-FR5300 呢?既然服务器提供的服务端口是 21,那就是说外网的主机访问的时候数据包“目的端口”就 21,这个在TL-FR5300 的“预定义服务”里面已经存在了。策略配置如下:说明:o注意策略适用的区域范围! o“策略名(可选) ”具备可读性,这里取为 FTP-Server 。 o“源地址”和“目的地址”这两项参数和前面的一样,源地址选为 ANY 表示任何从互联网上访问过来的数据包,目的地址是 TL-FR5300 WAN 口 IP 地址。 o“服务”按照前面的说明,在预定义服务里面选择 FTP,表示访问过来的数据包目的端口是 21。 o“动作”当然是允许。 o“应用”目前这个参数可选项为“无”和“FTP”。当我们需要在内网建立服务器的时候,我们需要设置从 WANLAN 的策略,如果我们在内网建立的服务器是 F

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号