防火墙应用指南-“策略”方向性问题的探讨

1、防火墙应用指南（六）“策略”方向性问题的探讨在配置TL-FR5300策略的时候，对于策略的方向性需要仔细分辨，本文档对于一些异常的、少见的情况下策略的方向确定，给出了一些参考建议。 假设TL-FR5300 WAN口的IP地址是222.77.77.40 ，内网服务器的IP地址是192.168.1.10，提供的服务端口是30 。1,一般情情况如果在FRR53000的LLAN区区域建立立了服务务器，提提供给WWAN区区域主机机访问，我我们必须须建立从从WANNLLAN的的策略。（将将“自定定义服务务”里面面的服务务端口就就设置为为LANN区域服服务器提提供的服服务端口口）设置置如下：如上图，当当然可

2、以以定义别别的任何何端口，只只需要访访问的时时候使用用定义端端口就可可以了。策略设置如如上图，这这个大家家都已经经会设置置了。设设置后以以后，WWAN区区域主机机主动访访问WAAN口IIP地址址的300端口，FFR53300会会将访问问的数据据包转发发至内网网的1992.1168.1.110这台台主机，然然后1992.1168.1.110回应应数据包包，连接接建立。2，特殊情情况上面都是WWAN区区域主动动发起连连接，连连接LAAN区域域的服务务器，这这样将符符合WAANLANN策略，可可以成功功连接。如如果用户户的使用用环境中中，先是是WANN区域主主动发起起连接，正正常连接接服务器器，然后

3、后从服务务器上获获取信息息的时候候，这个个信息需需要服务务器主动动发起新新的连接接，连接接使用的的源端口口仍然是是30这这个服务务端口，目目的端口口是客户户端的随随机端口口，这样样的连接接能否建建立呢？答案是是不能建建立的，虽虽然我们们设置了了从WAANLANN的策略略，已经经包含了了自定义义的300端口，但但是这里里是服务务器主动动发起的的连接，这这个新连连接并不不能符合合从WAANLANN的策略略，而是是必须要要重新定定义从LLAN到到WANN的策略略，配置置如下：注意和第一一幅图片片定义的的端口位位置不同同！如上图再增增加这样样一条从从LANNWWAN的的策略，将将源端口口30的的数据包

4、包也就是是服务器器的数据据包权限限开放，那那么才能能达到用用户的需需求！也也就是如如果WAAN区域域主机访访问服务务器后，服服务器主主动发起起新连接接但是源源端口不不改动，这这时候从从WANNLLAN的的策略是是不能满满足的，必必须再增增加一条条从LAANWANN的策略略来开放放服务器器主动访访问WAAN区域域的权限限才可以以！3,内网建建立E-maiil服务务器的问问题如下示意图图：如上图：在在FR553000的内网网建立了了一台TTP-LLINKK E-maiil服务务器，本本地的电电脑都是是在TPP-LIINK E-mmaill服务器器上收发发邮件。外外网某主主机使用用Yahhoo的的信

5、箱。如如果“外外网主机机发送一一封邮件件给本地地的电脑脑”，那那么数据据包的流流程是上上图中蓝蓝色线标标注的先是是外网主主机将自自己的邮邮件发送送给自己己的E-maiil服务务器也就就是Yaahooo的邮件件服务器器（使用用SMTTP/WWEB协协议），然然后Yaahooo的邮件件服务器器再将邮邮件发送送给TPP-LIINK E-mmaill服务器器（使用用SMTTP协议议），然然后本地地电脑再再从TPP-LIINK E-mmaill服务器器上收取取邮件（使使用POOP3/WEBB协议）。如果本地电电脑要发发送邮件件给外网网的Yaahooo信箱，流流程如下下图：如上图：本本地电脑脑先将数数据包

6、发发送给内内网的TTP-LLINKK E-maiil服务务器（使使用SMMTP/WEBB协议），TTP-LLINKK E-maiil服务务器再将将数据发发送给外外网的YYahooo EE-maail服服务器（使使用SMMTP协协议），之之后外网网的主机机再从YYahooo邮件件服务器器上收取取邮件（使使用POOP3/WEBB协议）。上面的两次次流程，我我们可以以看到内内网主机机和外网网主机在在互通邮邮件的时时候，实实际上是是：县发发送给自自己的EE-maail服服务器，然然后才是是分处内内外网的的两台EE-maail服服务器之之间通过过SMTTP协议议互相发发送邮件件的。根据上面的的描述，如如果上面面这种情情况下在在FR553000上面设设置策略略，需要要两条策策略：1，WANNLANN（源地地址）AANY （目目的地址址）WAAN IIP （预定定义服务务）SMMTP NAAT 上面这条策策略用于于外网的的邮件服服务器给给内网的的邮件服服务器发发送邮件件。2，LANNWANN（源地地址）.10 （目目的地址址）ANNY （预定定义服务务）SMMTP/DNSS这条策略用用户内网网邮件服服务器给给外网邮邮件服务务器发送送邮件。假设没有设设置第22条策略略，内网网用户就就发