防火墻應(yīng)用指南（一）——基本配置指導(dǎo)思想

　　一 概要介紹

　　新上市的TL-FR5300防火墻產(chǎn)品，主要有兩大功能特點(diǎn)：“攻擊防護(hù)”和“策略”。它還有其他很多功能，在這篇文檔里，我們將側(cè)重表述“策略”這一塊，其他功能我們另有專門的表述文檔。當(dāng)您在看這篇文檔之前，我們希望您能夠先了解一下TL-FR5300的《用戶手冊》，對TL-FR5300使用過程中涉及的諸多概念有一定的了解。

　　一般情況下用戶購買了TL-FR5300，將其置于本單位網(wǎng)絡(luò)的出口處，作為內(nèi)部網(wǎng)絡(luò)所有主機(jī)登錄互聯(lián)網(wǎng)的網(wǎng)關(guān)設(shè)備，內(nèi)網(wǎng)主機(jī)所有去往互聯(lián)網(wǎng)的數(shù)據(jù)都需要流經(jīng)TL-FR5300，我們對TL-FR5300進(jìn)行適當(dāng)配置，就可以對內(nèi)網(wǎng)主機(jī)的上網(wǎng)操作進(jìn)行靈活的管理。

　　TL-FR5300處于整個(gè)內(nèi)部網(wǎng)絡(luò)的出口，默認(rèn)內(nèi)部網(wǎng)絡(luò)（LAN）和外部互聯(lián)網(wǎng)（WAN）是互通的，但建議將這一條默認(rèn)策略刪除。當(dāng)內(nèi)部網(wǎng)絡(luò)中某一部分主機(jī)需要某上網(wǎng)權(quán)限時(shí)，網(wǎng)絡(luò)管理員只需要在TL-FR5300上面給這一部分主機(jī)打開相應(yīng)的上網(wǎng)權(quán)限，當(dāng)內(nèi)部網(wǎng)絡(luò)另一部分主機(jī)需要另外的上網(wǎng)權(quán)限時(shí)，管理員只需要在TL-FR5300上打開另一部分上網(wǎng)權(quán)限即可。這就是我們配置TL-FR5300這款防火墻產(chǎn)品時(shí)候的基本指導(dǎo)思想——“有需求才開放”。

　　在使用TL-FR5300的過程中，為了順利實(shí)施上面“有需求才開放”的思想，我們極力建議您的網(wǎng)絡(luò)是經(jīng)過規(guī)劃的——特別是“IP地址”這一部分，因?yàn)?#8220;IP地址”是互聯(lián)網(wǎng)中每臺主機(jī)標(biāo)示自己的唯一標(biāo)志，TL-FR5300也是通過“IP地址”實(shí)現(xiàn)對主機(jī)權(quán)限的控制。具體地說，網(wǎng)絡(luò)里具備相同網(wǎng)絡(luò)權(quán)限的主機(jī)應(yīng)該從屬于一個(gè)組，適應(yīng)不同網(wǎng)絡(luò)權(quán)限的主機(jī)從屬于不同的組，而我們在規(guī)劃“IP地址”的時(shí)候，既要考慮現(xiàn)有各個(gè)組的規(guī)模，也要考慮到以后網(wǎng)絡(luò)的增長，不同網(wǎng)絡(luò)權(quán)限的主機(jī)組使用不同的IP地址段，比如下面不同的組使用不同IP地址段：

　　 管理團(tuán)隊(duì)：192.168.1.1～192.168.1.30(192.168.1.0/27)

　　市場部門：192.168.1.65～192.168.1.94(192.168.1.64/27)

　　銷售部門：192.168.1.129～192.168.1.158(192.168.1.128/27)

　　當(dāng)配置TL-FR5300時(shí)給不同的IP地址段不同的網(wǎng)絡(luò)權(quán)限，那么網(wǎng)絡(luò)中某臺主機(jī)使用了什么IP地址就具備了什么網(wǎng)絡(luò)權(quán)限，這就是網(wǎng)絡(luò)經(jīng)過規(guī)劃的好處：

　　上班時(shí)間限制內(nèi)部網(wǎng)絡(luò)某臺主機(jī)只能登錄互聯(lián)網(wǎng)某個(gè)網(wǎng)站服務(wù)器。

　　要實(shí)現(xiàn)上面的目的，網(wǎng)絡(luò)管理員通過設(shè)置TL-FR5300的“策略”，將上面這個(gè)想要實(shí)現(xiàn)的目的體現(xiàn)出來就可以。在這條“策略/規(guī)則”設(shè)置的過程當(dāng)中，“內(nèi)網(wǎng)某主機(jī)、互聯(lián)網(wǎng)某網(wǎng)站服務(wù)器、可以登錄”這些都屬于“策略/規(guī)則”的基本組成部分，“上班時(shí)間”屬于“策略/規(guī)則”的可選組成部分。

　　“策略”可分為基本組成部分和可選組成部分?；窘M成部分有：信息流的方向、信息流的源地址、信息流的目的地址、禁止/允許通過?？蛇x組成部分有：時(shí)間、安全認(rèn)證、流量控制、深層檢測、日志等。

　　在TL-FR5300里面將“策略”的組成部分稱之為“對象”，當(dāng)需要設(shè)置一條“策略”的時(shí)候，要考慮一下即將設(shè)置的“策略”都包含哪些“對象”？TL-FR5300有專門用于定義“對象”的配置界面，比如策略里面涉及“上班時(shí)間”，那么配置策略之前，要先在“對象”-“時(shí)間表”里面將“上班時(shí)間”體現(xiàn)出來，然后在“策略”配置過程中引用先設(shè)定好的“上班時(shí)間”這個(gè)“對象”，那么這樣設(shè)置的“策略”才能在“上班時(shí)間”生效。簡單的說這就是“策略”和“對象”的關(guān)系。可以說多個(gè)不同的“對象”通過組合最后生成了一條“策略”。

　　TL-FR5300的“策略”可由如下可選“對象”組成：IP地址、IP地址組、服務(wù)、服務(wù)組、動(dòng)作、時(shí)間表、應(yīng)用、深層檢測、網(wǎng)絡(luò)地址轉(zhuǎn)換、用戶認(rèn)證、QoS控制、URL過濾、日志。

　　二 舉例以及說明

　　下面我們通過一些簡單的“策略”設(shè)置過程，來詳細(xì)地描述“策略”和“對象”是一個(gè)怎樣的關(guān)系？它們是怎樣使用的？

　　1,銷售部員工張三只能登錄阿里巴巴網(wǎng)站。

　　分析：通過設(shè)置TL-FR5300的“策略”實(shí)現(xiàn)上面的目的，這條“策略”包含的“對象”有：張三（使用的IP地址）、阿里巴巴（網(wǎng)站服務(wù)器IP地址）、可以登錄（網(wǎng)站）。

　　設(shè)置：設(shè)置過程分兩部分，分別是設(shè)置“對象”和“策略”，設(shè)置“對象”是為了“策略”引用它，設(shè)置“策略”是為了最終實(shí)現(xiàn)我們的限制目的。

　　

　　如上圖選擇了“對象”-“IP地址”，設(shè)置界面如下圖：

　　

　　如上圖要在“區(qū)域”選擇LAN ，因?yàn)閺埲幱诠緝?nèi)網(wǎng)也就是TL-FR5300定義的LAN區(qū)域，選擇后點(diǎn)擊“新增”按鈕，界面如下圖：

　　

　　如上圖：

　　“IP地址名字”建議具備可讀性，張三是銷售部員工，這里取為“Sales – 張三”。

　　“說明”是對本IP地址的簡單解釋說明。給張三配置的IP地址為 192.168.1.129 。

　　“子網(wǎng)掩碼”填為32表示這里是單個(gè)IP地址。

　　設(shè)置完后點(diǎn)擊確定按鈕返回上一級界面如下圖：

　　

　　在“對象”里設(shè)置完了張三的IP地址后，還需要設(shè)置阿里巴巴網(wǎng)站的IP地址，通過PING阿里巴巴中文網(wǎng)站的域名www.alibaba.com.cn我們可以得到網(wǎng)站服務(wù)器對應(yīng)的IP地址是61.129.44.1 ，因?yàn)榘⒗锇桶途W(wǎng)站在外部互聯(lián)網(wǎng)上，也就是TL-FR5300定義的WAN區(qū)域，所以這次新增IP地址的時(shí)候一定要先選擇WAN區(qū)域，然后新增，界面如下圖：

　　

　　或者不設(shè)置服務(wù)器的IP地址而直接填入阿里巴巴中文網(wǎng)站域名也可以，如下圖：

　　

　　點(diǎn)擊“確定”按鈕后返回上一級頁面，選擇“區(qū)域”為所有，并點(diǎn)擊“顯示”按鈕，可以看到剛才分別在LAN和WAN區(qū)域新增的兩個(gè)IP地址對象，如下圖：

　　

　　準(zhǔn)備好了“對象”以后，我們就可以在“策略”里面進(jìn)行配置了！因?yàn)楸静呗悦枋龅膶ο?，是張三的電腦主動(dòng)向阿里巴巴網(wǎng)站發(fā)起連接，所以在設(shè)置策略的時(shí)候一定要注意“區(qū)域”的選擇是從LAN——>WAN這個(gè)方向，配置界面如下：

　　

　　上圖是一個(gè)復(fù)合的圖片：

　　“策略名”建議具備一定的可讀性，便于日常維護(hù)！

　　“源地址”引用IP地址對象里張三的IP地址。

　　“目的地址”引用IP地址對象里阿里巴巴網(wǎng)站服務(wù)器IP地址。

　　“服務(wù)”粉紅色勾勒的服務(wù)這一行后面的“復(fù)選”按鈕，點(diǎn)擊后彈出下半部分界面，選擇了兩種服務(wù)分別是DNS和HTTP，因?yàn)樵L問阿里巴巴網(wǎng)站前電腦先要聯(lián)系互聯(lián)網(wǎng)DNS服務(wù)器解析阿里巴巴網(wǎng)站域名對應(yīng)的IP地址，然后才向這個(gè)服務(wù)器IP地址發(fā)起HTTP請求，也就是登錄網(wǎng)站的過程，選擇好服務(wù)以后點(diǎn)擊“確定”按鈕，有關(guān)“服務(wù)”的詳細(xì)描述，請參考我們的《防火墻應(yīng)用指南》系列文檔之《防火墻應(yīng)用指南（二）——虛擬服務(wù)器的搭建》。

　　返回策略設(shè)置界面如下圖：

　　

