第一篇：配置外網(wǎng)可訪問的ftp服務(wù)的一些心得體會

配置外網(wǎng)可訪問的ftp服務(wù)的一些心得體會

首先用IIS配置ftp服務(wù)，這里不再贅述，網(wǎng)上很多。

接下來是重點了，配置好ftp服務(wù)后要讓外網(wǎng)訪問你，首先要先到路由器去映射你的主機，因為寢室共用一個路由，大家只有一個外網(wǎng)IP地址。因此必須要映射路由，讓外網(wǎng)訪問你這個局域網(wǎng)便能訪問你的計算機。

一、配置虛擬主機（各個路由器不同，具體參照路由器說明書和幫助文檔。我的是Tenda路由）。先了解你的內(nèi)網(wǎng)IP是多少（大多數(shù)是192.168.……，我的是192.168.0.6）。登陸路由器（我的是192.168.0.1），虛擬主機設(shè)置為啟用。（好像周冠試了，不設(shè)置這個也可以）。

二、啟用DMA主機映射，這才是關(guān)鍵，要讓外網(wǎng)一訪問你這個局域網(wǎng)就能訪問到你的計算機，這里要知道你的外網(wǎng)IP地址。

經(jīng)過以上步驟，外網(wǎng)應(yīng)該可以訪問我們的ftp服務(wù)器了，不過我覺得肯定有些問題我沒發(fā)現(xiàn)，不可能這么簡單的。

還有，我覺得既然ftp可以如此，http一定可以，以后一定會去嘗試一下。

第二篇：怎樣讓外網(wǎng)訪問自己的虛擬主機

怎樣讓外網(wǎng)訪問自己的虛擬主機

隨著網(wǎng)絡(luò)的發(fā)展，越來越多的中小型企業(yè)如雨后春筍般應(yīng)運而生，建設(shè)自己的網(wǎng)站已經(jīng)是司空見慣之事，那么作為一個站長，該如何選擇一個可靠的虛擬主機呢，這對于網(wǎng)站的發(fā)展起著至關(guān)重要的作用！當(dāng)然讓外網(wǎng)訪問自己的虛擬主機也是比較重要的，專職優(yōu)化、域名注冊、網(wǎng)站空間、虛擬主機、服務(wù)器托管、vps主機、服務(wù)器租用的中國信息港在這里就為大家做深入探討！

這幾天在一臺大內(nèi)存的擁有雙千兆網(wǎng)卡的服務(wù)器上搞了一個虛擬機做測試，目的是讓虛擬機也能跟其他真實存在的機器一樣成為一臺服務(wù)器，為局域網(wǎng)和互聯(lián)網(wǎng)提供服 務(wù)。也就是說不止要讓局域網(wǎng)的其他機器能訪問到，因為有分配了一個公網(wǎng)的IP地址，所以也要讓外網(wǎng)訪問虛擬機。嗯？有點枯燥？那咱們配圖說話（點擊圖片看 大圖）：

這次安裝虛擬機采用的是VMware Workstation。由于之前用虛擬機頂多就是在局域網(wǎng)內(nèi)跑或是單機跑。所以從來都沒怎么關(guān)注過VMware Workstation的網(wǎng)絡(luò)類型。于是馬上Google和百度分別來幾下。

感謝作者，圖文并茂介紹了VMware Workstation的虛擬網(wǎng)絡(luò)類型。經(jīng)過學(xué)習(xí)之后，我決定采用Bridge方式。因為這個方式很適合用來實現(xiàn)我想要的功能。

邏輯上，我們在虛擬機上也建立兩張網(wǎng)卡，再采用bridge的網(wǎng)絡(luò)類型，把兩張?zhí)摂M網(wǎng)卡橋接到實際存在的兩張物理網(wǎng)卡上，再分別設(shè)置相對應(yīng)的IP地址。即可。母機上的兩張物理網(wǎng)卡，一張是接入內(nèi)部交換機，網(wǎng)卡名字后面有#2。另外一張接入外網(wǎng)的路由器中。

具體上如何操作呢？下面咱們也來圖文并茂給大家介紹一下。

首先，得建立虛擬機（感覺是廢話），最好采用自定義建立，這樣在選擇網(wǎng)絡(luò)的時候，選擇Bridged方式（另外三個分別是NAT、host-only、不是用任何網(wǎng)絡(luò)），建立好之后，先別啟動虛擬機。點選如（圖三）所示（點擊菜單欄的Edit后，再點Virtual Network Settings...）點了之后會出現(xiàn)Virtual Network Editor的界面，點擊Automatic Bridging，然后把那個勾勾取消掉。再點擊Host Virtual Network Mapping的標(biāo)簽，進入如（圖四）的界面。

這 里解釋一下哦。因為我們需要虛擬兩張網(wǎng)卡，然后采用的是bridge的方式，所以我們這里需要設(shè)置一下。把兩張?zhí)摂M網(wǎng)卡橋接到母機的物理網(wǎng)卡上。如（圖 四），我們可以看到有VMnet0到VMnet9共10張?zhí)摂M網(wǎng)卡。其中，VMnet0默認(rèn)是采用Bridge是用的虛擬網(wǎng)卡，VMnet8是默認(rèn)情況下 NAT方式使用的虛擬網(wǎng)卡，VMnet1是默認(rèn)采用host-only時使用的虛擬網(wǎng)卡。當(dāng)然，這些虛擬網(wǎng)卡的用途，在VMware Workstation中都是可以變更的。

