小型企業,一般就在路由器和防火牆之間二選一,不太會同時上兩個設備,在他們眼裡,防火牆和路由器都一樣,無非就是用來上網,這麼認為其實也的确無可厚非,因為現在的産品,邊界越來越模糊,小型網絡裡面,用戶要求不高,貌似選哪個都差不多。
但是事實上,還是有不同的,這不路由器畢竟沒有防火牆的功能,服務器被惡意中繼了,然後IP就被電信運營商封了。
——蘇州某企業,凡是http的網站,全部都上不去,其他一切正常,筆者的筆記本電腦直接插到光貓,也不行,很明顯就是被電信運營商封禁了,代客戶提出申請後,運營商暫時把客戶的IP放到白名單裡了。
今天為客戶上硬件防火牆:華為USG6305E,原來的Tp-link企業級路由器降級成為AC控制器,拓撲圖如下:
配置内外網絡接口,并且使内網計算機能連接互聯網
一、配置網絡接口
1、先把防火牆電源線插上,打開電源。這不是多此一舉地湊字數,而是提醒你,防火牆啟動比較慢,所以先讓它上電比較重要,能節省時間;
2、給電腦的有線網卡設置一個IP地址:192.168.0.11,子網掩碼:255.255.255.0,其他不必填寫;電腦網線連接到防火牆的mgnt接口,即管理接口,這個接口默認的IP是192.168.0.1;
3、打開浏覽器,輸入https://192.168.0.1:8443,就能看到防火牆的登錄界面了
默認的用戶名和密碼,就寫在随機說明上,咱們就不在這裡多說了。
4、第一次登錄,需要按照系統提示修改密碼,注意要滿足複雜性要求,最好有大小寫英文字母、數字和特殊符号組成;
5、配置内網接口,筆者将GE0/0/1配置為内網卡,IP地址為:192.168.1.1/24
6、配置外網接口,注意,Wan0/0/0接口,是固定IP的城域網,IP地址就不貼出來了,配置方法參考上圖,注意子網掩碼的不同之處。Wan0/0/1接口上的ADSL。暫時還沒安裝到位,等電信安裝後再配置
二、啟用DHCP服務,配置DHCP地址池
IP地址範圍,根據自己的需要配置; IP地址的租期,這裡配置為2小時,因為有些是顧客的手機,不會停留太長時間,要讓IP及時釋放。
三、配置靜态路由
目的地址配置為0.0.0.0/0,即任意地址;出接口選擇Wan0/0/0,下一跳地址為電信運營商提供的網關地址
四、配置NAT,使内網計算機能夠訪問互聯網
配置服務器映射,即端口映射,使得外網能訪問内網服務器
名稱:随意填寫,但是最好有一定意義,以便于識别;公網地址:電信運營商提供的IP地址;私網地址:即内網的服務器;協議:根據需要選擇,此處選擇TCP,公網接口:在外網開放給用記的端口,為安全起見,最好不要和内網真正使用的端口相同;私網接口:内網服務器真正使用的服務端口
配置完成後,可以在外網,用telnet命令檢測,映射是否生效:
telnet 電信運營商IP 公網端口号
如果有反應,就表示配置成功,如果連接失敗,那麼需要在内網執行命令
telnet 内網服務器IP 私網端口号
如果有反應,就表示端口服務正常工作中,那麼前面在外網連接失敗,要從防火牆上找原因;如果連接失敗,那麼需要檢查服務器上的相關服務是否已啟動。
配置特殊的NAT,使内網計算機能通過公網的IP地址和端口來訪問内網的服務器
本以為工作可以暫時告一段落,但是客戶說ERP系統無法登錄,定向開發的ERP系統,看到不任何配置文件,打給客服,隻是說開放一個端口即可,經檢查,端口已經正常開放,讨論半天,才知道,ERP公司把公網IP寫在程序裡面了,需要把服務器DMZ到公網,瞬間被筆者否決了,理由就一個,不安全。
程序員說改代碼很麻煩的,讓筆者想辦法,好吧,以前也這麼配置過,但是是防火牆品牌不同,參考意義不大,所以還得折騰一下:新建一個NAT
NAT類型:NAT;轉換模式:僅轉換源地址;源安全區域:trust;源地址:192.168.1.0/24,即内網整個網段;目的地址:内網服務器IP,注意書寫格式:192.168.1.8/32;服務:any;轉換後的數據包,即源地址轉換為:出接口地址。這樣配置以後,防火牆就會把内網計算機訪問這台服務器請求,轉發到公網的IP和端口了;
拓展知識:程序代碼中綁定IP并不是什麼好事,如何避免切換IP的煩瑣?程序代碼中綁定IP的方式,非常不合理、不方便,一是IP地址有變化的風險,每次變化都要調整代碼; 二來,内外網同時使用很麻煩,不支持配置特殊NAT的普通路由器怎麼辦?隻能配置DMZ,那是相當的不安全。
其實要解決這個問題,也不難,就是在代碼中抛棄IP地址,改為綁定域名:在外網,隻要在域名注冊商的DNS管理後台,寫一條A記錄,指向電信運營商給的公網IP地址就可以了;同樣道理,在内網,就在自己的DNS服務器上,寫一條A記錄,指向内網服務器的IP地址,這樣的話,無論客戶端是在内網還是在外網,都能解析到需要的IP地址,也就能順利訪問到服務器了。
——筆者為網絡工程師,擅長計算機網絡領域,創業多年,希望把自己的經驗分享給大家,覺得有用的,可以關注、點贊、轉發,如有相同或者不同觀點,歡迎評論。最近在“櫥窗”上了一些精選商品和書籍,歡迎品評,謝謝!
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!