　　如上圖，策略設(shè)置界面的所有“對象”中，只涉及到了基本組成部分也就是紅線勾勒的部分，其他可選組成部分的對象都沒有涉及，改動(dòng)后點(diǎn)擊確定，返回上一級配置界面，如下圖：

　　

　　就是這樣，想要實(shí)現(xiàn)“銷售部員工張三只能登錄阿里巴巴網(wǎng)站”這樣目的，通過上面這個(gè)設(shè)置過程就完成了?？雌饋砥荛L，其實(shí)熟練設(shè)置的時(shí)候所需時(shí)間是很短的！

　　2，銷售部員工張三上班時(shí)間只能登錄阿里巴巴網(wǎng)站。

　　這第2個(gè)例子我們在第一個(gè)例子的基礎(chǔ)上，增加了“上班時(shí)間”這個(gè)對象，那么是怎樣實(shí)現(xiàn)這個(gè)目的呢？

　　分析：按照在第1個(gè)例子中的分析，只要再加上“對象”-“時(shí)間表”里面再加入上班時(shí)間段就可以了。設(shè)置策略的時(shí)候，除了第1個(gè)例子里面改動(dòng)的“對象”以外，再多改動(dòng)一個(gè)“時(shí)間表”的參數(shù)就可以了。

　　設(shè)置：增加時(shí)間表“對象”，在TL-FR5300設(shè)置界面“對象”-“時(shí)間表”里面，新增時(shí)間表如下圖：

　　

　　“時(shí)間表名”和“說明”：具備可讀性，便于日常維護(hù)管理。

　　“多次”和“單次”：多次表示時(shí)間是循環(huán)生效的，本周適用下周仍然適用。單次是在開始日期和結(jié)束日期這一段時(shí)間內(nèi)一次性生效，超出這個(gè)時(shí)間段的則不能生效。這里“多次”和“單次”采用了復(fù)選框的方式，表示可以同時(shí)兩項(xiàng)都選擇，或者每次選擇其中一種方式。注意：如果“多次”和“單次”都選中，則它們的關(guān)系是“或”的關(guān)系。也就是說，時(shí)間表生效時(shí)間在“多次”定義的時(shí)間段內(nèi)或者“單次”定義的時(shí)間段內(nèi)。它們是“并集”的關(guān)系，而不是“交集”的關(guān)系，不可理解為“在單次定義的時(shí)間段內(nèi)的每周一至周六”！

　　要確保“時(shí)間表”這個(gè)對象能夠生效，有個(gè)地方需要注意，就是TL-FR5300配置選項(xiàng)里面的“系統(tǒng)工具”—“時(shí)間設(shè)置”，配置界面如下：

　　

　　上圖中的紅色文字已經(jīng)進(jìn)行了強(qiáng)調(diào)，想要時(shí)間表生效，必須從互聯(lián)網(wǎng)上獲取標(biāo)準(zhǔn)的GMT時(shí)間或者直接指定一個(gè)當(dāng)前時(shí)間。設(shè)置好時(shí)間后TL-FR5300會(huì)一直保存時(shí)間，不會(huì)因?yàn)樵O(shè)備斷電而時(shí)間失效。

　　好了，上面添加了“時(shí)間表”這個(gè)對象，然后我們直接在“策略”里面找到剛才設(shè)置的從LAN—>WAN的策略，并重新編輯它，如下圖：

　　

　　如上圖，在原有策略基礎(chǔ)上“時(shí)間表”這個(gè)對象里面選擇了“上班時(shí)間”，然后確定就可以了！這樣就實(shí)現(xiàn)了“銷售部員工張三上班時(shí)間只能登錄阿里巴巴網(wǎng)站”，過程很簡單。

　　3，銷售部員工張三和李四上班時(shí)間只能登錄阿里巴巴網(wǎng)站。

　　分析：上面的例子中，兩次配置“策略”引用“源地址”這個(gè)對象的時(shí)候，都只是引用了張三的IP地址，這次還要再多引用一個(gè)銷售部員工李四，那只要在TL-FR5300的“對象”-“IP地址”里面將李四的IP地址也設(shè)置好，就可以引用了。

　　配置：如下圖在“對象”-“IP地址”里面新增銷售部員工李四的IP地址：

　　

　　一定要注意新增的李四的IP地址要選在LAN這個(gè)區(qū)域！然后點(diǎn)擊“新增”按鈕，如下圖：

　　

　　設(shè)定完之后點(diǎn)擊“確定”按鈕就可以了。在TL-FR5300的“對象”里面有個(gè)“IP地址組”，就是將已設(shè)定的具備相同屬性的“IP地址”歸并為一組，比如這里將“Sales – 張三”和“Sales – 李四”歸并為一組命名為“Sales”，這樣在配置“策略”時(shí)候引用“源地址”可以不必張三李四分別引用兩次，只需要引用一次“Sales”組就可以了。“IP地址組”設(shè)置如下圖：

　　

　　如上圖注意新增的區(qū)域是“LAN”，具體配置界面如下：

　　

　　“組名”為Sales 。

　　“說明”為sales group表示銷售部。

　　從“備選”里面選擇特定對象添加到“已選”框內(nèi)，“確定”完成配置，返回上一級頁面。

　　

　　如上圖看到IP地址組里面多了一個(gè)Sales組，包含成員“李四”、“張三”。有了上面這些準(zhǔn)備，開始修改前面的“策略”，如下圖：

　　

　　“策略名”進(jìn)行了更改，將以前的Sales – zhangsan – alibaba 改為現(xiàn)在的Sales – alibaba 。

　　“源地址”由張三的IP改為銷售IP地址組Sales 。

　　其他對象保持之前的狀態(tài)不變即可，最后點(diǎn)擊“確定”按鈕即完成了配置，如下圖：

　　

　　可以看到從LAN到WAN的策略里，ID為3的策略正是我們剛剛完成的。

　　以后如果銷售部增加新員工王五，分配了IP為192.168.1.131 ，上網(wǎng)權(quán)限和張三、李四都是一樣，那只需要在“對象”-“IP地址”里面新增王五的IP地址，然后將新增的王五的IP地址添加到“IP地址組”-Sales這個(gè)組里面，不需要改動(dòng)策略，那么王五的網(wǎng)絡(luò)權(quán)限就和前面幾位員工的相同了。

　　4，銷售部員工上班時(shí)間只能登錄阿里巴巴網(wǎng)站。

　　分析：前面我們舉了3個(gè)例子，來說明一條簡單的策略如何設(shè)置？我們發(fā)現(xiàn)，每次銷售部新增員工，都需要網(wǎng)絡(luò)管理員在“對象”-“IP地址”里面新增，然后再將新增的IP地址歸并到“IP地址組”里Sales的小組，這樣的過程比較麻煩！有沒有更快捷的設(shè)置方式？

　　當(dāng)然有了！一開始我們就倡導(dǎo)如果使用TL-FR5300我們極力推薦您的網(wǎng)絡(luò)先做好規(guī)劃，比如網(wǎng)絡(luò)管理員按照現(xiàn)有情況以及今后一段時(shí)間內(nèi)的網(wǎng)絡(luò)增長預(yù)期，將IP地址段192.168.1.129 – 192.168.1.159預(yù)留分配給銷售部員工使用，銷售部員工的網(wǎng)絡(luò)權(quán)限都是相同的。

　　前面設(shè)置的策略里，“源地址”曾單獨(dú)選擇過“Sales – 張三”和包含張三李四的“Sales”,如果我們將Sales這個(gè)組一開始就定義成包含192.168.1.129 – 192.168.1.159 這一段IP地址，然后在“策略”設(shè)置的時(shí)候“源地址”引用“Sales”，這樣配置一條策略相當(dāng)于一次配置了192.168.1.129 – 192.168.1.159這30個(gè)IP地址，都是“上班時(shí)間只能登錄阿里巴巴網(wǎng)站”的權(quán)限。接下來當(dāng)然是將已設(shè)置的IP地址單獨(dú)分配給張三、李四、王五使用，等以后趙六加入了銷售部，網(wǎng)絡(luò)管理員不用改動(dòng)TL-FR5300的配置，只需要告訴趙六使用192.168.1.132這個(gè)IP地址就可以了，這樣將網(wǎng)絡(luò)預(yù)先進(jìn)行一定的規(guī)劃，然后配置網(wǎng)絡(luò)設(shè)備可以收到事半功倍的效果。

　　配置：就上面的分析，我們進(jìn)行如下的配置即可快速實(shí)現(xiàn)。如下圖在TL-FR5300的“對象”-“IP地址”里面，在LAN區(qū)域新增IP地址參數(shù)：

　　

　　單擊“確定”按鈕后返回上一級設(shè)置界面，如下圖：

　　

　　如上圖紅線勾勒，對比“Sales – 張三”和“Sales Group”的圖標(biāo)，“Sales – 張三”的圖標(biāo)是單臺電腦表示只包含1個(gè)IP，而“Sales Group”是多臺重疊的圖標(biāo)，表示一個(gè)IP地址段，這個(gè)IP地址段的網(wǎng)段地址是192.168.1.128 ，網(wǎng)段內(nèi)可用IP地址范圍是192.168.1.129 – 192.168.1.158總共包含30個(gè)可用的IP地址 ,這個(gè)段的廣播地址是192.168.1.159 。

　　上面設(shè)置的過程中，因?yàn)椴捎昧?#8220;變長子網(wǎng)掩碼”的方法——即將默認(rèn)的24位子網(wǎng)掩碼加長到27位，所以取得了一條設(shè)置表示一段IP地址的結(jié)果。

　　如果在配置的過程當(dāng)中，填入的不是192.168.1.128/27而是默認(rèn)的192.168.1.128/24 ，這樣設(shè)置在TL-FR5300里面也是允許的，這樣設(shè)置的結(jié)果和填入192.168.1.0/24的結(jié)果是相同的，就是產(chǎn)生了一個(gè)192.168.1.1 – 192.168.1.254的可用IP地址段。因?yàn)槲覀冞@里舉例網(wǎng)絡(luò)規(guī)劃的時(shí)候并沒有給銷售部254個(gè)IP地址，而是給了30個(gè)IP地址，所以我們填入的子網(wǎng)掩碼不是24而是27 。

　　對于192.168.1.128/24和192.168.1.128/27表示的IP地址范圍不同這樣一個(gè)事實(shí)，屬于網(wǎng)絡(luò)公共基礎(chǔ)知識，這里限于篇幅我們就不做過多地介紹了。如果您想要搞清楚其中的細(xì)節(jié)，可尋找一些“IP地址和子網(wǎng)掩碼”方面的書籍或者相關(guān)RFC文檔參考學(xué)習(xí)一下。

