FVX538.FVS338 V2.0 防火墙端口映射功能设置.doc

FVX538/FVS338 V2.0防火墙端口映射功能设置本文将详细介绍在FVX538/FVS338 V2.0如何设置端口映射功能，端口映射功能主要是将防火墙WAN的公网IP地址的某个端口或某一段的端口映射到局域网的某台PC的IP地址，实现从Internet的用户能通过WAN公网IP访问内部局域网的某一应用或程序。一、端口的定义FVX538的Rules中默认定义好了若干端口在列表中如WEB、FTP等，但是遇到需要使用一些没有定义在列表中的服务端口时候，则需要预先定义好端口参数才行，如pcanywhere软件的通讯端口，SQL SERVER的通讯端口等，过程如下：登陆到FVX538的管理界面，在 SecurityServices菜单中，在Add customer Services下面的菜单中填入，如下图所示：本例子中我们定义一个服务pcanywhere，用户需要在Internet通过pcanywhere 工具管理网络中的电脑；如上图，名称（name）为自己定义的pcanywhere，类型(Type)定义为TCP或UDP，TCP端口为5631,UDP端口为5632，然后按一下Add添加即可，添加完成后返回Services设置页面，如下图所示：OK,下一步我们说明如何定义Rules.二、LAN WAN Inbound Server规则的使用Rules生效的接口包括：LAN WAN Rules、DMZ WAN Rules和LAN DMZ Rules，本文我们主要介绍LAN WAN规则中的Inbound Services功能，即通过设置Inbound Services实现端口映射功能。在 SecurityFirewall rules菜单中点击LAN WAN rules，我们即可以看到Outbound services和Inbound services两个选项，其中：outbound Services:为向外的意思，该项定义是LAN向WAN发出去的的数据包的规则的；默认的配置是有LAN向WAN发出的数据包都是允许的，该配置主要是用于控制LAN至WAN的上网规则。Inbound Services: Inbound为入站，向内的意思，该项定义是WAN主动发起到LAN的数据包规则的；默认的配置是WAN主动向LAN发起的数据连接请求都是拒绝的；我们设置端口映射功能即在该选项进行设定即可。我们刚才定义了pcanywhere 的TCP端口5631和UDP端口5632，现在即可以通过Inbound services中添加规则，实现端口映射的功能。那么rules规则的定义如下：在Inbound Services下选择Add：Service：选择pcanywhere(TCP:5631)和pcanywhere2（UDP:5632)；系统默认没有定义好pcanywhere服务端口（刚才已定义好）Action：选择ALLOW alwaysSend to LAN Server：来自WAN的该服务的数据包转发到那台服务器上，譬如你装有pcanywhere的服务器的局域网IP地址为8，我们即填写该地址即可；Translate to Port Number：留空即可，如果您的LAN中有多台服务器需要发布同一个服务，那么该选项则需要用上；WAN Users：意思为那些Internet 用户可以访问该端口，默认为全部；Public Destination IP Address(公有目标IP地址)：即填写WAN1公网的IP地址，你若有多个公网IP地址，也可以选择Other Public IP address。这里一般使用WAN1公有IP地址实现映射即可其他为默认值就OK了，然后按Apply。OK，现在我们已经完成端口映射的设置，现在Internet用户都可以访问WAN1端口的pcanywhere端口服务。三、常用服务的端口映射另外，若你要使用一些常用的服务，FVX538/FVS338已预先定义好相关的服务，因此，我们不需要在 SecurityServices菜单中进行预定义，即可以通过Firewall LAN WAN rules规则中的Inbound Services中进行定义，如WEB服务、FTP服务、SMTP服务、POP3服务等等，如下面的例子将直接利用FVX538/FVS338预先定义好的WEB服务和FTP服务进行端口映射：1实现WEB服务器的端口映射：即所有用户都可以通过Internet访问公有IP地址32的WEB服务在Inbound Services下选择Add，如下图：Service：选择HTTP(TCP:80)+None；系统默认已经定义好WEB服务端口了，否则需要在第一章中的说明，在Services菜单中预先定义服务端口。Action：选择ALLOW alwaysSend to LAN Server：来自WAN的该服务的数据包转发到那台服务器上，根据我们例子说明，应该转发到99上；Translate to Port Number：留空即可，如果您的LAN中有多台服务器需要发布同一个服务，那么该选项则需要用上；WAN Users：意思为那些Internet 用户可以访问该端口，默认为全部；Public Destination IP Address(公有目标IP地址)：根据我们的例子功能要求，99与32公有IP地址实现静态映射；因此，这里应该选择Other Public IP Address，下方填入有效的公有IP：32.其他为默认值就OK了，然后按Apply。如下图所示：如果有多个公有IP地址需要与LAN中的多台服务器一一对应影射，则可以通过此方法进行配置，规则设置好后在RULES菜单中看到：2FTP服务器端口映射，即所有用户都可以访问WAN1端口的FTP端口。在Inbound Services中选择Add,如下图：Service：选择FTP(TCP:2021+None)；系统默认已经定义好FTP服务端口了，否则需要在第一章中的说明，在Services菜单中预先定义服务端口。Action：选择ALLOW alwaysSend to LAN Server：来自WAN的该服务的数据包转发到那台服务器上，根据我们例子说明，应该转发到00上；Translate to Port Number：留空即可，如果您的LAN中有多台服务器需要发布同一个服务，那么该选项则需要用上；WAN Users：意思为那些Internet 用户可以访问该端口，默认为全部；Public Destination IP Address(公有目标IP地址)：根据我