現(xiàn)在，我們把VMnet0的欄位選擇我們的物理網(wǎng)卡#2。再把VMnet2的欄位選擇我們的物理網(wǎng)卡（接外網(wǎng)的那張。）這樣，VMnet0橋接到局域網(wǎng)的網(wǎng)卡上，VMnet2橋接到外網(wǎng)的網(wǎng)卡上了。

接下來就是為新建立的虛擬機添加第二張?zhí)摂M網(wǎng)卡，點擊VMware Workstation主 菜單上的VM，出現(xiàn)的下拉菜單中再點擊Settings...或是按快捷鍵CTRL+D。然后在出現(xiàn)的虛擬機編輯界面中，點擊add。會出現(xiàn)Add Hardware Wizard的界面。再點擊Ethernet Adapter后按下一步，一直到出現(xiàn)如（圖五）的界面，（圖五）的界面就是選擇網(wǎng)絡(luò)類型，這里我們選擇自定義（Custom），然后在下拉的虛擬網(wǎng)卡中，選擇我們之前設(shè)置過橋接的VMnet2（因為建立 VMnet0已經(jīng)被第一張?zhí)摂M網(wǎng)卡使用了）。選好之后，點完成。這樣就完成了整個虛擬機爽網(wǎng)卡的配置了。接下來就是掛載鏡像，啟動虛擬機。安裝系統(tǒng)。系統(tǒng) 安裝完成之后，可以看到虛擬機系統(tǒng)也有雙網(wǎng)卡了。然后在兩張?zhí)摂M網(wǎng)卡上分別設(shè)置局域網(wǎng)IP地址和外網(wǎng)的IP地址。這里再跟大家解釋一下：像我介紹的這樣采 用橋接方式之后，我們的虛擬機就跟母機在網(wǎng)絡(luò)上處于對等地位，網(wǎng)絡(luò)關(guān)系上是平等的。因為我這個虛擬機已經(jīng)分配了一個公網(wǎng)的IP地址。中國信息港，專業(yè)提供域名虛擬主機空間申請等服務(wù),ICANN授權(quán)域名注冊商,全國十強虛擬主機提供商,電信、聯(lián)通、雙線、海外等多種線路上百種虛擬主機空間任選，云主機,虛擬主機,vps主機，香港虛擬主機,虛擬主機申請,空間申請,服務(wù)器托管，服務(wù)器租用,云享主機,ShopEx空間,phpwind空間,discuz空間,php空間。

第三篇：Windows 2003安全設(shè)置-IIS、終端服務(wù)、FTP、SQL的配置Evil

IIS配置

IIS6與IIS5有著很多不同之處，不一一列舉，也不是我一個腦袋可以裝下的東西。都在資料上！

IIS6有一個非常不方便的東西，就是他限制了在線上傳不得大于200K，如何修改，請看： 首先停用IIS服務(wù)，> 服務(wù) > iis admin service > 停用

C:windowssystem32inetsrv metabase.xml 文件 用記事本打開它

找到 ASPMaxRequestEntityAllowed 處。默認(rèn)為 204800 即 204800字節(jié)(200K)修改為想要的數(shù)字如： 2048000 [2M] 保存，重啟IIS服務(wù)即可！設(shè)置基本參數(shù)

打開IIS管理器 > 網(wǎng)站 > 屬性 > 網(wǎng)站 > 啟動日志記錄 > 關(guān)閉

主目錄 > 配置 > 應(yīng)用程序擴展 > 只保留 asp,asa 主目錄 > 配置 > 選項 > 啟用父目錄

主目錄 > 配置 > 調(diào)試 > 向客戶端發(fā)送文本錯誤消息

網(wǎng)站 > 自定義錯誤 > 全部改成默認(rèn)值 [上一章已經(jīng)刪除IIS使用的錯誤信息頁面] IIS管理器 > WEB服務(wù)擴展 > 啟用 Active Server Pages 注：停用IIS默認(rèn)站點，切勿刪除，有可能會造成IIS的不穩(wěn)定。站點的建立將在第四節(jié)中詳細(xì)介紹。IIS支持PHP的配置

http:// 默認(rèn)安裝至 D:w3JMail4_35434fnald [同樣，復(fù)雜的目錄名]

安裝完成后只需單一設(shè)置 jmail.dll 權(quán)限，加入IIS用戶組默認(rèn)權(quán)限即可！SQL Server 2000 的安裝與配置

目前SQL Server 2000 SP4 在我看來已算比較安全，已沒有SP3等版本會因為 sqlstp.log, sqlsp.log而泄露

安裝信息的問題。當(dāng)然也建議在安全后 檢查 :Program FilesMicrosoft SQL ServerMSSQLInstall

目錄中是否存在有 sqlstp.log, sqlsp.log, setup.iss文件，如果有，則備份至其它位置。數(shù)據(jù)庫的建立這里就不多講了。更多設(shè)置可以參考SQL SERVER 2000幫助文檔！