　　經(jīng)過上面的準(zhǔn)備，只需要在“策略”里面將“源地址”選擇“Sales Group”，其余參數(shù)不變，我們就可以通過一條策略實(shí)現(xiàn)：一個(gè)包含30個(gè)IP地址“上班時(shí)間只能訪問阿里巴巴網(wǎng)站”的目的。界面如下：

　　

　　5，保存、配置備份和載入

　　TL-FR5300所有參數(shù)在設(shè)置的時(shí)候，是即時(shí)生效的，但是這個(gè)時(shí)候參數(shù)是沒有保存的，如果未保存設(shè)備重新啟動(dòng)以后所有配置的參數(shù)都會(huì)丟失，提示您每次階段性完成參數(shù)配置后，在“系統(tǒng)工具”-“保存配置”頁面對所有已修改參數(shù)進(jìn)行保存，界面如下圖：

　　

　　TL-FR5300還有一個(gè)非常有用的功能，就是“配置備份和載入”，在“系統(tǒng)工具”-“配置備份和載入”，功能界面如下圖：

　　

　　當(dāng)保存了已修改參數(shù)以后，可以通過點(diǎn)擊上圖紅色標(biāo)注的按鈕“備份配置文件”來備份當(dāng)前配置，界面如下圖：

　　

　　點(diǎn)擊“保存”按鈕并選擇保存的路徑，然后保存即可，等到有需要的時(shí)候，可以通過上面的“載入配置文件”的選項(xiàng)來完成。

　　三 關(guān)聯(lián)信息

　　TL-FR5300的功能，在這里沒有一一介紹，本文檔前面兩部分只是從總體概念上介紹了TL-FR5300最顯著的功能特點(diǎn)——如何對內(nèi)網(wǎng)進(jìn)行靈活的管理，但是內(nèi)容還是不夠豐富！針對這部分我們會(huì)在后面的系列文檔中不斷補(bǔ)充。

　　上面的幾個(gè)例子中，“策略”的可選“對象”部分，比如：應(yīng)用、深層檢測、URL過濾、NAT轉(zhuǎn)換、認(rèn)證等等，請參考我們的《防火墻應(yīng)用指南》系列文檔之《防火墻應(yīng)用指南——（二）虛擬服務(wù)器的搭建》和《防火墻應(yīng)用指南——（三）企業(yè)典型應(yīng)用》。

　　對于TL-FR5300的“日志服務(wù)器”的使用，請參考我們的《防火墻應(yīng)用指南》系列文檔之《防火墻應(yīng)用指南——（四）日志服務(wù)器的安裝與使用》。

　　對于TL-FR5300的“攻擊防護(hù)”功能的使用，請參考我們的《防火墻應(yīng)用指南》系列文檔之《防火墻應(yīng)用指南——（五）攻擊防護(hù)實(shí)驗(yàn)演示》。

　　 防火墻應(yīng)用指南（二）虛擬服務(wù)器的搭建

　　

　　在您繼續(xù)了解本文檔下面的內(nèi)容之前，我們建議您能夠先了解參考一下我們的《防火墻應(yīng)用指南》系列文檔之《防火墻應(yīng)用指南（一）——基本配置指導(dǎo)思想》。

　　下面將詳細(xì)介紹在使用TL-FR5300的情況下如何在內(nèi)網(wǎng)搭建“虛擬服務(wù)器”供外網(wǎng)主機(jī)訪問？

　　一，拓?fù)淠Ｐ?/strong>

　　

　　說明：如上圖所示，使用了TL-FR5300這款防火墻之后，想要從Interne上一臺主機(jī)訪問處于TL-FR5300內(nèi)網(wǎng)的一臺服務(wù)器，因?yàn)槟J(rèn)情況下從Internet上訪問來的數(shù)據(jù)包只能到達(dá)TL-FR5300的WAN口，如果這個(gè)數(shù)據(jù)包想要經(jīng)過TL-FR5300到達(dá)內(nèi)網(wǎng)的服務(wù)器，就需要我們對TL-FR5300進(jìn)行適當(dāng)?shù)脑O(shè)置，也就是本文檔所要闡述的內(nèi)容。

　　假設(shè)我們搭建的是一臺WEB服務(wù)器，服務(wù)器監(jiān)聽的端口是80 ，那么Internet上的主機(jī)在訪問的時(shí)候不可能通過http://192.168.1.20訪問服務(wù)器，因?yàn)?strong>192.168.1.20是私網(wǎng)IP地址在互聯(lián)網(wǎng)上不可路由的，只能通過http://222.77.77.233來訪問，這里的222.77.77.233就是路由器的WAN口公網(wǎng)IP地址。

　　外網(wǎng)任意一臺主機(jī)訪問過來的數(shù)據(jù)包結(jié)構(gòu)我們可以用下圖來表示：

　　

　　現(xiàn)在我們對上面的數(shù)據(jù)包結(jié)構(gòu)簡單分析一下：

　　“源IP”：主機(jī)發(fā)送的數(shù)據(jù)包在Internet上傳輸?shù)臅r(shí)候，用這個(gè)字段表明是誰發(fā)送的數(shù)據(jù)包？

　　“目的IP”：數(shù)據(jù)包中這個(gè)字段標(biāo)明這個(gè)數(shù)據(jù)包是發(fā)往Internet上那個(gè)節(jié)點(diǎn)的？這個(gè)字段填入目的地主機(jī)的IP地址。

　　“源端口”：主機(jī)在發(fā)送數(shù)據(jù)包的時(shí)候隨即選取的一個(gè)數(shù)值，用于標(biāo)識本機(jī)應(yīng)用。

　　“目的端口”：數(shù)據(jù)包里的這個(gè)字段定義了目的主機(jī)上那個(gè)應(yīng)用程序接收處理本數(shù)據(jù)包，比如本例中目的端口就是我們建立在TL-FR5300內(nèi)網(wǎng)的服務(wù)器上的服務(wù)端口，假設(shè)我們在192.168.1.20主機(jī)上建立的是WEB服務(wù)器而且使用80端口作為服務(wù)端口，那么這里的“目的端口”就是80 ，假設(shè)我們在192.168.1.20主機(jī)上建立的是FTP服務(wù)器而且使用21端口作為服務(wù)端口，那么這里的“目的端口”就是21 。

　　DATA ：數(shù)據(jù)包攜帶的內(nèi)容，比如要訪問WEB服務(wù)器上的什么資源就在這一部分表述。

　　那么我們思考一下：當(dāng)互聯(lián)網(wǎng)上許多主機(jī)來訪問處于TL-FR5300內(nèi)網(wǎng)的服務(wù)器的時(shí)候，那些訪問到來的數(shù)據(jù)包，“源IP”這個(gè)參數(shù)就是不固定的，而“目的IP”這個(gè)參數(shù)卻是固定的TL-FR5300的WAN口IP地址。

　　當(dāng)外網(wǎng)訪問的數(shù)據(jù)包抵達(dá)TL-FR5300的WAN口以后，TL-FR5300收取數(shù)據(jù)包并按照我們配置的策略規(guī)則將數(shù)據(jù)包轉(zhuǎn)發(fā)至內(nèi)網(wǎng)的服務(wù)器，這樣，Internet上的主機(jī)就可以成功訪問到處于TL-FR5300內(nèi)網(wǎng)的服務(wù)器了。

　　二，實(shí)現(xiàn)過程

　　1，建立好服務(wù)器

　　舉例：我們建立了一臺WEB服務(wù)器，為了測試服務(wù)器是否建立好了，我們可以在內(nèi)網(wǎng)另一臺主機(jī)上通過http://192.168.1.20來嘗試訪問建立的WEB服務(wù)器，如果成功訪問那說明服務(wù)器已經(jīng)建立好了?！?br>
　　2，建立服務(wù)器的主機(jī)需要配置“默認(rèn)網(wǎng)關(guān)”的地址，這里必須是TL-FR5300的LAN口IP地址。下圖是Windows2000操作系統(tǒng)上配置TCP/IP參數(shù)的界面：

　　

　　如上圖所示，建立服務(wù)器的主機(jī)除了配置自己的IP地址以外，還必須配置網(wǎng)關(guān)的地址，也就是TL-FR5300的LAN口IP地址。

　　3，TL-FR5300的配置

　　

　　首先，在TL-FR5300配置界面選擇“對象”-“IP地址”，然后在“IP地址”頁面添加內(nèi)網(wǎng)建立服務(wù)器的主機(jī)的IP地址。如下圖所示：

　　

　　選擇“區(qū)域”-“LAN”，然后點(diǎn)擊右面的“新增”按鈕，如下圖：

　　

　　圖片中：

　　“IP地址名字”——就是給添加的IP地址取一個(gè)名字，用以在設(shè)置“策略”的時(shí)候被引用。

　　“說明”——因?yàn)閷?shí)際配置過程中會(huì)增添很多IP地址，所以對IP地址進(jìn)行適當(dāng)?shù)恼f明，以便于在配置“策略”進(jìn)行引用的時(shí)候，知道所引用對象代表的哪個(gè)主機(jī)。

　　“IP地址或域名”——因?yàn)槲覀冞@里只添加建立服務(wù)器的一臺主機(jī)的IP地址，所以在后面的掩碼部位輸入32表示單個(gè)IP地址。

　　最后點(diǎn)擊“確定”按鈕，退回上一級界面，可以看到新增的一個(gè)IP地址對象。

　　然后繼續(xù)在“LAN”區(qū)域新增一個(gè)IP地址對象，這次是要將TL-FR5300面向Internet的WAN口IP地址作為“對象”體現(xiàn)出來，在配置策略的時(shí)候會(huì)用到，如下圖：

　　

　　如上圖“IP地址名字”和“說明”的作用同前面是一樣，這里就不再贅述。

　　好了，做好上面的準(zhǔn)備工作后，接下來我們配置“策略”，如下圖：

　　

　　點(diǎn)擊后在界面右半部分顯出如下圖片

　　

　　因?yàn)槲覀兗磳⒃?#8220;策略”里面定義的規(guī)則是TL-FR5300轉(zhuǎn)發(fā)從WAN口收取到的數(shù)據(jù)包并發(fā)往內(nèi)網(wǎng)的服務(wù)器，在這個(gè)過程中數(shù)據(jù)包是從WAN口到LAN口方向的，所以上圖中的“區(qū)域”需要選成“從WAN到LAN”，然后點(diǎn)擊“新增”按鈕，如下圖：

　　

