防火墙应用指南(二)——虚拟服务器的搭建

防火墙应用指南（二）——虚拟服务器的搭建 在您继续了解本文档下面的内容之前，我们建议您能够先了解参考一下我们的《防火墙应用指南》系列文档之《防火墙应用指南（一）——基本配置指导思想》。 下面将详细介绍在使用TL-FR5300的情况下如何在内网搭建“虚拟服务器”供外网主机访问？ 一，拓扑模型 说明：如上图所示，使用了TL-FR5300这款防火墙之后，想要从Interne上一台主机访问处于TL-FR5300内网的一台服务器，因为默认情况下从Internet上访问来的数据包只能到达TL-FR5300的WAN口，如果这个数据包想要经过TL-FR5300到达内网的服务器，就需要我们对TL-FR5300进行适当的设置，也就是本文档所要阐述的内容。 假设我们搭建的是一台WEB服务器，服务器监听的端口是80 ，那么Internet上的主机在访问的时候不可能通过http://192.168.1.20访问服务器，因为192.168.1.20是私网IP地址在互联网上不可路由的，只能通过http://222.77.77.233来访问，这里的222.77.77.233就是路由器的WAN口公网IP地址。 外网任意一台主机访问过来的数据包结构我们可以用下图来 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 示： 现在我们对上面的数据包结构简单 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 一下： “源IP”：主机发送的数据包在Internet上传输的时候，用这个字段表明是谁发送的数据包？ “目的IP”：数据包中这个字段标明这个数据包是发往Internet上那个节点的？这个字段填入目的地主机的IP地址。 “源端口”：主机在发送数据包的时候随即选取的一个数值，用于标识本机应用。 “目的端口”：数据包里的这个字段定义了目的主机上那个应用程序接收处理本数据包，比如本例中目的端口就是我们建立在TL-FR5300内网的服务器上的服务端口，假设我们在192.168.1.20主机上建立的是WEB服务器而且使用80端口作为服务端口，那么这里的“目的端口”就是80 ，假设我们在192.168.1.20主机上建立的是FTP服务器而且使用21端口作为服务端口，那么这里的“目的端口”就是21 。 DATA ：数据包携带的内容，比如要访问WEB服务器上的什么资源就在这一部分表述。 那么我们思考一下：当互联网上许多主机来访问处于TL-FR5300内网的服务器的时候，那些访问到来的数据包，“源IP”这个参数就是不固定的，而“目的IP”这个参数却是固定的TL-FR5300的WAN口IP地址。 当外网访问的数据包抵达TL-FR5300的WAN口以后，TL-FR5300收取数据包并按照我们配置的策略 规则 编码规则下载淘宝规则下载天猫规则下载麻将竞赛规则pdf麻将竞赛规则pdf 将数据包转发至内网的服务器，这样，Internet上的主机就可以成功访问到处于TL-FR5300内网的服务器了。 二，实现过程 · 1，建立好服务器     举例：我们建立了一台WEB服务器，为了测试服务器是否建立好了，我们可以在内网另一台主机上通过http://192.168.1.20来尝试访问建立的WEB服务器，如果成功访问那说明服务器已经建立好了。　 · 2，建立服务器的主机需要配置“默认网关”的地址，这里必须是TL-FR5300的LAN口IP地址。下图是Windows2000操作系统上配置TCP/IP参数的界面： 如上图所示，建立服务器的主机除了配置自己的IP地址以外，还必须配置网关的地址，也就是TL-FR5300的LAN口IP地址。 · 3，TL-FR5300的配置 首先，在TL-FR5300配置界面选择“对象”-“IP地址”，然后在“IP地址”页面添加内网建立服务器的主机的IP地址。如下图所示： 选择“区域”-“LAN”，然后点击右面的“新增”按钮，如下图： 图片中： “IP地址名字”——就是给添加的IP地址取一个名字，用以在设置“策略”的时候被引用。 “说明”——因为实际配置过程中会增添很多IP地址，所以对IP地址进行适当的说明，以便于在配置“策略”进行引用的时候，知道所引用对象代表的哪个主机。 “IP地址或域名”——因为我们这里只添加建立服务器的一台主机的IP地址，所以在后面的掩码部位输入32表示单个IP地址。 最后点击“确定”按钮，退回上一级界面，可以看到新增的一个IP地址对象。 