第四篇：防火墻訪問控制規(guī)則配置--教案

訪問控制規(guī)則配置

訪問規(guī)則描述了網(wǎng)絡(luò)衛(wèi)士防火墻允許或禁止匹配訪問控制規(guī)則的報文通過。防火墻接收到報文后，將順序匹配訪問規(guī)則表中所設(shè)定規(guī)則。一旦尋找到匹配的規(guī)則，則按照該策略所規(guī)定的操作（允許或丟棄）處理該報文，不再進行區(qū)域缺省屬性的檢查。如果不存在可匹配的訪問策略，網(wǎng)絡(luò)衛(wèi)士防火墻將根據(jù)目的接口所在區(qū)域的缺省屬性（允許訪問或禁止訪問），處理該報文。在進行訪問控制規(guī)則查詢之前，網(wǎng)絡(luò)衛(wèi)士防火墻將首先查詢數(shù)據(jù)包是否符合目的地址轉(zhuǎn)換規(guī)則。如果符合目的地址轉(zhuǎn)換規(guī)則，網(wǎng)絡(luò)衛(wèi)士防火墻將把接收的報文的目的IP 地址轉(zhuǎn)換為預(yù)先設(shè)置的IP 地址（一般為真實IP）。因此在進行訪問規(guī)則設(shè)置時，系統(tǒng)一般采用的是真實的源和目的地址（轉(zhuǎn)換后目的地址）來設(shè)置訪問規(guī)則；同時，系統(tǒng)也支持按照轉(zhuǎn)換前的目的地址設(shè)置訪問規(guī)則，此時，報文將按照轉(zhuǎn)換前的目的地址匹配訪問控制規(guī)則。

根據(jù)源、目的配置訪問控制規(guī)則

基本需求

系統(tǒng)可以從區(qū)域、VLAN、地址、用戶、連接、時間等多個層面對數(shù)據(jù)報文進行判別和匹配，訪問控制規(guī)則的源和目的既可以是已經(jīng)定義好的VLAN 或區(qū)域，也可以細(xì)化到一個或多個地址資源以及用戶組資源。與包過濾策略相同，訪問控制規(guī)則也是順序匹配的，系統(tǒng)首先檢查是否與包過濾策略匹配，如果匹配到包過濾策略后將停止訪問控制規(guī)則檢查。但與包過濾策略不同的是訪問控制規(guī)則沒有默認(rèn)規(guī)則。也就是說，如果沒有在訪問控制規(guī)則列表的末尾添加一條全部拒絕的規(guī)則的話，系統(tǒng)將根據(jù)目的接口所在區(qū)域的缺省屬性（允許訪問或禁止訪問）處理該報文。

案例：某企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下圖所示，網(wǎng)絡(luò)衛(wèi)士防火墻工作在混合模式。Eth0 口屬于內(nèi)網(wǎng)區(qū)域（area_eth0），為交換trunk 接口，同時屬于VLAN.0001 和VLAN.0002，vlan.0001 IP 地址為192.168.1.1，連接研發(fā)部門文檔組所在的內(nèi)網(wǎng)（192.168.1.0/24）；vlan.0002 IP 地址為192.168.2.1，連接研發(fā)部門項目組所在的內(nèi)網(wǎng)（192.168.2.0/24）。

圖 25 根據(jù)源、目的進行訪問控制示意圖

Eth1 口IP 地址為192.168.100.140，屬于外網(wǎng)area_eth1 區(qū)域，公司通過與防火墻Eth1口相連的路由器連接外網(wǎng)。Eth2 口屬于area_eth2 區(qū)域，為路由接口，其IP 地址為172.16.1.1，為信息管理部所在區(qū)域，有多臺服務(wù)器，其中Web 服務(wù)器的IP 地址：172.16.1.3。

用戶要求如下：

內(nèi)網(wǎng)文檔組的機器可以上網(wǎng)，允許項目組領(lǐng)導(dǎo)上網(wǎng)，禁止項目組普通員工上網(wǎng)。

外網(wǎng)和area_eth2 區(qū)域的機器不能訪問研發(fā)部門內(nèi)網(wǎng)；

內(nèi)外網(wǎng)用戶均可以訪問area_eth2 區(qū)域的WEB 服務(wù)器。

配置要點

設(shè)置區(qū)域?qū)ο蟮娜笔≡L問權(quán)限：area_eth0、area_eth2 為禁止訪問，area_eth1 為允許訪問。

定義源地址轉(zhuǎn)換規(guī)則，保證內(nèi)網(wǎng)用戶能夠訪問外網(wǎng)；定義目的地址轉(zhuǎn)換規(guī)則，使得外網(wǎng)用戶可以訪問area_eth2 區(qū)域的WEB 服務(wù)器。

定義訪問控制規(guī)則，禁止項目組除領(lǐng)導(dǎo)外的普通員工上網(wǎng)，允許內(nèi)網(wǎng)和外網(wǎng)用戶訪問area_eth2 區(qū)域的WEB 服務(wù)器。

WebUI 配置步驟

1）設(shè)定物理接口eth1 和eth2 的IP 地址。

選擇 網(wǎng)絡(luò)管理 > 接口，激活“物理接口”頁簽，然后點擊Eth1、Eth2 端口后的“設(shè) 置”字段圖標(biāo)，添加接口的IP 地址。如下圖所示。

