2008年7月19日 星期六

讓遠端用戶通過NetScreen 5GT防火牆來存取內部伺服器

如何讓遠端用戶通過NetScreen 5GT防火牆來存取內部伺服器資源?

03 / 28 / 2005

當 架設 NetScreen 5GT 防火牆之後,若防火牆內有提供資源分享的伺服器(如 file server、Web server、SQL server 等)時,預設狀態下遠端用戶是無法對內部伺服器作存取的動作,這是因為尚未設定相關的管制條例,以允許外部用戶能夠存取伺服器資源,這樣的設定其實類似寬 頻分享器設定 mapping 或是 virtual sever 的方式,只是多了建立管制條例的步驟。以下內容以設定 SQL server 為例,來說明設定步驟。

步驟一:由客戶端了解 server 提供 service 的 port number,並定義此 servic e的 object。

1. 點選左窗格 Objects→Services→Custom→New。

2. 於右窗格輸入 Service Name、Transport protocol、Source 及 Destination Port。

Source port 代表外部的用戶端,故為任一 port,而 destination port 則代表 SQL server,故設定為提供服務的 port number。




步驟二:將對外 IP 位址對映(mapped)給 SQL server。

1. 點選左窗格 Network→Interface。

2. 於右窗格中選取表格中 untrust 列中的 EDIT→MIP→NEW。

輸入:
1. mapped IP(對外 IP)。
2. 子網路遮罩採用預設值。
3. Host IP(SQL server 私有 IP)。
4. virtual router 使用 trust-vr。






步驟三:新增允許外部進入存取 SQL server 的管制條例。

1. 於左邊窗格選取 Policies。

2. 於右邊窗格中將「From」設定為 untrust、「To」設定為 trust,之後再按『New』。



3. 設定管制條例內容:
「Source Address」為 Any。
「Destination Address」為對映的 IP(外部 IP)。
「Service」下拉選單,選取在步驟一自訂的 service(SQL server),或點選『Multiple』將欲開放的多個服務移至左邊的欄位內。
「Logging」勾選則可監看管制條例的動作紀錄,只要點選『Options』欄位內的表格圖示即可顯示紀錄表。





以 上步驟設定完成後,外部用戶即可存取防火牆內部的伺服器資源了。若內部還有其它提供資源的伺服器,也是以此方式來設定,但要注意的是對外的 IP 則需使用另一組,不能再使用已對映過的 IP address;如本文範例所示,SQL server 已對映了IP 192.168.0.33,則此組 IP 便不能再對映給其他伺服器了,而必需使用另一組 IP 才行。


原文轉址


沒有留言:

張貼留言