然后继续在“LAN”区域新增一个IP地址对象，这次是要将TL-FR5300面向Internet的WAN口IP地址作为“对象”体现出来，在配置策略的时候会用到，如下图： 如上图“IP地址名字”和“说明”的作用同前面是一样，这里就不再赘述。 好了，做好上面的准备工作后，接下来我们配置“策略”，如下图： 点击后在界面右半部分显出如下图片 因为我们即将在“策略”里面定义的规则是TL-FR5300转发从WAN口收取到的数据包并发往内网的服务器，在这个过程中数据包是从WAN口到LAN口方向的，所以上图中的“区域”需要选成“从WAN到LAN”，然后点击“新增”按钮，如下图： 现在我们对上图中配置的参数做一个说明： · 图片右上角，确认本策略是从WAN—>LAN方向的，因为我们这条策略定义的数据包是从WAN—>LAN方向的。 · “策略名”——为了便于管理员日常维护，建议策略名的选取最好是具备可读性，本例中取为“WEB-Server”。在TL-FR5300的策略匹配过程中，是从前往后（/从上往下）逐条匹配，一旦匹配则不再继续查询下面的策略。所以选中了“加在最前面”，这样当TL-FR5300收到数据包的时候，在判断数据包应该如何转发的时候，会先参考本策略是否匹配？默认从WAN——>LAN没有策略，所以本例中这个参数也可以不选择。 · “源地址”——因为从Internet上访问本服务器的主机是不确定的，我们也不知道哪些主机将会访问我们建立在内网的服务器，所以本例中将“源地址”选为ANY表示从Internet上访问到来的任何主机IP地址都将适配本策略。 · “目的地址”——外网访问本服务器的时候数据包从Internet上发送过来，被TL-FR5300的WAN口接收，所以WAN口IP地址就是目的IP地址。 · “服务”——定义外网访问过来的数据包的端口号。TL-FR5300已经预先定义了很多“预定义服务”，这个参数是对数据包端口号的描述，本例中我们选择了HTTP作为服务，为什么？在TL-FR5300的“预定义服务”这个对象里面已经包含很多参数，对HTTP的表述参数如下图，可以看到HTTP对应的端口号范围源是所有端口，目的是80 ，在本例中策略选中“服务”HTTP意思就是说：外网访问到来的数据包，“目的端口”是80将符合本策略的端口范围。 · “动作”——本例中当然是选择允许（通过）。 · “NAT转换”——这个参数一定要启用，这个参数也是专门针对本例这种“虚拟服务器”的搭建而设计的参数，搭建虚拟服务器就必然使用这个参数。“转换到IP”顾名思义就是接收到外网符合条件的数据包后转发到内网的哪个IP地址的主机？“映射到端口”填的是内网服务器的服务端口。 · 经过上面这几个参数的配置后，策略就算是设置完成了，最后点击“确定”按钮就行了。如下图可以看到从WAN——>LAN新增了一条策略，策略的源地址ANY表示任何源地址，发送到目的地址也就是TL-FR5300的WAN口IP ，数据包访问的是HTTP 80端口，那么TL-FR5300就将数据包转发至内网。 三，深入理解 假设现在内网主机192.168.1.30也建立了一台WEB服务器，也使用80端口作为服务端口，那么在Internet上除了可以访问192.168.1.20上建立的WEB服务器以外，能不能访问192.168.1.30这台主机上面的WEB服务器呢？当然也是可以的。 在本文档一开始我们就对从Internet访问过来的数据包结构进行了分析，数据包结构里面有“目的端口”这个参数，假设Internet上的主机要访问TL-FR5300内网192.168.1.20上面建立的WEB服务器，根据上面策略的配置处于外部互联网上的主机只需要在IE浏览器里面通过http://222.77.77.233就可以访问192.168.1.20上建立的WEB服务器了，如果这时候外部主机想要访问建立在192.168.1.30上面的WEB服务器，那么还能通过http://222.77.77.233访问吗？那当然不行了！都是同样的http://222.77.77.233访问过来，都是访问目的端口是80的服务，数据包结构没有任何差异，TL-FR5300作为机器怎么可能知道该转发给192.168.1.20还是192.168.1.30 ？所以，外网主机想要访问建立在192.168.1.30主机上的WEB服务，在访问的时候需要通过不同的参数来表达自己想要访问的是内网的那台主机？