2）添加VLAN 虛接口，設(shè)定VLAN 的IP 地址，再選擇相應(yīng)的物理接口加入到已添 加的VLAN 中。

a）選擇 網(wǎng)絡(luò)管理 > 二層網(wǎng)絡(luò)，激活“VLAN”頁簽，然后點擊“添加/刪除VLAN 范圍”，如下圖所示。

b）設(shè)定VLAN 虛接口的IP 地址。

點擊VLAN 虛接口的“修改”字段圖標(biāo)，在彈出界面中設(shè)置VLAN.0001 的IP 為：

192.168.1.1，掩碼為：255.255.255.0；VLAN.0002 的IP 為：192.168.2.1，掩碼為：255.255.255.0。如下圖所示。

c）設(shè)定VLAN 和物理接口的關(guān)系。

選擇 網(wǎng)絡(luò)管理 > 接口，激活“物理接口”頁簽，然后點擊eth0 接口后的“設(shè)置” 字段圖標(biāo)，設(shè)置接口信息，如下圖所示。3）定義主機、子網(wǎng)地址對象。

a）選擇 資源管理 > 地址，選擇“主機”頁簽，定義主機地址資源。定義WEB 服 務(wù)器主機名稱設(shè)為172.16.1.3，IP 為172.16.1.3；定義虛擬WEB 服務(wù)器（即WEB 服務(wù)器 的在外網(wǎng)區(qū)域的虛擬IP 地址）主機名稱設(shè)為192.168.100.143, IP 為192.168.100.143；定義 接口主機地址資源192.168.100.140（也可以是其他字符串），主機名稱設(shè)為192.168.100.140, IP 為192.168.100.140；定義文檔服務(wù)器，主機名稱設(shè)為doc_server, IP 為10.10.10.3。定義 完成后的界面如下圖所示：

b）選擇 資源管理 > 地址，選擇“子網(wǎng)”頁簽，點擊“添加”定義子網(wǎng)地址資源。資源名稱rd_group，以及網(wǎng)絡(luò)地址192.168.2.0、子網(wǎng)掩碼255.255.255.0 以及排除領(lǐng)導(dǎo)地 址:10.10.11.2 和10.10.11.3。

4）定義區(qū)域資源的訪問權(quán)限（整個區(qū)域是否允許訪問）。

選擇 資源管理 > 區(qū)域，設(shè)定外網(wǎng)區(qū)域area_eth1 的缺省屬性為“允許”訪問，內(nèi)網(wǎng) 區(qū)域area_eth0 和area_eth2 的缺省屬性為“禁止”訪問。以area_eth1 為例，設(shè)置界面如 下圖所示。

設(shè)置完成后的界面如下圖所示。5）選擇 防火墻 > 地址轉(zhuǎn)換，定義地址轉(zhuǎn)換規(guī)則。a）定義源地址轉(zhuǎn)換規(guī)則，使得內(nèi)網(wǎng)用戶能夠訪問外網(wǎng): 選擇“源轉(zhuǎn)換”。

① 選擇“源”頁簽，參數(shù)設(shè)置如下圖所示。不設(shè)置參數(shù)，表示不對報文的源進行限 制。

② 選擇“目的”頁簽，參數(shù)設(shè)置如下圖所示。

③ 選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖所示。

轉(zhuǎn)換源地址對象為“192.168.100.140”。設(shè)置完成后的規(guī)則如下圖所示。

b)定義目的地址轉(zhuǎn)換規(guī)則，使得內(nèi)網(wǎng)文檔組以及外網(wǎng)用戶都可以訪問area_eth2 區(qū)域 的 WEB 服務(wù)器。選擇“目的轉(zhuǎn)換”

① 選擇“源”頁簽，設(shè)置參數(shù)如下圖所示。不設(shè)置參數(shù)，表示不對報文的源進行限 制。

② 選擇“目的”頁簽，設(shè)置參數(shù)如下圖所示。

③ 選擇“服務(wù)”頁簽，設(shè)置參數(shù)如下圖所示。“目的地址轉(zhuǎn)換”為地址資源“172.16.1.3”。設(shè)置完成后的界面如下圖所示。

6）選擇菜單 防火墻 > 訪問控制，定義訪問控制規(guī)則。a）允許內(nèi)網(wǎng)和外網(wǎng)用戶均可以訪問WEB 服務(wù)器

由于Web 服務(wù)器所在的area_eth2 區(qū)域禁止訪問，所以要允許內(nèi)網(wǎng)和外網(wǎng)用戶均可以 訪問Web 服務(wù)器，需要定義訪問控制規(guī)則如下。① 選擇“源”頁簽，參數(shù)設(shè)置如下圖所示。

源VLAN 和源區(qū)域不選擇，表示不對區(qū)域加以限制； ② 選擇“目的”頁簽，參數(shù)設(shè)置如下圖所示。③ 選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖所示。

b）允許項目組領(lǐng)導(dǎo)訪問外網(wǎng)，禁止項目組普通員工rd_group 訪問外網(wǎng)。由于外網(wǎng)區(qū)域允許訪問，所以需要添加禁止訪問外網(wǎng)的規(guī)則如下： ① 選擇“源”頁簽，參數(shù)設(shè)置如下圖所示。

② 選擇“目的”頁簽設(shè)置如下圖所示。

③ 選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖所示。

CLI 配置步驟

1）設(shè)定物理接口eth1 和eth2 的IP 地址。#network interface eth1 ip add 192.168.100.140 mask 255.255.255.0 #network interface eth2 ip add 172.16.1.1 mask 255.255.255.0 2）添加VLAN 虛接口，設(shè)定VLAN 的IP 地址，再選擇相應(yīng)的物理接口加入到已添 加的VLAN 中。