　　現(xiàn)在我們對上圖中配置的參數(shù)做一個(gè)說明：

　　圖片右上角，確認(rèn)本策略是從WAN—>LAN方向的，因?yàn)槲覀冞@條策略定義的數(shù)據(jù)包是從WAN—>LAN方向的。

　　“策略名”——為了便于管理員日常維護(hù)，建議策略名的選取最好是具備可讀性，本例中取為“WEB-Server”。在TL-FR5300的策略匹配過程中，是從前往后（/從上往下）逐條匹配，一旦匹配則不再繼續(xù)查詢下面的策略。所以選中了“加在最前面”，這樣當(dāng)TL-FR5300收到數(shù)據(jù)包的時(shí)候，在判斷數(shù)據(jù)包應(yīng)該如何轉(zhuǎn)發(fā)的時(shí)候，會(huì)先參考本策略是否匹配？默認(rèn)從WAN——>LAN沒有策略，所以本例中這個(gè)參數(shù)也可以不選擇。

　　“源地址”——因?yàn)閺腎nternet上訪問本服務(wù)器的主機(jī)是不確定的，我們也不知道哪些主機(jī)將會(huì)訪問我們建立在內(nèi)網(wǎng)的服務(wù)器，所以本例中將“源地址”選為ANY表示從Internet上訪問到來的任何主機(jī)IP地址都將適配本策略。

　　“目的地址”——外網(wǎng)訪問本服務(wù)器的時(shí)候數(shù)據(jù)包從Internet上發(fā)送過來，被TL-FR5300的WAN口接收，所以WAN口IP地址就是目的IP地址。

　　“服務(wù)”——定義外網(wǎng)訪問過來的數(shù)據(jù)包的端口號。TL-FR5300已經(jīng)預(yù)先定義了很多“預(yù)定義服務(wù)”，這個(gè)參數(shù)是對數(shù)據(jù)包端口號的描述，本例中我們選擇了HTTP作為服務(wù)，為什么？在TL-FR5300的“預(yù)定義服務(wù)”這個(gè)對象里面已經(jīng)包含很多參數(shù)，對HTTP的表述參數(shù)如下圖，可以看到HTTP對應(yīng)的端口號范圍源是所有端口，目的是80 ，在本例中策略選中“服務(wù)”HTTP意思就是說：外網(wǎng)訪問到來的數(shù)據(jù)包，“目的端口”是80將符合本策略的端口范圍。

　　

　　“動(dòng)作”——本例中當(dāng)然是選擇允許（通過）。

　　“NAT轉(zhuǎn)換”——這個(gè)參數(shù)一定要啟用，這個(gè)參數(shù)也是專門針對本例這種“虛擬服務(wù)器”的搭建而設(shè)計(jì)的參數(shù)，搭建虛擬服務(wù)器就必然使用這個(gè)參數(shù)。“轉(zhuǎn)換到IP”顧名思義就是接收到外網(wǎng)符合條件的數(shù)據(jù)包后轉(zhuǎn)發(fā)到內(nèi)網(wǎng)的哪個(gè)IP地址的主機(jī)？“映射到端口”填的是內(nèi)網(wǎng)服務(wù)器的服務(wù)端口。

　　經(jīng)過上面這幾個(gè)參數(shù)的配置后，策略就算是設(shè)置完成了，最后點(diǎn)擊“確定”按鈕就行了。如下圖可以看到從WAN——>LAN新增了一條策略，策略的源地址ANY表示任何源地址，發(fā)送到目的地址也就是TL-FR5300的WAN口IP ，數(shù)據(jù)包訪問的是HTTP 80端口，那么TL-FR5300就將數(shù)據(jù)包轉(zhuǎn)發(fā)至內(nèi)網(wǎng)。

　　

　　三，深入理解

　　假設(shè)現(xiàn)在內(nèi)網(wǎng)主機(jī)192.168.1.30也建立了一臺WEB服務(wù)器，也使用80端口作為服務(wù)端口，那么在Internet上除了可以訪問192.168.1.20上建立的WEB服務(wù)器以外，能不能訪問192.168.1.30這臺主機(jī)上面的WEB服務(wù)器呢？當(dāng)然也是可以的。

　　在本文檔一開始我們就對從Internet訪問過來的數(shù)據(jù)包結(jié)構(gòu)進(jìn)行了分析，數(shù)據(jù)包結(jié)構(gòu)里面有“目的端口”這個(gè)參數(shù)，假設(shè)Internet上的主機(jī)要訪問TL-FR5300內(nèi)網(wǎng)192.168.1.20上面建立的WEB服務(wù)器，根據(jù)上面策略的配置處于外部互聯(lián)網(wǎng)上的主機(jī)只需要在IE瀏覽器里面通過http://222.77.77.233就可以訪問192.168.1.20上建立的WEB服務(wù)器了，如果這時(shí)候外部主機(jī)想要訪問建立在192.168.1.30上面的WEB服務(wù)器，那么還能通過http://222.77.77.233訪問嗎？那當(dāng)然不行了！都是同樣的http://222.77.77.233訪問過來，都是訪問目的端口是80的服務(wù)，數(shù)據(jù)包結(jié)構(gòu)沒有任何差異，TL-FR5300作為機(jī)器怎么可能知道該轉(zhuǎn)發(fā)給192.168.1.20還是192.168.1.30 ？所以，外網(wǎng)主機(jī)想要訪問建立在192.168.1.30主機(jī)上的WEB服務(wù)，在訪問的時(shí)候需要通過不同的參數(shù)來表達(dá)自己想要訪問的是內(nèi)網(wǎng)的那臺主機(jī)？比如可以通過http://222.77.77.233:88，也就是說數(shù)據(jù)包的“目的端口”不是默認(rèn)的80端口了而是88端口，如下圖的對比，這樣當(dāng)不同的數(shù)據(jù)包發(fā)送過來的時(shí)候TL-FR5300就可以分辨了：

　　

　　在配置前面的策略的時(shí)候，我們已經(jīng)看到對于目的端口是80的限定在“預(yù)定義服務(wù)”里面已經(jīng)存在了，但是目的端口是88的并沒有，所以我們要在“自定義服務(wù)”里面將我們需要的88端口定義出來，如下圖所示選擇“對象”-“自定義服務(wù)”-“新增”：

　　

　　

　　設(shè)定好了“自定義服務(wù)”以后，繼續(xù)配置策略，如下圖：

　　

　　說明：

　　注意策略適用的區(qū)域范圍！

　　“策略名”——為了和前一條WEB服務(wù)器的策略區(qū)別開來，這里取了“WEB-Server-Two”作為策略名。

　　數(shù)據(jù)包的“源地址”和“目的地址”和上一條策略都是一樣的。

　　“服務(wù)”——就是我們對外網(wǎng)訪問過來的數(shù)據(jù)包端口的限定，選擇我們“自定義的服務(wù)”HTTP-Two 。

　　“NAT轉(zhuǎn)換”——填入新的服務(wù)器主機(jī)地址 192.168.1.30 和服務(wù)端口80，如果這臺服務(wù)器不是用80端口作為服務(wù)端口而使用8000作為服務(wù)端口，那么我們在這里就需要填入8000 ，就是告知TL-FR5300將數(shù)據(jù)包轉(zhuǎn)發(fā)到主機(jī)上的哪個(gè)監(jiān)聽端口？

　　最后“確定”就可以完成策略配置，返回上一級頁面，可以看到如下圖所示的信息，可以看到從WAN——>LAN方向上目前建立了兩條策略。

　　

　　四，F(xiàn)TP服務(wù)器的搭建

　　如果內(nèi)網(wǎng)主機(jī)192.168.1.40建立了一臺FTP服務(wù)器供外網(wǎng)訪問，服務(wù)端口是21，要怎樣配置TL-FR5300呢？

　　既然服務(wù)器提供的服務(wù)端口是21，那就是說外網(wǎng)的主機(jī)訪問的時(shí)候數(shù)據(jù)包“目的端口”就21，這個(gè)在TL-FR5300的“預(yù)定義服務(wù)”里面已經(jīng)存在了。

　　策略配置如下：

　　

　　說明：

　　注意策略適用的區(qū)域范圍！

　　“策略名（可選）”——具備可讀性，這里取為FTP-Server 。

　　“源地址”和“目的地址”——這兩項(xiàng)參數(shù)和前面的一樣，源地址選為ANY表示任何從互聯(lián)網(wǎng)上訪問過來的數(shù)據(jù)包，目的地址是TL-FR5300 WAN口IP地址。

　　“服務(wù)”——按照前面的說明，在預(yù)定義服務(wù)里面選擇FTP，表示訪問過來的數(shù)據(jù)包目的端口是21。

　　“動(dòng)作”——當(dāng)然是允許。

　　“應(yīng)用”——目前這個(gè)參數(shù)可選項(xiàng)為“無”和“FTP”。當(dāng)我們需要在內(nèi)網(wǎng)建立服務(wù)器的時(shí)候，我們需要設(shè)置從WAN——>LAN的策略，如果我們在內(nèi)網(wǎng)建立的服務(wù)器是FTP服務(wù)器，那么在配置策略的時(shí)候必須在“應(yīng)用”這個(gè)選項(xiàng)里面選擇FTP，告知TL-FR5300這條策略是專門針對內(nèi)網(wǎng)FTP服務(wù)器而設(shè)置的。為什么我們要專門針對FTP服務(wù)器提供這個(gè)“應(yīng)用”參數(shù)呢？是因?yàn)镕TP協(xié)議在運(yùn)行過程中，Client和Server之間需要建立一條TCP“數(shù)據(jù)連接”，而這條TCP“數(shù)據(jù)連接”建立所需要的“目的IP”和“目的端口”是作為DATA封裝在FTP“控制連接”上傳輸?shù)臄?shù)據(jù)包里，這些信息在經(jīng)過NAT的時(shí)候需要NAT設(shè)備進(jìn)行深層檢測獲取參數(shù)，并在NAT自己的NAPT條目里面動(dòng)態(tài)建立，只有這樣分處NAT兩端的FTP Client和FTP Server才能完整通訊。總之，如果內(nèi)網(wǎng)建立的服務(wù)器是FTP服務(wù)器，那么在配置策略的時(shí)候就必須選擇這個(gè)“應(yīng)用”的參數(shù)，別的服務(wù)器的話這個(gè)參數(shù)就保持默認(rèn)的“無”就可以了。

　　如果內(nèi)網(wǎng)建立的FTP服務(wù)器使用的服務(wù)端口不是21 ，是22 ，那么這條策略應(yīng)該怎樣配置呢？如下圖所示，在“映射到端口”欄填入服務(wù)器提供的服務(wù)端口就行了：

　　

