防火墙应用指南(六)——“策略”方向性问题的探讨VIP免费

第1页共7页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第1页共7页防火墙应用指南（六）——“策略”方向性问题的探讨在配置TL-FR5300策略的时候，对于策略的方向性需要仔细分辨，本文档对于一些异常的、少见的情况下策略的方向确定，给出了一些参考建议。假设TL-FR5300WAN口的IP地址是222.77.77.40，内网服务器的IP地址是192.168.1.10，提供的服务端口是30。1,一般情况如果在FR5300的LAN区域建立了服务器，提供给WAN区域主机访问，我们必须建立从WAN—>LAN的策略。（将“自定义服务”里面的服务端口就设置为LAN区域服务器提供的服务端口）设置如下：如上图，当然可以定义别的任何端口，只需要访问的时候使用定义端口就可以了。第2页共7页第1页共7页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第2页共7页策略设置如上图，这个大家都已经会设置了。设置后以后，WAN区域主机主动访问WAN口IP地址的30端口，FR5300会将访问的数据包转发至内网的192.168.1.10这台主机，然后192.168.1.10回应数据包，连接建立。2，特殊情况上面都是WAN区域主动发起连接，连接LAN区域的服务器，这样将符合WAN—>LAN策略，可以成功连接。如果用户的使用环境中，先是WAN区域主动发起连接，正常连接服务器，然后从服务器上获取信息的时候，这个信息需要服务器主动发起新的连接，连接使用的源端口仍然是30这个服务端口，目第3页共7页第2页共7页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第3页共7页的端口是客户端的随机端口，这样的连接能否建立呢？答案是不能建立的，虽然我们设置了从WAN—>LAN的策略，已经包含了自定义的30端口，但是这里是服务器主动发起的连接，这个新连接并不能符合从WAN—>LAN的策略，而是必须要重新定义从LAN到WAN的策略，配置如下：注意和第一幅图片定义的端口位置不同！第4页共7页第3页共7页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第4页共7页如上图再增加这样一条从LAN—>WAN的策略，将源端口30的数据包也就是服务器的数据包权限开放，那么才能达到用户的需求！也就是如果WAN区域主机访问服务器后，服务器主动发起新连接但是源端口不改动，这时候从WAN—>LAN的策略是不能满足的，必须再增加一条从LAN—>WAN的策略来开放服务器主动访问WAN区域的权限才可以！3,内网建立E-mail服务器的问题如下示意图：第5页共7页第4页共7页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第5页共7页如上图：在FR5300的内网建立了一台TP-LINKE-mail服务器，本地的电脑都是在TP-LINKE-mail服务器上收发邮件。外网某主机使用Yahoo的信箱。如果“外网主机发送一封邮件给本地的电脑”，那么数据包的流程是上图中蓝色线标注的——先是外网主机将自己的邮件发送给自己的E-mail服务器也就是Yahoo的邮件服务器（使用SMTP/WEB协议），然后Yahoo的邮件服务器再将邮件发送给TP-LINKE-mail服务器（使用SMTP协议），然后本地电脑再从TP-LINKE-mail服务器上收取邮件（使用POP3/WEB协议）。如果本地电脑要发送邮件给外网的Yahoo信箱，流程如下图：第6页共7页第5页共7页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第6页共7页如上图：本地电脑先将数据包发送给内网的TP-LINKE-mail服务器（使用SMTP/WEB协议），TP-LINKE-mail服务器再将数据发送给外网的YahooE-mail服务器（使用SMTP协议），之后外网的主机再从Yahoo邮件服务器上收取邮件（使用POP3/WEB协议）。上面的两次流程，我们可以看到内网主机和外网主机在互通邮件的时候，实际上是：县发送给自己的E-mail服务器，然后才是分处内外网的两台E-mail服务器之间通过SMTP协议互相发送邮件的。根据上面的描述，如果上面这种情况下在FR5300上面设置策略，需要两条策略：1，WAN——>LAN（源地址）ANY–（目的地址）WANIP–（预定义服务）SMTP–NAT上面这条策略用于外网的邮件服务器给内网的邮件服务器发送邮件。2，LAN——>WAN（源地址）.10–（目的地址）ANY–（预定义服务）SMTP/DNS第7页共7页第6页共7页编号：时间：2021年x月x日书山有路勤为径，学...