#network vlan add range 1,2 #network interface vlan.0001 ip add 192.168.1.1 mask 255.255.255.0 #network interface vlan.0002 ip add 192.168.2.1 mask 255.255.255.0 #network interface eth0 switchport trunk allowed-vlan 1,2 native-vlan 1 encapsulation dotlq 3）定義主機、子網(wǎng)地址資源。

#define host add name 172.16.1.3 ipaddr 172.16.1.3 #define host add name 192.168.100.143 ipaddr 192.168.100.143 #define host add name doc_server ipaddr 10.10.10.3 #define subnet add name rd_group ipaddr 192.168.2.0 mask 255.255.255.0 except ‘10.10.11.2 10.10.11.3’

4）設(shè)置區(qū)域資源的缺省訪問權(quán)限：area_eth0、area_eth2 為禁止訪問，area_eth1 為允 許訪問（缺省權(quán)限，無需再設(shè)定）。

#define area add name area_eth0 access off attribute eth0（不允許訪問內(nèi)網(wǎng)）#define area add name area_eth2 access off attribute eth2（不允許訪問內(nèi)網(wǎng)）5）定義地址轉(zhuǎn)換規(guī)則。

定義源地址轉(zhuǎn)換規(guī)則，使得內(nèi)網(wǎng)用戶能夠訪問外網(wǎng)。

#nat policy add dstarea area_eth1 trans_src 192.168.100.140 定義目的地址轉(zhuǎn)換規(guī)則，使得內(nèi)網(wǎng)文檔組以及外網(wǎng)用戶都可以訪問area_eth2 區(qū)域的 WEB 服務(wù)器。

#nat policy add orig_dst 192.168.100.143 orig_service HTTP trans_dst 172.16.1.3 6）定義訪問控制規(guī)則。

允許內(nèi)網(wǎng)和外網(wǎng)用戶均可以訪問WEB 服務(wù)器

#firewall policy add action accept dstarea area_eth2 dst 172.16.1.3 service HTTP 允許項目組領(lǐng)導(dǎo)訪問外網(wǎng)，禁止項目組普通員工訪問外網(wǎng)

#firewall policy add action deny srcarea area_eth0 srcvlan vlan.0002 src rd_group dstarea area_eth0 service HTTP 注意事項

1）目的地址需要選擇WEB 服務(wù)器的真實IP 地址，因為防火墻要先對數(shù)據(jù)包進行目 的地址轉(zhuǎn)換處理，當(dāng)內(nèi)網(wǎng)用戶利用http://192.168.100.143 訪問SSN 區(qū)域的Web 服務(wù)器時，由于符合NAT 目的地址轉(zhuǎn)換規(guī)則，所以數(shù)據(jù)包的目的地址將被轉(zhuǎn)換為172.16.1.3。然后才 進行訪問規(guī)則查詢，此時只有設(shè)定為WEB 服務(wù)器的真實IP 地址才能達到內(nèi)網(wǎng)用戶訪問 SSN 區(qū)域WEB 服務(wù)器的目的。網(wǎng)絡(luò)衛(wèi)士系列防火墻處理數(shù)據(jù)包的流程請參考用戶手冊相 關(guān)章節(jié)。

2）定義目的地址轉(zhuǎn)換規(guī)則時，不能選擇目的區(qū)域與目的VLAN。

根據(jù)源端口配置訪問控制規(guī)則

基本需求

案例：某銀行系統(tǒng)應(yīng)用軟件使用特定的端口進行業(yè)務(wù)主機與服務(wù)器間的數(shù)據(jù)通信，為 了保證數(shù)據(jù)及設(shè)備的安全，禁止其他對于業(yè)務(wù)主機和服務(wù)器的訪問。網(wǎng)絡(luò)結(jié)構(gòu)示意圖如下所示。

圖 26 根據(jù)源端口進行訪問控制示意圖

業(yè)務(wù)主機可以使用特殊端口訪問服務(wù)器，不能使用其他端口。業(yè)務(wù)主機區(qū)域和服務(wù)器 區(qū)域禁止其他類型的訪問。

配置要點

定義區(qū)域：area_eth1、area_eth2。

定義服務(wù)端口：FS_port

設(shè)置訪問控制規(guī)則

WebUI 配置步驟

1）定義區(qū)域area_eth1 為禁止訪問，并與屬性eth1 綁定。選擇 資源管理 > 區(qū)域，點擊“添加”，如下圖所示。

2）定義區(qū)域area_eth2 為禁止訪問，并與屬性eth2 綁定。

具體操作與area_eth1 相似，請參考area_eth1 的定義過程完成。3）定義服務(wù)端口

由于系統(tǒng)使用的通信端口是：4500，不是通常使用的協(xié)議端口，在設(shè)置規(guī)則前需要自 定義端口。

選擇 資源管理 > 服務(wù)，激活“自定義服務(wù)”頁簽，進入自定義服務(wù)頁面。點擊右 側(cè)“添加”，如下圖所示。

選擇類型：TCP，設(shè)置名稱：FS_port，服務(wù)器實際使用的端口：4500。完成后點擊“確 定”按鈕。

4）定義訪問控制規(guī)則

該規(guī)則為來自area_eth1 區(qū)域使用源端口為4500 的數(shù)據(jù)包允許通過防火墻訪問 area_eth2 區(qū)域。

a）選擇“源”頁簽，參數(shù)設(shè)置如下。

b）選擇“目的”頁簽，參數(shù)設(shè)置如下圖所示。

c）選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖所示。

d）選擇“選項”頁簽設(shè)置參數(shù)如下。由于所使用的軟件系統(tǒng)所建立的連接需要長時期保持，在“連接選項”中選擇“長連 接”，根據(jù)需要選擇“日志記錄”。點擊“確定”完成ACL 規(guī)則設(shè)置。