　　上面這條策略適合外網(wǎng)主機(jī)通過ftp://222.77.77.233這個(gè)WAN口IP來訪問內(nèi)網(wǎng)的服務(wù)端口是22的FTP服務(wù)器，如果外網(wǎng)主機(jī)要通過ftp://222.77.77.233:22這樣的形式訪問，也就是數(shù)據(jù)包發(fā)送到WAN口的時(shí)候“目的端口”不是默認(rèn)的21而是22 ，并將這樣的數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)網(wǎng)的FTP服務(wù)器，策略應(yīng)該怎樣配置？如下圖：

　　

　　選擇“新增”如下圖：

　　

　　就像本文檔前面描述的，“自定義服務(wù)”可以用于描述外網(wǎng)訪問過來的數(shù)據(jù)包的源和目的端口，設(shè)置完后點(diǎn)“確定”。那么這條新增的名為“FTP-22”可以作為對象被策略引用。接下來就是配置策略了，仍然是從WAN——>LAN的策略：

　　

　　說明：

　　注意策略適用的區(qū)域范圍！

　　“服務(wù)”——選擇我們在前面對象里面配置的“自定義服務(wù)”FTP-22 。

　　“應(yīng)用”——如果是FTP服務(wù)器就必須選擇。

　　“映射到端口”——內(nèi)網(wǎng)主機(jī)上建立的服務(wù)器提供的服務(wù)端口，是21就填21是22就填22 ，這個(gè)參數(shù)就填內(nèi)網(wǎng)主機(jī)的服務(wù)端口。但是這個(gè)參數(shù)和“自定義服務(wù)”里面定義的端口并沒有必然的對應(yīng)關(guān)系，雖然我們可以將其一一對應(yīng)。

　　五，關(guān)聯(lián)信息

　　對于“策略”里面的可選“對象”部分比如“深層檢測”、“URL過濾”、“日志”、“認(rèn)證”等參數(shù)的使用，請參考我們其他的《防火墻應(yīng)用指南》系列文檔。

　　防火墻應(yīng)用指南（三）企業(yè)典型應(yīng)用

　　

　　在您繼續(xù)了解本文檔下面的內(nèi)容之前，我們建議您能夠先了解參考一下我們的《防火墻應(yīng)用指南》系列文檔之《防火墻應(yīng)用指南（一）——基本配置指導(dǎo)思想》和《防火墻應(yīng)用指南（二）——虛擬服務(wù)器的搭建》。

　　下面通過一些詳細(xì)的例子，來進(jìn)一步說明通過TL-FR5300的配置，如何實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)管理需求。

　　1，公司銷售部因?yàn)闃I(yè)務(wù)需求，上班時(shí)間要具備“瀏覽網(wǎng)頁”的權(quán)限，但是個(gè)別網(wǎng)站禁止訪問，除“瀏覽網(wǎng)站”以外沒有其他上網(wǎng)權(quán)限，其他時(shí)間不進(jìn)行任何上網(wǎng)限制。在實(shí)現(xiàn)上面需求的基礎(chǔ)上，要防止IP地址盜用。

　　分析：要實(shí)現(xiàn)上面的目的，在配置TL-FR5300的策略的時(shí)候，涉及的“對象”有銷售部員工的IP地址、外部網(wǎng)站、除了訪問網(wǎng)站以外別的上網(wǎng)操作等等，這些“對象”我們會(huì)在下面的配置過程中一一體現(xiàn)出來。

　　配置：

　?。?）“IP地址”：關(guān)于這個(gè)對象的描述和詳細(xì)的舉例，請參考我們的《防火墻應(yīng)用指南》系列文檔之《防火墻應(yīng)用指南——基本配置指導(dǎo)思想》，我們這里就直入主題開始配置了。

　　在TL-FR5300“對象”-“IP地址”頁面，選擇“區(qū)域”LAN，點(diǎn)擊“新增”按鈕：

　　

　　按照上圖的辦法將銷售部所有員工的IP地址都添加到“IP地址”這個(gè)對象里面，下圖：

　　

　　（2）“IP地址組”：接下來把銷售部所有成員都加入到一個(gè)組，取名“銷售部”，如下圖：

　　

　?。?）“服務(wù)”：要訪問Internet上的網(wǎng)站，也就是內(nèi)網(wǎng)電腦要有訪問Internet上80端口的HTTP服務(wù)的權(quán)限。同時(shí)，登錄網(wǎng)站前內(nèi)網(wǎng)電腦還有個(gè)向Internet上DNS服務(wù)器請求域名解析的過程，所以還需要DNS權(quán)限，這些服務(wù)在TL-FR5300的“預(yù)定義服務(wù)”這個(gè)對象中都已經(jīng)存在了，不需要設(shè)置?？梢栽?#8220;對象”-“服務(wù)組”里面定義一個(gè)新的服務(wù)組，包含“DNS”和“HTTP”兩項(xiàng)服務(wù)，取名“WEB服務(wù)”，如下圖所示：

　　

　　備注：有關(guān)“服務(wù)”這個(gè)對象的詳細(xì)應(yīng)用，請參考我們的《防火墻應(yīng)用指南》系列文檔之《防火墻應(yīng)用指南（二）——虛擬服務(wù)器的搭建》。

　?。?）“時(shí)間表”：上班時(shí)間需要控制，其他時(shí)間整個(gè)公司都可以隨便上網(wǎng)，不需要控制；我們需要建立兩個(gè)時(shí)間表：“上班時(shí)間表”、“非上班時(shí)間表”；

　　

　　備注：有關(guān)“時(shí)間表”這個(gè)對象的詳細(xì)應(yīng)用，請參考我們的《防火墻應(yīng)用指南》系列文檔之《防火墻應(yīng)用指南（一）——基本配置指導(dǎo)思想》。

　　（5）“URL過濾”：個(gè)別網(wǎng)站禁止訪問，可以通過“URL過濾”這個(gè)功能實(shí)現(xiàn)。假設(shè)我們要禁止訪問的網(wǎng)站域名為www.xxx.com。

　　如下圖先在“對象”-“URL模式表”里面，將準(zhǔn)備禁止訪問的網(wǎng)站域名體現(xiàn)出來，配置如下圖所示：

　　

　　給“模式表”欄自定義一個(gè)black的名字含義是要禁止，在“URL模式”欄填入想要禁止訪問的網(wǎng)站域名www.xxx.com。然后點(diǎn)擊“添加”按鈕。

　　然后在“對象”-“URL過濾配置”界面“新增”一個(gè)黑白名單選擇，如下圖：

　　

　　如上圖：

　　“URL過濾配置名字”這一欄輸入一個(gè)名字，后面配置策略的時(shí)候就通過這個(gè)名字來引用的。

　　“黑名單”里選擇前面我們定義的black那張表，它里面包含了想要禁止的www.xxx.com這個(gè)網(wǎng)站的域名。如果還要禁止別的網(wǎng)站，只需要將那些網(wǎng)站域名添加到前面black那張表里面就可以了，這里不需要改動(dòng)。

　　“白名單”保持默認(rèn)的不改動(dòng)即可。

　　“缺省動(dòng)作”默認(rèn)允許不作改動(dòng)。

　　然后點(diǎn)擊“確定”按鈕即可。

　　（6）“用戶”：為了防止其他沒有上網(wǎng)權(quán)限的用戶盜用銷售部的IP地址來上網(wǎng)，就需要通過這里的設(shè)置來實(shí)現(xiàn)。

　　先在“對象”-“用戶”界面里為銷售部所有員工每人設(shè)置一個(gè)用戶名和密碼。如下圖：

　　

　　如上圖給銷售部員工張三設(shè)定了用戶名和密碼，當(dāng)給張三分配IP地址的時(shí)候連同這里的用戶名和密碼一起分配給張三。同樣給銷售部員工李四、王五等等都設(shè)置用戶名和密碼。

　　設(shè)置好以后再進(jìn)入TL-FR5300“對象”-“用戶組”界面，將上面設(shè)置的銷售部的多位員工歸并到一組如下圖：

　　

　　如上圖設(shè)置好以后，當(dāng)配置“策略”的時(shí)候引用“銷售部用戶”這個(gè)組，那么符合本策略的所有“源地址”的主機(jī)在登錄互聯(lián)網(wǎng)的時(shí)候都需要先通過認(rèn)證，通過這種方式達(dá)到防止IP地址盜用的目的。

　?。?）好了，經(jīng)過上面6步準(zhǔn)備工作，到此為止配置“策略”所需要涉及到的“對象”基本設(shè)置完成。

　　看過我司網(wǎng)站“技術(shù)支持”——“網(wǎng)絡(luò)教室”欄目文檔《路由器如何限制內(nèi)網(wǎng)電腦使用QQ》一文的用戶都知道，騰訊公司的即時(shí)聊天軟件QQ也使用了80端口。上面第（3）步定義“服務(wù)”對象的時(shí)候，開啟了HTTP服務(wù)也就是80端口，這樣一來允許80端口通過QQ也就可以成功登錄了，這顯然是不符合一開始提到的網(wǎng)絡(luò)控制需求，那么我們需要回頭再做一些設(shè)置準(zhǔn)備：

　　在“對象”-“IP地址”頁面選擇WAN “區(qū)域”，將騰訊公司提供的所有QQ服務(wù)器的IP地址全部“新增”到WAN區(qū)域，如下圖：

　　

　　備注：上圖頁面中QQ服務(wù)器IP地址是我們通過QQ2006這個(gè)版本，在深圳電信ADSL線路上尋找到的提供80端口服務(wù)的地址，不代表您那里的情況，所以建議您在自己實(shí)際應(yīng)用的線路上親自尋找一下看是否是別的IP地址。

　　因?yàn)槲覀冞@里的事例只是說開放了HTTP 80端口的權(quán)限后，通過80端口登錄成功QQ連接的服務(wù)器IP地址，所以沒有涉及QQ使用其他比如8000、443端口連接的時(shí)候，連接的服務(wù)器IP地址是多少。

　　然后在“對象”-“IP地址組”頁面，選擇WAN區(qū)域然后“新增”條目，對上面設(shè)定的單個(gè)QQ服務(wù)器進(jìn)行歸并，如下圖：

　　

　　設(shè)置完成后點(diǎn)擊確定按鈕，完成準(zhǔn)備工作。

　?。?）開始“策略”的設(shè)置，選擇區(qū)域從“LAN”到“WAN”，點(diǎn)擊“新增”按鈕（注意配置前先刪除默認(rèn)的any-any-any的策略）：

　　

　　如上圖“服務(wù)”保持默認(rèn)ANY意思是：發(fā)往QQ服務(wù)器任何端口的數(shù)據(jù)包都被禁止。設(shè)定完成后點(diǎn)擊“確定”按鈕。然后繼續(xù)設(shè)置銷售部只開放“瀏覽網(wǎng)頁”權(quán)限的“策略”，如下圖所示：

