當 架設 NetScreen 5GT 防火牆之後,若防火牆內有提供資源分享的伺服器(如 file server、Web server、SQL server 等)時,預設狀態下遠端用戶是無法對內部伺服器作存取的動作,這是因為尚未設定相關的管制條例,以允許外部用戶能夠存取伺服器資源,這樣的設定其實類似寬 頻分享器設定 mapping 或是 virtual sever 的方式,只是多了建立管制條例的步驟。以下內容以設定 SQL server 為例,來說明設定步驟。
步驟一:由客戶端了解 server 提供 service 的 port number,並定義此 servic e的 object。
1. 點選左窗格 Objects→Services→Custom→New。
2. 於右窗格輸入 Service Name、Transport protocol、Source 及 Destination Port。
Source port 代表外部的用戶端,故為任一 port,而 destination port 則代表 SQL server,故設定為提供服務的 port number。
步驟二:將對外 IP 位址對映(mapped)給 SQL server。
1. 點選左窗格 Network→Interface。
2. 於右窗格中選取表格中 untrust 列中的 EDIT→MIP→NEW。
輸入: 1. mapped IP(對外 IP)。 2. 子網路遮罩採用預設值。 3. Host IP(SQL server 私有 IP)。 4. virtual router 使用 trust-vr。
步驟三:新增允許外部進入存取 SQL server 的管制條例。
1. 於左邊窗格選取 Policies。
2. 於右邊窗格中將「From」設定為 untrust、「To」設定為 trust,之後再按『New』。
3. 設定管制條例內容: 「Source Address」為 Any。 「Destination Address」為對映的 IP(外部 IP)。 「Service」下拉選單,選取在步驟一自訂的 service(SQL server),或點選『Multiple』將欲開放的多個服務移至左邊的欄位內。 「Logging」勾選則可監看管制條例的動作紀錄,只要點選『Options』欄位內的表格圖示即可顯示紀錄表。
以 上步驟設定完成後,外部用戶即可存取防火牆內部的伺服器資源了。若內部還有其它提供資源的伺服器,也是以此方式來設定,但要注意的是對外的 IP 則需使用另一組,不能再使用已對映過的 IP address;如本文範例所示,SQL server 已對映了IP 192.168.0.33,則此組 IP 便不能再對映給其他伺服器了,而必需使用另一組 IP 才行。
原文轉址 |
沒有留言:
張貼留言