CLI 配置步驟

1）定義區(qū)域：area_eth1、area_eth2 #define area add name area_eth1 access off attribute eth1 #define area add name area_eth2 access off attribute eth2 2）定義服務(wù)端口：FS_port #define service add name FS_port protocol 6 port 4500 3）設(shè)置訪問控制規(guī)則

#firewall policy add action accept srcarea area_eth1 dstarea area_eth2 sport FS_port permanent yes log on enable yes

注意事項

由于環(huán)境所限此案例未能進行實際測試，僅供參考使用。

根據(jù)特定服務(wù)配置訪問控制規(guī)則

基本需求

在進行訪問控制規(guī)則的設(shè)置時，可以對用戶所能訪問的服務(wù)進行控制，系統(tǒng)預(yù)定義了

可控制的常見服務(wù)，可以實現(xiàn)二到七層的訪問控制，用戶也可以自定義服務(wù)進行訪問控制。案例：某企業(yè)網(wǎng)絡(luò)被防火墻化分為三個區(qū)域area_eth0、area_eth1 和area_eth2，三個

區(qū)域分別與接口Eth0、Eth1 和Eth2 綁定，area_eth0 連接外網(wǎng)，允許用戶訪問，area_eth1 和area_eth2 區(qū)域禁止用戶訪問。服務(wù)器位于area_eth1，IP 地址為192.168.100.140，內(nèi)網(wǎng) 位于area_eth2，網(wǎng)絡(luò)地址為192.168.101.0。企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。

要求：

允許內(nèi)網(wǎng)用戶訪問服務(wù)器的TELNET、SSH、FTP 和Web_port 服務(wù)，其中Web_port 服務(wù)為自定義服務(wù)，端口號為8080；但不能訪問Eth1 口的其他服務(wù)器和其他服務(wù)。不允許外網(wǎng)用戶訪問Eth1 口服務(wù)器的TELNET 和SSH 服務(wù)。圖 27 根據(jù)服務(wù)設(shè)置訪問控制規(guī)則示意圖

配置要點

定義區(qū)域和地址資源

定義服務(wù)資源

定義服務(wù)組資源 設(shè)置訪問控制規(guī)則

WebUI 配置步驟

1）定義區(qū)域和地址資源

a）定義區(qū)域資源area_eth0、area_eth1 和area_eth2，分別與Eth0、Eth1 和Eth2 綁定。區(qū)域權(quán)限均為“允許”。

選擇 資源管理 > 區(qū)域，點擊“添加”添加區(qū)域資源，界面如下圖。① 添加區(qū)域area_eth0。② 添加區(qū)域area_eth1。③ 添加區(qū)域area_eth2。

服務(wù)熱線：8008105119 183 設(shè)置完成后界面如下圖所示。b）定義IP 地址資源

選擇 資源管理 > 地址，選擇“主機”頁簽，點擊“添加”，如下圖所示。c)定義子網(wǎng)資源

選擇 資源管理 > 地址，選擇“子網(wǎng)”頁簽，點擊“添加”，如下圖所示。

2）設(shè)置自定義服務(wù)

選擇 資源管理 > 服務(wù)，激活“自定義服務(wù)”頁簽，配置自定義服務(wù)“Web_port” 如下圖所示。

3）設(shè)置服務(wù)組資源

選擇 資源管理 > 服務(wù)，激活“服務(wù)組”頁簽，配置服務(wù)組“內(nèi)網(wǎng)訪問服務(wù)”如下 圖所示。

本例中服務(wù)組名稱為“內(nèi)網(wǎng)訪問服務(wù)”，包括“Web_port、SSH、TELNET、FTP”。4)設(shè)置訪問控制規(guī)則。由于服務(wù)器所在區(qū)域area_eth1 禁止訪問，所以只要定義允許 訪問的規(guī)則即可。

a）設(shè)置允許內(nèi)網(wǎng)area_eth2 的網(wǎng)段為192.168.101.0/24 的用戶訪問area_eth1 的服務(wù)器（192.168.100.140）SSH、TELNET、FTP 以及8080 端口服務(wù)的訪問控制規(guī)則 選擇 防火墻 > 訪問控制，點擊“添加”按鈕，設(shè)置訪問控制規(guī)則。① 選擇“源”頁簽，參數(shù)設(shè)置如下圖所示。

② 選擇“目的”頁簽，參數(shù)設(shè)置如下圖所示。

服務(wù)熱線：8008105119 187 ③ 選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖所示。

