【AC】防火墙功能简单说明-防火墙
  

Sangfor闪电回_小丸子 发表于 2017-9-14 14:24

1.用户需求:新采购的AC设备要替换原来的网关设备代理内网用户上网,请问是否可以实现?如果可以请简述设置步骤。
(网络情况说明:内网一个网段、一条公网线路、一个公网地址)
可以实现;
1)部署模式里面选择“路由模式”;
2)在“防火墙-NAT代理上网”新增“NAT代理上网”(规则名称自定义、外网接口默认、代理所有网段、转换源IP为默认,点击“提交”即可)

2.用户网络比较特殊:多条公网线路、多个公网IP地址,重要的是要实现访问公网特定的地址、协议、端口通过指定的的公网线路(公网IP)出去,即便是指定线路故障也不需要走其他线路,请问是否可以实现?
可以实现;
在“防火墙-NAT代理上网”新增“NAT代理上网”规则:
规则名称自定义、外网接口选择‘应用于指定网口’---选择需要用到的网口(如wan1);
代理网段‘代理指定网段’---内网需要走此规则的源网段;
转换源IP为‘使用如下地址’---填写要转成的wan口地址;
点击进入“高级设置”目标IP地址转换条件选择‘指定目标地址网段’---设备wan区或公网被访问的目标IP段;
协议转换条件选择‘指定协议类型’---有TCP/UDP/ICMP/其他可选,并设置目标端口。

3.AC设备做网关,需要将内网的服务器(tcp8090端口)发布至公网供用户访问,请问是否可以实现?
在“端口映射”里面添加“DNAT规则”即可实现;
此以高级规则为例:
进入“端口映射”新增“高级规则”:
规则名称自定义;
外网接口选择‘指定网口’---选择需要使用的wan口;
源IP地址转换条件选择‘所有IP地址’;(因为是针对所有公网用户开放)
目标IP地址转换条件选择‘指定目标地址网段’---此处填写wan口公网IP、子网掩码255.255.255.255;
协议转换条件---协议类型选择‘TCP’、源端口选择‘所有端口’、目的端口选择‘指定端口或范围’(此处为8090端口);
映射到IP地址选择‘指定IP地址’---此处填写内网要发布的web服务器地址;
映射端口选择‘指定端口或范围’---此处填写内网要发布的web服务器提供服务的端口;
点击“提交”即可

4.用户处有公网域名,现要求无论内网、外网用户访问公司的服务器都要使用公网域名访问,希望此需求由AC设备来完成。
AC设备可以实现此需求,需要分两步:
1)将公网域名和本网络的公网地址进行绑定,此操作请联系域名服务商协助;
2)端口映射规则配置请参考第3点,需要勾选配置页面下方的“发布服务器(允许内网用户以外网IP来访问内网服务器)”

5.请问设备的防火墙规则默认是允许还是拒绝的?在添加NAT代理上网规则、端口映射规则后是否还需要另外添加防火墙规则?
通常用到的防火墙规则(方向):LAN<->WAN、DMZ<->WAN、LAN<->DMZ,其中LAN->WAN和DMZ->WAN方向默认是允许的;
添加NAT代理上网规则后动作默认就是允许的,不需要另外添加允许的防火墙规则;
添加端口映射规则的时候在配置界面有个选项“防火墙自动放行数据”勾选即可。

6.网络管理员在AC设备里面做了一条DNAT规则,目的把内网服务器(tcp80端口)发布到公网供所有用户访问,但是 发现规则做好以后外网用户测试却访问不了(可以确定规则做的完全正确),请给出相关排查方法。
1)从公网访问的时候观察页面是如何显示的,如果显示的是设备认证页面 说明端口映射规则没做成功,需要检查并调整规则设置;
2)如果显示的是该页无法显示,则有可能是公网IP或端口无效,需要和运营商确认公网IP是否有效,运营商分配的公网IP是否配置在设备wan口;
3)通常情况公网线路的80端口是被关闭的,需要备案申请开通此端口,也可以尝试修改其他端口。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

cyhi Lv3发表于 2017-9-15 08:59
  
内容很详细,但是好像有截图会更好点
周鲸鲸 Lv5发表于 2017-9-15 09:36
  
可以可以