收藏
常见问题解答- 1.
-
答案:- 过滤规则、NAT规则、安全选项、MACIP绑定项、流量限制额参数、UFP服务器IP地址和网卡参数等。如果没把握,建议每次配置完后都要执行“start firewall”和“start content”命令。
-
- 2.
-
-
- 3.
-
-
- 4.
-
-
- 答案:
- 要由内网访问DMZ网,在NAT情况下由于发起方是内部机器,地址范围可以确定,而DMZ服务器的地址往往是保留地址,因此需要修改数据包中的目的地址,因此称为目的NAT,配置NAT规则时需要改变目的地址,源地址不变,假设内部机器地址范围为:192.168.1.0/24,DMZ服务器IP为172.16.0.2,防火墙DMZ网卡地址为172.16.0.1如用以下命令: “add nat static 192.168.1.0/24 172.16.0.2 80 192.168.1.0/24 172.16.0.1 80” 即可实现内网访问DMZ区的WWW服务器,注意此规则中的倒数第二个参数可以使用防火墙的外网卡、DMZ网卡地址,但不要用内网卡地址,否则Java控制台有可能不能连接防火墙,因为这样会使防火墙不能区分Java控制台是要连接防火墙还是DMZ服务器。 如果端口不同,称为端口映射,如用以下命令: “add nat static 192.168.1.0/24 172.16.0.2 8080 192.168.1.0/24 172.16.0.1 80” 则将对8080端口的访问转到80端口上。 当然,在过滤规则中还要增加允许访问DMZ服务器的相应规则,如: “add rule tcp 192.168.1.0/24 172.16.0.2 80 internal accept” 注意:此规则与问题14中的规则的差异在于源地址是有范围的,而不是any,两种情况下防火墙的处理是有较大差别的,在配置规则时必须注意。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 5.
-
-
- 答案:
- 要由外网访问DMZ区,在NAT情况下由于发起方是外部机器,而DMZ区服务器的地址往往是保留地址,因此需要修改数据包中的目的地址,因此称为目的NAT,配置NAT规则时需要改变目的地址,源地址不变,假设DMZ服务器IP为172.16.0.2,防火墙外部地址为10.0.0.1(这也是一个保留地址,在实际中根据实际情况取实际值),如用以下命令: “add nat static any 172.16.0.2 80 any 10.0.0.1 80” 即可实现外网访问DMZ的WWW服务器,如果端口不同,称为端口映射,如用以下命令: “add nat static any 172.16.0.2 8080 any 10.0.0.1 80” 则将对8080端口的访问转到80端口上。 当然,在过滤规则中还要增加允许访问DMZ服务器的相应规则,如: “add rule tcp any 172.16.0.2 80 external accept” 注意:在指定目的NAT规则时,端口一般不要设置为“any”,而必须明确指定,否则外界就可能访问到内部服务器开的一些危险端口从而取得服务器的控制权。如果只允许某些外部IP访问DMZ服务器,NAT规则也应该按所述NAT规则形式设置,然后在过滤规则表中进行过滤处理,以免和下面的情况冲突。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 6.
-
-
- 7.
-
-
- 8.
-
- 答案:
- 安全选项的优先级最高,安全选项禁止时即使规则允许也不能通过。
-
