防火墙应用指南(六)-“策略”方向性问题的探讨

1、.：.；防火墙运用指南六“战略方向性问题的讨论在配置TL-FR5300战略的时候，对于战略的方向性需求仔细分辨，本文档对于一些异常的、少见的情况下战略的方向确定，给出了一些参考建议。 假设TL-FR5300 WAN口的IP地址是222.77.77.40 ，内网效力器的IP地址是192.168.1.10，提供的效力端口是30 。1,普通情况假设在FR5300的LAN区域建立了效力器，提供应WAN区域主机访问，我们必需建立从WANLAN的战略。将“自定义效力里面的效力端口就设置为LAN区域效力器提供的效力端口设置如下：如上图，当然可以定义别的任何端口，只需求访问的时候运用定义端口就可以了。战略设置

2、如上图，这个大家都曾经会设置了。设置后以后，WAN区域主机自动访问WAN口IP地址的30端口，FR5300会将访问的数据包转发至内网的192.168.1.10这台主机，然后192.168.1.10回应数据包，衔接建立。2，特殊情况上面都是WAN区域自动发起衔接，衔接LAN区域的效力器，这样将符合WANLAN战略，可以胜利衔接。假设用户的运用环境中，先是WAN区域自动发起衔接，正常衔接效力器，然后从效力器上获取信息的时候，这个信息需求效力器自动发起新的衔接，衔接运用的源端口依然是30这个效力端口，目的端口是客户端的随机端口，这样的衔接能否建立呢？答案是不能建立的，虽然我们设置了从WANLAN的战

3、略，曾经包含了自定义的30端口，但是这里是效力器自动发起的衔接，这个新衔接并不能符合从WANLAN的战略，而是必需求重新定义从LAN到WAN的战略，配置如下：留意和第一幅图片定义的端口位置不同！如上图再添加这样一条从LANWAN的战略，将源端口30的数据包也就是效力器的数据包权限开放，那么才干到达用户的需求！也就是假设WAN区域主机访问效力器后，效力器自动发起新衔接但是源端口不改动，这时候从WANLAN的战略是不能满足的，必需再添加一条从LANWAN的战略来开放效力器自动访问WAN区域的权限才可以！3,内网建立效力器的问题如下表示图：如上图：在FR5300的内网建立了一台TP-LINK 效力器

4、，本地的电脑都是在TP-LINK 效力器上收发邮件。外网某主机运用Yahoo的信箱。假设“外网主机发送一封邮件给本地的电脑，那么数据包的流程是上图中蓝色线标注的先是外网主机将本人的邮件发送给本人的效力器也就是Yahoo的邮件效力器运用SMTP/WEB协议，然后Yahoo的邮件效力器再将邮件发送给TP-LINK 效力器运用SMTP协议，然后本地电脑再从TP-LINK 效力器上收取邮件运用POP3/WEB协议。假设本地电脑要发送邮件给外网的Yahoo信箱，流程如以下图：如上图：本地电脑先将数据包发送给内网的TP-LINK 效力器运用SMTP/WEB协议，TP-LINK 效力器再将数据发送给外网的Y

5、ahoo 效力器运用SMTP协议，之后外网的主机再从Yahoo邮件效力器上收取邮件运用POP3/WEB协议。上面的两次流程，我们可以看到内网主机和外网主机在互通邮件的时候，实践上是：县发送给本人的效力器，然后才是分处内外网的两台效力器之间经过SMTP协议相互发送邮件的。根据上面的描画，假设上面这种情况下在FR5300上面设置战略，需求两条战略：1，WANLAN源地址ANY 目的地址WAN IP 预定义效力SMTP NAT 上面这条战略用于外网的邮件效力器给内网的邮件效力器发送邮件。2，LANWAN源地址.10 目的地址ANY 预定义效力SMTP/DNS这条战略用户内网邮件效力器给外网邮件效力器发送邮件。假设没有设置第2条战略，内网用户就发现