服務(wù)熱線：8008105119 188 設(shè)置完成的ACL 規(guī)則如下圖所示。

b）設(shè)置僅允許外網(wǎng)區(qū)域（area_eth0）的用戶訪問服務(wù)器的8080 端口的服務(wù)訪問控制 規(guī)則。

選擇 防火墻 > 訪問控制，點擊“添加”按鈕，設(shè)置訪問控制規(guī)則。① 選擇“源”頁簽，參數(shù)設(shè)置如下圖所示。

服務(wù)熱線：8008105119 189 ② 選擇“目的”頁簽，參數(shù)設(shè)置如下圖。

服務(wù)熱線：8008105119 190 ③ 選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下圖。

服務(wù)熱線：8008105119 191 設(shè)置完成后的ACL 規(guī)則如下圖所示。

CLI 配置步驟

1）定義區(qū)域資源

#define area add name area_eth0 access on attribute eth0 #define area add name area_eth1 access on attribute eth1 #define area add name area_eth2 access on attribute eth2 2）定義主機和子網(wǎng)地址資源

#define host add name 192.168.100.140 ipaddr 192.168.100.140 #define host subnet add name 內(nèi)網(wǎng) ipaddr 192.168.101.0 mask 255.255.255.0 3）設(shè)置自定義服務(wù)，服務(wù)名為Web_port，端口號為8080。#difine service add name Web_port protocol tcp port 8080 4）設(shè)置服務(wù)組資源，組名稱為“內(nèi)網(wǎng)訪問服務(wù)”，包括Web_port、FTP、TELNET 和SSH 服務(wù)。

#difine group_service add name 內(nèi)網(wǎng)訪問服務(wù) member Web_port,FTP,TELNET,SSH 5）設(shè)置訪問控制規(guī)則

a）區(qū)域“area_eth2”的子網(wǎng)對象“內(nèi)網(wǎng)”（192.168.101.0/24）允許訪問區(qū)域“area_eth1” 的服務(wù)器的Web_port、FTP、TELNET 和SSH 服務(wù)(有自定義服務(wù)組“內(nèi)網(wǎng)訪問服務(wù)”綁 定)，服務(wù)器的IP 地址為192.168.100.140。

#firewall policy add action accept srcarea area_eth2 dstarea area_eth1 src 內(nèi)網(wǎng)dst 192.168.100.140 service 內(nèi)網(wǎng)訪問服務(wù) enable yes

服務(wù)熱線：8008105119 192 b）設(shè)置僅允許外網(wǎng)用戶訪問服務(wù)器192.168.100.140 的8080 端口的服務(wù)訪問控制規(guī) 則。

#firewall policy add action accept srcarea area_eth0 dstarea area_eth1 dst 192.168.100.140 service Web_port enable yes 注意事項

如果只允許開放某些服務(wù)，其他服務(wù)均被禁止，可以設(shè)置目的區(qū)域的默認(rèn)訪問權(quán)限為 “禁止”，系統(tǒng)在匹配完訪問控制規(guī)則后將自動匹配區(qū)域的默認(rèn)訪問權(quán)限。

根據(jù)轉(zhuǎn)換前目的地址配置訪問控制規(guī)則

基本需求

背景：某企業(yè)的WEB 服務(wù)器（IP：192.168.83.56）通過防火墻將其IP 地址MAP 為

202.45.56.5 對外提供WEB 服務(wù)。WEB 服務(wù)器連在防火墻的Eth1 口（IP：192.168.83.2），且防火墻通過Eth0 口（IP：202.45.56.3）與Internet 相連，如下圖所示。

圖 28 根據(jù)轉(zhuǎn)換前目的進行訪問控制示意圖

需求：為了保護企業(yè)網(wǎng)絡(luò)的安全，網(wǎng)關(guān)Eth1 接口所屬的區(qū)域area_eth1 設(shè)置為禁止訪 問，要求Internet 用戶只可訪問企業(yè)WEB 服務(wù)器的HTTP 服務(wù)，要求用WEB 服務(wù)器的 MAP 地址202.45.56.5 作訪問控制。

服務(wù)熱線：8008105119 193 配置要點

定義主機地址資源

定義地址轉(zhuǎn)換策略

定義訪問控制規(guī)則

WebUI 配置步驟

1）將防火墻的Eth1 口所屬區(qū)域的默認(rèn)訪問權(quán)限設(shè)置為“禁止”。選擇 資源管理 > 區(qū)域，點擊“添加”，如下圖。

2）定義WEB 服務(wù)器主機地址資源R-WebServer 和虛擬主機對象V-WebServer。選擇 資源管理 > 地址，激活“主機”頁簽，定義主機地址資源R-WebServer 和 V-WebServer。

定義R-WebServer 主機地址資源圖。

服務(wù)熱線：8008105119 194 定義V-WebServer 主機地址資源圖。3）定義地址轉(zhuǎn)換規(guī)則。

選擇 防火墻 > 地址轉(zhuǎn)換，并在右側(cè)界面中點擊“添加”定義目的地址轉(zhuǎn)換規(guī)則。選擇“目的轉(zhuǎn)換”。

a）選擇“源”頁簽，設(shè)置參數(shù)如下圖。

服務(wù)熱線：8008105119 195 b）選擇“目的”頁簽，參數(shù)設(shè)置如下。

服務(wù)熱線：8008105119 196 c）選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下。設(shè)置完成后的目的NAT 規(guī)則如下圖所示。4）設(shè)置訪問控制規(guī)則。