　　

　　上圖設(shè)置好之后，再添加一條下班時(shí)間不限制上網(wǎng)的“策略”：“銷售部－any―any－允許－非上班時(shí)間表”就可以讓銷售部在非上班時(shí)間擁有所有上網(wǎng)權(quán)限了。上圖中有紅字“用戶認(rèn)證”注解“認(rèn)證”這一部分，上面第（6）步的準(zhǔn)備，先設(shè)定用戶在設(shè)定用戶組，然后上圖“認(rèn)證”部分選擇了前面設(shè)定好的“銷售部用戶”這個(gè)組，這樣凡是使用銷售部IP地址上網(wǎng)的，都需要提供用戶名和密碼通過認(rèn)證，然后才可以上網(wǎng)。在電腦端具體的認(rèn)證步驟請參考TL-FR5300的《用戶手冊》。

　　“策略”設(shè)置完成后如下圖所示：

　　

　　注意：策略的匹配原則

　　在上面第1部分設(shè)置了三條策略，從上往下分別是：銷售部上班時(shí)間禁止登錄QQ 、銷售部上班時(shí)間允許瀏覽網(wǎng)頁（限制個(gè)別網(wǎng)站）、銷售部下班時(shí)間不進(jìn)行上網(wǎng)限制。策略的順序如下圖：

　　

　　上圖每條策略所處的位置是非常重要的！如果上圖中ID2和ID3這兩條策略的位置變?yōu)橄旅鎴D片中的位置，那么結(jié)果是什么呢？

　　

　　對比上面這兩幅圖片，策略的位置不同，結(jié)果也是不同的！如果是第二幅圖片中的順序，那么就無法限制QQ了。

　　策略匹配的原則是：從上往下逐條匹配（圖中紅線的方向）！而不是按照“ID”號碼大小來匹配的！如果是上面第二副圖片的位置順序，那么銷售部電腦發(fā)往80端口的QQ服務(wù)器的數(shù)據(jù)包將滿足第一條策略設(shè)置的條件，第一條策略允許銷售部電腦發(fā)往任何80端口數(shù)據(jù)包通過TL-FR5300 。從而使發(fā)往80端口的QQ服務(wù)器的數(shù)據(jù)包也通過TL-FR5300被轉(zhuǎn)發(fā)（“目的地址”一欄ANY包含了QQ服務(wù)器組，“服務(wù)”一欄WEB服務(wù)也包含了80端口）。

　　所以在設(shè)置多條策略的時(shí)候，一定要注意設(shè)置的策略所處的位置是否合適？當(dāng)存在包含關(guān)系的多條策略存在，一定要合理調(diào)整策略的上下位置，上圖中紅色方框勾勒的“移動(dòng)”選項(xiàng)可以實(shí)現(xiàn)我們靈活移動(dòng)策略位置的需求。

　　2，公司需要對網(wǎng)絡(luò)進(jìn)一步管理，員工能否收發(fā)郵件以及郵件附件的大小都是需要管理的對象，通過TL-FR5300如何實(shí)現(xiàn)？

　　分析：

　　對郵件的收發(fā)分兩種情況：

　　第一種：使用郵件軟件比如：Outlook或Foxmail收發(fā)。利用客戶端軟件收發(fā)郵件分別使用的SMTP協(xié)議和POP3協(xié)議，使用的端口是25和110，所以只要開啟了25、53、110三個(gè)端口的權(quán)限就可以收發(fā)郵件（開啟53端口是因?yàn)猷]件軟件在配置的過程中“郵件服務(wù)器”選項(xiàng)允許填寫郵件服務(wù)器的域名，如果填寫了域名則郵件軟件在聯(lián)系郵件服務(wù)器之前，先有一個(gè)通過服務(wù)器域名解析服務(wù)器IP地址的過程，這個(gè)過程使用到53端口）。

　　對上面描述的“對郵件附件大小進(jìn)行管理”的問題，我們可以利用TL-FR5300的郵件深層檢測的功能來實(shí)現(xiàn)。下面我們以“研發(fā)部收發(fā)郵件的權(quán)限”為例來說明如何在TL-FR5300 “策略”里面對郵件進(jìn)行管理？

　　設(shè)置：對于研發(fā)部門的IP地址規(guī)劃以及如何在“對象”-“IP地址/IP地址組”里面進(jìn)行設(shè)置，在這里就不重復(fù)了，有需要的話就請熟悉一下上面第1步的內(nèi)容，或者我們的《防火墻應(yīng)用指南》系列文檔之《防火墻應(yīng)用指南——（二）虛擬服務(wù)器的搭建》。

　　新增一條LAN—>WAN的策略，源地址“研發(fā)部”目的地址“ANY”，服務(wù)就是DNS、SMTP和POP3 。界面如下圖：

　　

　　上圖以SMTP“服務(wù)”為例，在“深層檢測”這一欄選擇“SMTP”然后點(diǎn)擊右面的“設(shè)置”按鈕如下圖：

　　

　　如上圖設(shè)置后，發(fā)送的郵件不能帶有附件，且郵件的總大小是不能超過100KB的。同樣對接收郵件可以設(shè)置POP3的深層檢測，POP3的深層檢測可以對郵件的總大小進(jìn)行限制。設(shè)置完后點(diǎn)擊“確定”按鈕返回上一級“策略”設(shè)置的界面。

　　針對DNS和POP3服務(wù)的“策略”都添加后，對郵件進(jìn)行管理的“策略”就設(shè)置完成了，如下圖所示：

　　

　　如上圖，ID8、ID9、ID10三條策略就可以實(shí)現(xiàn)：“研發(fā)部門可以發(fā)送不帶附件的郵件，收郵件沒有任何限制。”

　　分析：

　　第二種：除了上面描述的通過郵件軟件收發(fā)郵件的方法以外，還有一種方法就是利用WEB站點(diǎn)收發(fā)郵件，也就是電腦通過IE瀏覽器登錄到網(wǎng)站上收發(fā)郵件，比如個(gè)人經(jīng)常使用163信箱、Yahoo、Sohu等網(wǎng)站提供的免費(fèi)信箱。這種類型的操作使用的是WEB技術(shù)。假設(shè)研發(fā)部有進(jìn)行WEB訪問（/瀏覽網(wǎng)站）的權(quán)限，那么通過前面第一種對SMTP和POP3進(jìn)行管理的辦法僅僅只能控制收發(fā)郵件中的一部分。對以WEB方式收發(fā)郵件的操作要進(jìn)行管理的話我們就需要“策略”里面的“（HTTP）深層檢測”來實(shí)現(xiàn)。

　　設(shè)置：

　　對HTTP深層檢測的前提是給單位內(nèi)部某個(gè)工作組開放了WEB訪問權(quán)限的時(shí)候才會(huì)用到，如果某個(gè)工作組沒有WEB訪問權(quán)限，當(dāng)然也就不可能通過WEB方式收發(fā)郵件里。下面的設(shè)置是針對：開啟了WEB訪問權(quán)限同時(shí)又需要對通過WEB方式收發(fā)郵件進(jìn)行管理。如下圖是參數(shù)的設(shè)置：

　　

　　在“服務(wù)”欄選擇HTTP服務(wù)表示W(wǎng)EB權(quán)限（瀏覽網(wǎng)站），在“深層檢測”這一欄選擇“HTTP”并點(diǎn)擊后面的“設(shè)置”按鈕如下圖：

　　

　　對上面的POST方法的大小進(jìn)行限制（單位是字節(jié)），在網(wǎng)站上發(fā)帖、登陸一個(gè)論壇或郵箱、WEB界面發(fā)送一個(gè)郵件，都使用了POST方法，所以這個(gè)大小的設(shè)置可能需要多次動(dòng)態(tài)調(diào)整，上圖設(shè)置的500字節(jié)登陸一般的論壇和郵箱都是沒有問題的，但文字稍多的郵件也可能發(fā)送不出去，推薦設(shè)置到1000字節(jié)。如下圖，通過HTTP深層檢測來控制發(fā)送大小超過限制的郵件。

　　

　　防火墻應(yīng)用指南（四）日志服務(wù)器的安裝與使用

　　

　　第一部分：安裝

　　安裝數(shù)據(jù)庫服務(wù)器：

　　MSDE為SQL Server數(shù)據(jù)庫服務(wù)器的桌面數(shù)據(jù)庫引擎，是微軟提供的免費(fèi)桌面數(shù)據(jù)庫引擎。在電腦上點(diǎn)擊“開始”―“運(yùn)行”，輸入下面三部分信息，這三部分信息用雙引號（“”）擴(kuò)起來表示，中間用加號（+）連接：

　　“解壓的MSDE文件的絕對路徑”+“setup.exe”+“sapwd=XXX”

　　例如下載的壓縮包在C盤根目錄（C:\），解壓后的文件夾路徑是C:\CHS_MSDE2000A ，那么就可以在“運(yùn)行”里面輸入下面這樣的路徑：

　　C:\CHS_MSDE2000A\setup.exe SAPWD=XXX

　　“XXX”表示數(shù)據(jù)庫的登陸密碼，這個(gè)在后面要用到，一定要記住。然后按“回車鍵”，點(diǎn)擊“下一步”進(jìn)行安裝，安裝完成電腦重啟之后，數(shù)據(jù)庫服務(wù)器會(huì)自動(dòng)運(yùn)行并在電腦桌面右下角的任務(wù)欄顯示，到此數(shù)據(jù)庫服務(wù)器就成功安裝。安裝好的數(shù)據(jù)庫服務(wù)器狀態(tài)如下：

　　

　　圖1SQL server服務(wù)管理器

　　安裝防火墻日志服務(wù)器：

　　安裝產(chǎn)品配帶的光盤中的日志服務(wù)器，直接安裝即可。

　　第二部分：連接數(shù)據(jù)庫與登陸日志服務(wù)器

　　做好上面兩步安裝操作后，點(diǎn)擊“開始”—“程序”――“TP-LINK日志服務(wù)器”，可以看到如下登陸界面：

　　

　　圖2TP-LINK防火墻日志服務(wù)器登陸界面

　　服務(wù)器名：填寫圖1中的服務(wù)器后面的名稱；

　　用戶名：SA，不要更改；

　　密碼：輸入在安裝SQL server時(shí)填寫的密碼，注意這個(gè)密碼不能保存，每次登陸都必須重新輸入；

　　數(shù)據(jù)庫名：保持默認(rèn)，不要更改；

　　注：第一次登陸時(shí)需要重新啟動(dòng)SQL server服務(wù)器的，點(diǎn)擊圖1的“停止”，再點(diǎn)擊“開始/繼續(xù)運(yùn)行”，然后再重新打開上圖2的“防火墻日志服務(wù)器”就可以了。