比如可以通过http://222.77.77.233:88，也就是说数据包的“目的端口”不是默认的80端口了而是88端口，如下图的对比，这样当不同的数据包发送过来的时候TL-FR5300就可以分辨了： 在配置前面的策略的时候，我们已经看到对于目的端口是80的限定在“预定义服务”里面已经存在了，但是目的端口是88的并没有，所以我们要在“自定义服务”里面将我们需要的88端口定义出来，如下图所示选择“对象”-“自定义服务”-“新增”： 设定好了“自定义服务”以后，继续配置策略，如下图： 说明： · 注意策略适用的区域范围！ · “策略名”——为了和前一条WEB服务器的策略区别开来，这里取了“WEB-Server-Two”作为策略名。 · 数据包的“源地址”和“目的地址”和上一条策略都是一样的。 · “服务”——就是我们对外网访问过来的数据包端口的限定，选择我们“自定义的服务”HTTP-Two 。 · “NAT转换”——填入新的服务器主机地址 192.168.1.30 和服务端口80，如果这台服务器不是用80端口作为服务端口而使用8000作为服务端口，那么我们在这里就需要填入8000 ，就是告知TL-FR5300将数据包转发到主机上的哪个监听端口？ · 最后“确定”就可以完成策略配置，返回上一级页面，可以看到如下图所示的信息，可以看到从WAN——>LAN方向上目前建立了两条策略。 四，FTP服务器的搭建 如果内网主机192.168.1.40建立了一台FTP服务器供外网访问，服务端口是21，要怎样配置TL-FR5300呢？ 既然服务器提供的服务端口是21，那就是说外网的主机访问的时候数据包“目的端口”就21，这个在TL-FR5300的“预定义服务”里面已经存在了。 策略配置如下： 说明： · 注意策略适用的区域范围！ · “策略名（可选）”——具备可读性，这里取为FTP-Server 。 · “源地址”和“目的地址”——这两项参数和前面的一样，源地址选为ANY表示任何从互联网上访问过来的数据包，目的地址是TL-FR5300 WAN口IP地址。 · “服务”——按照前面的说明，在预定义服务里面选择FTP，表示访问过来的数据包目的端口是21。 · “动作”——当然是允许。 · “应用”——目前这个参数可选项为“无”和“FTP”。当我们需要在内网建立服务器的时候，我们需要设置从WAN——>LAN的策略，如果我们在内网建立的服务器是FTP服务器，那么在配置策略的时候必须在“应用”这个选项里面选择FTP，告知TL-FR5300这条策略是专门针对内网FTP服务器而设置的。为什么我们要专门针对FTP服务器提供这个“应用”参数呢？是因为FTP协议在运行过程中，Client和Server之间需要建立一条TCP“数据连接”，而这条TCP“数据连接”建立所需要的“目的IP”和“目的端口”是作为DATA封装在FTP“控制连接”上传输的数据包里，这些信息在经过NAT的时候需要NAT设备进行深层检测获取参数，并在NAT自己的NAPT条目里面动态建立，只有这样分处NAT两端的FTP Client和FTP Server才能完整通讯。总之，如果内网建立的服务器是FTP服务器，那么在配置策略的时候就必须选择这个“应用”的参数，别的服务器的话这个参数就保持默认的“无”就可以了。 如果内网建立的FTP服务器使用的服务端口不是21 ，是22 ，那么这条策略应该怎样配置呢？如下图所示，在“映射到端口”栏填入服务器提供的服务端口就行了： 上面这条策略适合外网主机通过ftp://222.77.77.233这个WAN口IP来访问内网的服务端口是22的FTP服务器，如果外网主机要通过ftp://222.77.77.233:22这样的形式访问，也就是数据包发送到WAN口的时候“目的端口”不是默认的21而是22 ，并将这样的数据包转发到内网的FTP服务器，策略应该怎样配置？如下图： 选择“新增”如下图： 就像本文档前面描述的，“自定义服务”可以用于描述外网访问过来的数据包的源和目的端口，设置完后点“确定”。那么这条新增的名为“FTP-22”可以作为对象被策略引用。接下来就是配置策略了，仍然是从WAN——>LAN的策略： 说明： · 注意策略适用的区域范围！ · “服务”——选择我们在前面对象里面配置的“自定义服务”FTP-22 。 · “应用”——如果是FTP服务器就必须选择。 · “映射到端口”——内网主机上建立的服务器提供的服务端口，是21就填21是22就填22 ，这个参数就填内网主机的服务端口。但是这个参数和“自定义服务”里面定义的端口并没有必然的对应关系，虽然我们可以将其一一对应。 五，关联信息 对于“策略”里面的可选“对象”部分比如“深层检测”、“URL过滤”、“日志”、“认证”等参数的使用，请参考我们其他的《防火墙应用指南》系列文档。