　　順利登陸后，界面如下：

　　

　　圖3防火墻日志服務(wù)器主界面

　　這樣的話我們已經(jīng)順利的運(yùn)行了防火墻日志服務(wù)器，但現(xiàn)在還不能監(jiān)聽到日志，我們還需要在防火墻做相應(yīng)的設(shè)置才可以；

　　登陸防火墻，打開“系統(tǒng)工具”―“Syslog設(shè)置”，輸入安裝防火墻日志服務(wù)器電腦的IP地址，選擇好您想了解的日志類型，啟用并保存即可。

　　圖4Syslog設(shè)置

　　此時(shí)與FR5300“策略”相關(guān)的日志還是不能被監(jiān)聽，對策略相關(guān)的日志還需要在“策略”―“編輯”中的“日志”選項(xiàng)，選中“開啟”和“會(huì)話時(shí)開始記錄”，這樣對防火墻的一切操作或者攻擊等等都在日志服務(wù)器的監(jiān)控之下了。

　　

　　圖5接收到的日志新記錄

　　如上圖，設(shè)置好之后就可以從日志服務(wù)器上查看防火墻日志了。

　　防火墻應(yīng)用指南（五）攻擊防護(hù)實(shí)驗(yàn)演示

　　

　　TL-FR5300為企業(yè)網(wǎng)絡(luò)提供強(qiáng)大的安全保障和防護(hù)功能。支持內(nèi)/外部攻擊防范，提供掃描類攻擊、DoS類攻擊、可疑包和含有IP選項(xiàng)的包等攻擊保護(hù)，能偵測及阻擋IP 地址欺騙、源路由攻擊、IP/端口掃描、DoS等網(wǎng)絡(luò)攻擊，有效防止Nimda、沖擊波、木馬等病毒攻擊。

　　TL-FR5300的攻擊防護(hù)配置界面如下圖：

　　

　　如上圖，“區(qū)域”這個(gè)參數(shù)的概念請參考《用戶手冊》，在攻擊防護(hù)里面，先選擇“區(qū)域”LAN或者WAN，也就是選定將要防護(hù)的區(qū)域。下面我們將以實(shí)驗(yàn)的形式演示TL-FR5300對各類攻擊是如何控制的。

　　1、掃描類攻擊

　　

　　圖1掃描類攻擊

　　掃描類包含三種形式，其中WAN區(qū)域沒有IP欺騙設(shè)置。掃描一般都是發(fā)起攻擊的第一個(gè)步驟，攻擊者可以利用IP掃描和端口掃描來獲取目標(biāo)網(wǎng)絡(luò)的主機(jī)信息和目標(biāo)主機(jī)的端口開放情況，然后對某主機(jī)或者某主機(jī)的某端口發(fā)起攻擊，可見對掃描作預(yù)先的判斷并保護(hù)可以有效的防止攻擊。TL-FR5300防火墻對掃描類攻擊的判斷依據(jù)是：設(shè)置一個(gè)時(shí)間閾值（時(shí)間、微妙級），若在規(guī)定的時(shí)間間隔內(nèi)某種數(shù)據(jù)包的數(shù)量超過了10個(gè)的話，即認(rèn)定為進(jìn)行了一次掃描，那么將在接下來的兩秒時(shí)間里拒絕來自同一源的這種掃描數(shù)據(jù)包。閾值的設(shè)置一般建議盡可能的大，最大值為一秒，也就是1000000微妙，一般推薦0.5秒－1秒之間設(shè)置，簡單的話也就是閾值越大，防火墻對掃描越“敏感”。

　　下面我們先在不開啟防火墻攻擊防護(hù)功能的情況下，看看一個(gè)端口掃描的工具掃描的結(jié)果：

　　

　　圖2掃描到的端口信息

　　

　　圖3利用抓包軟件看到的發(fā)送數(shù)據(jù)包

　　圖2是192.168.1.2這臺主機(jī)利用一個(gè)端口掃描工具掃描10.1.58.60這臺機(jī)器的端口開放情況，圖3是同時(shí)在192.168.1.2主機(jī)上利用抓包工具抓取到的數(shù)據(jù)包，圖中我們可以很清晰的看到掃描工具依次掃描目標(biāo)主機(jī)的端口，從1、2、3…直到掃描完畢。當(dāng)目標(biāo)主機(jī)上有對應(yīng)端口的服務(wù)開放的話，就會(huì)回應(yīng)掃描主機(jī)，比如上圖的43號數(shù)據(jù)包，因此我們也順利的掃描到了目標(biāo)主機(jī)的開放端口21。

　　當(dāng)我們在TL-FR5300“掃描攻擊”設(shè)置閾值為800000微妙時(shí)，在掃描主機(jī)192.168.1.2上面抓包：

　　

　　圖4發(fā)送的數(shù)據(jù)包沒有回應(yīng)

　　

　　圖5防火墻日志服務(wù)器上的提示

　　同樣的對21端口的掃描，圖4中就沒有目的主機(jī)的回應(yīng)，因?yàn)橐呀?jīng)被防火墻拒絕了。圖5是TL-FR5300的日志服務(wù)器上顯示的內(nèi)容，關(guān)于日志服務(wù)器的使用，請參考《防火墻應(yīng)用指南——日志服務(wù)器的安裝與使用》，日志中很清晰的記錄了內(nèi)網(wǎng)電腦192.168.1.2有端口掃描的行為。在開啟了防火墻的攻擊防護(hù)后，掃描軟件掃描的結(jié)果是一片空白，所以這里沒有截圖說明，理論上還是有可能會(huì)掃描到一些端口的，因?yàn)镕R5300每次的掃描判斷還是要允許十個(gè)掃描數(shù)據(jù)包的通過，可能的情況是目的主機(jī)開放了過多的端口或者有開放的端口剛好在被允許的十個(gè)數(shù)據(jù)包之中，但這種幾率是微乎其微的。

　　2、DOS類攻擊防護(hù)

　　

　　圖6DOS類攻擊防護(hù)

　　拒絕服務(wù)（DoS--Denial of Service）攻擊的目的是用極其大量的虛擬信息流耗盡目標(biāo)主機(jī)的資源，目標(biāo)主機(jī)被迫全力處理虛假信息流，從而影響對正常信息流的處理。如果攻擊來自多個(gè)源地址，則稱為分布式拒絕服務(wù)DDoS。

　　TL-FR5300對DoS類攻擊的判斷依據(jù)為：設(shè)置一個(gè)閾值（單位為每秒數(shù)據(jù)包個(gè)數(shù)PPS＝Packet Per Second），如果在規(guī)定的時(shí)間間隔內(nèi)（1秒），某種數(shù)據(jù)包超過了設(shè)置的閾值，即認(rèn)定為發(fā)生了一次洪泛攻擊，那么在接下來2秒的時(shí)間內(nèi)，忽略掉下來自相同攻擊源的這一類型數(shù)據(jù)包。

　　這里“DoS類攻擊防護(hù)”閾值設(shè)置與上面“掃描攻擊”閾值剛好相反，這里值越小越“敏感”，但一般也不能太小，正常的應(yīng)用不能影響，我們可以根據(jù)自己的環(huán)境在實(shí)際的應(yīng)用中動(dòng)態(tài)調(diào)整。

　　下面我們來看看一個(gè)ICMP的例子：

　　

　　圖7大量的ICMP包

　　在192.168.1.2這臺主機(jī)上利用工具軟件制造了300pps的ICMP包，發(fā)往10.1.58.60這臺主機(jī)，從圖中我們也可以看到目標(biāo)主機(jī)的艱難回應(yīng)，如果速度更快些呢？不僅僅是目標(biāo)主機(jī)，網(wǎng)絡(luò)設(shè)備同樣可能忙于回應(yīng)這些攻擊包，我們在FR5300“DoS類攻擊防護(hù)”-“ICMP Flood”中設(shè)置閾值300后，在192.168.1.2這臺主機(jī)上抓包發(fā)現(xiàn)大部分只有ICMP Request（如下圖9），隔一段時(shí)間會(huì)有少數(shù)的Reply，大部分沒有了回應(yīng)，因?yàn)楸环阑饓芙^了！防火墻日志服務(wù)器上也記錄了這個(gè)攻擊，如下圖8：

　　

　　圖8ICMP洪泛

　　

　　圖9ICMP包沒有了回應(yīng)

　　3、可疑包與含有IP選項(xiàng)的包

　　

　　圖10可疑包與含有IP選項(xiàng)的包

　　一般情況下上面兩部分的數(shù)據(jù)包是不會(huì)出現(xiàn)的，屬于非正常的包，可能是病毒或者攻擊者的試探，TL-FR5300在設(shè)置了相應(yīng)的攻擊防護(hù)的話會(huì)將對應(yīng)的數(shù)據(jù)包丟棄。

　　本文從兩個(gè)很簡單的實(shí)驗(yàn)說明攻擊的原理和TL-FR5300面對攻擊的處理機(jī)制，文中涉及的參數(shù)僅供參考，在現(xiàn)實(shí)的應(yīng)用環(huán)境中還需要不斷的測試和調(diào)整以達(dá)到最好的使用效果。

　　當(dāng)不再為網(wǎng)絡(luò)帶寬發(fā)愁的今天，攻擊是穩(wěn)定性和安全性的最大敵人，使用TL-FR5300的攻擊防護(hù)功能可以讓您的網(wǎng)絡(luò)更加容易管理、更加穩(wěn)定、更加安全！

　　防火墻應(yīng)用指南（六）“策略”方向性問題的探討

　　

　　在配置TL-FR5300策略的時(shí)候，對于策略的方向性需要仔細(xì)分辨，本文檔對于一些異常的、少見的情況下策略的方向確定，給出了一些參考建議。

　　假設(shè)TL-FR5300 WAN口的IP地址是222.77.77.40 ，內(nèi)網(wǎng)服務(wù)器的IP地址是192.168.1.10，提供的服務(wù)端口是30 。

　　1,一般情況

　　如果在FR5300的LAN區(qū)域建立了服務(wù)器，提供給WAN區(qū)域主機(jī)訪問，我們必須建立從WAN—>LAN的策略。（將“自定義服務(wù)”里面的服務(wù)端口就設(shè)置為LAN區(qū)域服務(wù)器提供的服務(wù)端口）設(shè)置如下：

　　

　　如上圖，當(dāng)然可以定義別的任何端口，只需要訪問的時(shí)候使用定義端口就可以了。

　　

　　策略設(shè)置如上圖，這個(gè)大家都已經(jīng)會(huì)設(shè)置了。設(shè)置后以后，WAN區(qū)域主機(jī)主動(dòng)訪問WAN口IP地址的30端口，F(xiàn)R5300會(huì)將訪問的數(shù)據(jù)包轉(zhuǎn)發(fā)至內(nèi)網(wǎng)的192.168.1.10這臺主機(jī)，然后192.168.1.10回應(yīng)數(shù)據(jù)包，連接建立。

　　2，特殊情況

　　上面都是WAN區(qū)域主動(dòng)發(fā)起連接，連接LAN區(qū)域的服務(wù)器，這樣將符合WAN—>LAN策略，可以成功連接。如果用戶的使用環(huán)境中，先是WAN區(qū)域主動(dòng)發(fā)起連接，正常連接服務(wù)器，然后從服務(wù)器上獲取信息的時(shí)候，這個(gè)信息需要服務(wù)器主動(dòng)發(fā)起新的連接，連接使用的源端口仍然是30這個(gè)服務(wù)端口，目的端口是客戶端的隨機(jī)端口，這樣的連接能否建立呢？答案是不能建立的，雖然我們設(shè)置了從WAN—>LAN的策略，已經(jīng)包含了自定義的30端口，但是這里是服務(wù)器主動(dòng)發(fā)起的連接，這個(gè)新連接并不能符合從WAN—>LAN的策略，而是必須要重新定義從LAN到WAN的策略，配置如下：

　　

　　注意和第一幅圖片定義的端口位置不同！

　　

　　如上圖再增加這樣一條從LAN—>WAN的策略，將源端口30的數(shù)據(jù)包也就是服務(wù)器的數(shù)據(jù)包權(quán)限開放，那么才能達(dá)到用戶的需求！也就是如果WAN區(qū)域主機(jī)訪問服務(wù)器后，服務(wù)器主動(dòng)發(fā)起新連接但是源端口不改動(dòng)，這時(shí)候從WAN—>LAN的策略是不能滿足的，必須再增加一條從LAN—>WAN的策略來開放服務(wù)器主動(dòng)訪問WAN區(qū)域的權(quán)限才可以！

　　3,內(nèi)網(wǎng)建立E-mail服務(wù)器的問題

　　如下示意圖：

　　

　　如上圖：在FR5300的內(nèi)網(wǎng)建立了一臺TP-LINK E-mail服務(wù)器，本地的電腦都是在TP-LINK E-mail服務(wù)器上收發(fā)郵件。外網(wǎng)某主機(jī)使用Yahoo的信箱。如果“外網(wǎng)主機(jī)發(fā)送一封郵件給本地的電腦”，那么數(shù)據(jù)包的流程是上圖中藍(lán)色線標(biāo)注的——先是外網(wǎng)主機(jī)將自己的郵件發(fā)送給自己的E-mail服務(wù)器也就是Yahoo的郵件服務(wù)器（使用SMTP/WEB協(xié)議），然后Yahoo的郵件服務(wù)器再將郵件發(fā)送給TP-LINK E-mail服務(wù)器（使用SMTP協(xié)議），然后本地電腦再從TP-LINK E-mail服務(wù)器上收取郵件（使用POP3/WEB協(xié)議）。

　　如果本地電腦要發(fā)送郵件給外網(wǎng)的Yahoo信箱，流程如下圖：

　　

　　如上圖：本地電腦先將數(shù)據(jù)包發(fā)送給內(nèi)網(wǎng)的TP-LINK E-mail服務(wù)器（使用SMTP/WEB協(xié)議），TP-LINK E-mail服務(wù)器再將數(shù)據(jù)發(fā)送給外網(wǎng)的Yahoo E-mail服務(wù)器（使用SMTP協(xié)議），之后外網(wǎng)的主機(jī)再從Yahoo郵件服務(wù)器上收取郵件（使用POP3/WEB協(xié)議）。

　　上面的兩次流程，我們可以看到內(nèi)網(wǎng)主機(jī)和外網(wǎng)主機(jī)在互通郵件的時(shí)候，實(shí)際上是：縣發(fā)送給自己的E-mail服務(wù)器，然后才是分處內(nèi)外網(wǎng)的兩臺E-mail服務(wù)器之間通過SMTP協(xié)議互相發(fā)送郵件的。

　　根據(jù)上面的描述，如果上面這種情況下在FR5300上面設(shè)置策略，需要兩條策略：

　　1，WAN——>LAN（源地址）ANY –（目的地址）WAN IP –（預(yù)定義服務(wù)）SMTP –NAT

　　上面這條策略用于外網(wǎng)的郵件服務(wù)器給內(nèi)網(wǎng)的郵件服務(wù)器發(fā)送郵件。

　　2，LAN——>WAN（源地址）.10– （目的地址）ANY– （預(yù)定義服務(wù)）SMTP/DNS

　　這條策略用戶內(nèi)網(wǎng)郵件服務(wù)器給外網(wǎng)郵件服務(wù)器發(fā)送郵件。

　　假設(shè)沒有設(shè)置第2條策略，內(nèi)網(wǎng)用戶就發(fā)現(xiàn)：自己可以成功發(fā)送郵件給外網(wǎng)用戶，但是外網(wǎng)用戶收不到。因?yàn)槭浅晒Πl(fā)送給了內(nèi)網(wǎng)的郵件服務(wù)器，而內(nèi)網(wǎng)郵件服務(wù)器因?yàn)闆]有LAN到WAN的權(quán)限，所有外網(wǎng)主機(jī)收不到郵件。

　　防火墻應(yīng)用指南（七）――URL過濾功能使用舉例

　　在現(xiàn)實(shí)應(yīng)用中，我們經(jīng)常需要做這么一種權(quán)限控制：部分員工只允許上部分網(wǎng)站，那么它該怎么樣在防火墻TL-FR5300上去實(shí)現(xiàn)呢？

　　需求：用戶小王（IP為192.168.1.200）只能上搜狐（http://www.sohu.com）和公司網(wǎng)站（http://www.）。

　　設(shè)置步驟：

　　對象設(shè)置；

　　設(shè)置IP對象；

　　建立URL過濾模式表；

　　建立URL過濾配置表；

　　策略設(shè)置；

　　設(shè)置策略；

　　首先，我們登陸到TL-FR5300的管理界面，進(jìn)入“對象”菜單，選擇“IP地址”子菜單，注意區(qū)域選擇“LAN”因?yàn)槟谶@里設(shè)定的對象為您內(nèi)網(wǎng)電腦的IP，點(diǎn)擊“添加”。

　　

　　然后建立URL過濾模式表，同樣在“對象”菜單中選擇“URL模式表”，點(diǎn)擊“新增”按鈕進(jìn)入配置頁面后依次將“sohu.com”和“”兩個(gè)網(wǎng)站地址添加進(jìn)去。（注意： 象SOHU這類門戶網(wǎng)站，對應(yīng)著多個(gè)服務(wù)器和域名，在此我們只能輸入sohu.com，而不能是www.sohu.com）

　　

　　接下來我們就在URL過濾配置里面進(jìn)行設(shè)置。

　　過濾名稱：可以任意填入一個(gè)，但為了方便防火墻以后的維護(hù)工作，建議取一個(gè)有代表性的名字。

　　黑名單：它的意思是禁止內(nèi)網(wǎng)電腦訪問選中的網(wǎng)站。如果在該應(yīng)用中您將sohu&tp-link選中，則內(nèi)網(wǎng)電腦就不能訪問sohu和tp-link兩個(gè)網(wǎng)站。

　　白名單：它的意思是允許內(nèi)網(wǎng)電腦訪問選中的網(wǎng)站。如果在該應(yīng)用中您將sohu&tp-link選中，則內(nèi)網(wǎng)電腦可以訪問sohu和tp-link兩個(gè)網(wǎng)站。

　　缺省動(dòng)作：它是配合黑/白名單進(jìn)行設(shè)置的。缺省值就是您在黑/白名單中設(shè)置的網(wǎng)頁以外所有的網(wǎng)頁。

　　例如您在黑名單中選擇sohu&tp-link，缺省動(dòng)作為：允許。

　　因?yàn)槟诿麊沃羞x了sohu&tp-link，白名單為空，則內(nèi)網(wǎng)電腦不能訪問sohu和tp-link兩個(gè)網(wǎng)站，但是缺省動(dòng)作為：允許，所有內(nèi)網(wǎng)電腦可以訪問出上面兩個(gè)網(wǎng)站以外所有的網(wǎng)站。

　　例如您在黑名單中選擇了sohu&tp-link，白名單為空，缺省動(dòng)作為：禁止。

　　則您內(nèi)網(wǎng)電腦不能訪問sohu和tp-link兩個(gè)網(wǎng)站，但是除此之外所有的網(wǎng)站它也不能訪問，也就是說不能訪問任意網(wǎng)站。

　　例如您將白名單選擇sohu&tp-link，黑名單為空，缺省動(dòng)作為：禁止。

　　內(nèi)網(wǎng)電腦就只能訪問sohu和tp-link兩個(gè)網(wǎng)站，其它網(wǎng)站不能訪問。

　　例如白名單選擇sohu&tp-link，黑名單為空，缺省動(dòng)作為：允許。

　　則內(nèi)網(wǎng)電腦除了能訪問sohu和tp-link網(wǎng)站外還可以訪問其它所有的網(wǎng)站。也就是說可以訪問所有的網(wǎng)站。

　　

　　最后一步我們就是在防火墻中進(jìn)行策略的設(shè)置如下圖所示：

　　注意選擇區(qū)域?yàn)椋篖AN－>WAN。

　　

　　

　　在上圖策略的設(shè)置中，源地址就是您內(nèi)網(wǎng)想限制的電腦的IP地址，在這里是我們在對象――IP地址中設(shè)置的“xiao wang”。然后注意啟用深層檢測。

　　一般防火墻里面會(huì)有一條ANY到ANY的缺省策略，如果您不將它刪除，那么想限制的電腦還是能訪問所有網(wǎng)站，因?yàn)楫?dāng)您訪問其他網(wǎng)站時(shí)，防火墻會(huì)在策略中進(jìn)行匹配。如果匹配到ANY到ANY的策略，則內(nèi)網(wǎng)所有的電腦都可以訪問外網(wǎng)所有的主機(jī)。

　　經(jīng)過上面幾步操作我們就成功的設(shè)置了內(nèi)網(wǎng)用戶“小王”的上網(wǎng)權(quán)限。關(guān)于防火墻的其它設(shè)置請參考我們的《防火墻應(yīng)用指南》系列文檔進(jìn)行設(shè)置。