選擇 防火墻 > 訪問控制，并在右側(cè)界面中點擊“添加”定義訪問控制規(guī)則。

服務(wù)熱線：8008105119 197 a）選擇“源”頁簽，參數(shù)設(shè)置如下。b）選擇“目的”頁簽，設(shè)置根據(jù)轉(zhuǎn)換前的目的地址進行訪問控制。參數(shù)設(shè)置如下。

服務(wù)熱線：8008105119 198 c）選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下。

服務(wù)熱線：8008105119 199 設(shè)置完成后的ACL 規(guī)則如下圖所示。至此，WEBUI 方式的配置完成。

CLI 配置步驟

1）將防火墻的Eth1 口所屬區(qū)域的默認(rèn)訪問權(quán)限設(shè)置為“禁止”。#define area add name area_eth1 access off attribute eth1 2）定義WEB 服務(wù)器主機地址資源R-WebServer 和虛擬主機地址資源V-WebServer。定義R-WebServer 主機地址資源

#define host add name R-WebServer ipaddr 192.168.83.56 mask 255.255.255.定義V-WebServer 主機地址資源

#define host add name V-WebServer ipaddr 202.45.56.5 mask 255.255.255.3）定義地址轉(zhuǎn)換規(guī)則。

#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4）設(shè)置訪問控制規(guī)則。

#firewall policy add src any orig_dst V-WebServer service HTTP action accept enable yes

注意事項

1）因為該案例要求internet 用戶只可訪問內(nèi)網(wǎng)中WEB 服務(wù)器的HTTP 服務(wù)，因此需 要事先拒絕internet 用戶的所有訪問，再定義訪問控制規(guī)則允許其訪問HTTP 服務(wù)。2）對轉(zhuǎn)換前的目的地址進行匹配時，只需在“轉(zhuǎn)換前目的地址”中進行選擇目的地 址，而無須在“目的地址”中再選擇地址。

3）在配置過程中，請確保沒有與該規(guī)則相沖突的地址轉(zhuǎn)換策略和阻斷策略。

根據(jù)轉(zhuǎn)換后目的地址配置訪問控制規(guī)則

基本需求

背景：某企業(yè)的WEB 服務(wù)器（IP：192.168.83.56）通過防火墻將其IP 地址MAP 為

202.45.56.5 對外提供WEB 服務(wù)。WEB 服務(wù)器連在防火墻的Eth1 口（IP：192.168.83.2），且防火墻通過Eth2 口（IP：202.45.56.3）與Internet 相連，如下圖所示。

需求：為了保護企業(yè)網(wǎng)絡(luò)的安全，要求Internet 用戶只可訪問企業(yè)WEB服務(wù)器的HTTP 服務(wù)，要求用WEB 服務(wù)器的IP 地址192.168.83.56 做訪問控制。圖 29 根據(jù)轉(zhuǎn)換后目的進行訪問控制示意圖

配置要點

定義主機地址資源

定義地址轉(zhuǎn)換策略

定義訪問控制規(guī)則

WebUI 配置步驟

1）將防火墻的Eth1 口所屬區(qū)域的默認(rèn)訪問權(quán)限設(shè)置為“禁止”。選擇 資源管理 > 區(qū)域，點擊“添加”，如下圖。

2）定義WEB 服務(wù)器主機地址資源R-WebServer 和虛擬主機地址資源V-WebServer。選擇 資源管理 > 地址，激活“主機”頁簽，在右側(cè)界面中點擊“添加”定義主機 地址資源R-WebServer 和V-WebServer。定義R-WebServer 主機地址資源。定義V-WebServer 主機地址資源。3）定義地址轉(zhuǎn)換規(guī)則。

選擇 防火墻 > 地址轉(zhuǎn)換，并在右側(cè)界面中點擊“添加”定義目的地址轉(zhuǎn)換規(guī)則。選擇“目的轉(zhuǎn)換”。

a）選擇“源”頁簽，設(shè)置參數(shù)如下圖。

b）選擇“目的”頁簽，參數(shù)設(shè)置如下。

c）選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下。設(shè)置完成后的目的NAT 規(guī)則如下圖所示。4）設(shè)置訪問控制規(guī)則。

a）選擇“源”頁簽，參數(shù)設(shè)置如下。

b）選擇“目的”頁簽，設(shè)置根據(jù)NAT 轉(zhuǎn)換后的目的地址（R_WebServer）進行訪問 控制。參數(shù)設(shè)置如下。

c）選擇“服務(wù)”頁簽，參數(shù)設(shè)置如下。

設(shè)置完成后的ACL 規(guī)則如下圖所示。至此，WEBUI 方式的配置完成。

CLI 配置步驟

1）將防火墻的Eth1 口所屬區(qū)域的默認(rèn)訪問權(quán)限設(shè)置為“禁止”。#define area add name area_eth1 access off attribute eth1 2）定義WEB 服務(wù)器主機對象R-WebServer 和虛擬主機對象V-WebServer。定義R-WebServer 主機地址資源

#define host add name R-WebServer ipaddr 192.168.83.56 定義V-WebServer 主機地址資源

#define host add name V-WebServer ipaddr 202.45.56.5 3）定義地址轉(zhuǎn)換規(guī)則。

#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4）設(shè)置訪問控制規(guī)則。

#firewall policy add src any dst R-WebServer service HTTP action accept enable yes 注意事項

1）因為該案例要求internet 用戶只可訪問內(nèi)網(wǎng)中WEB 服務(wù)器的HTTP 服務(wù)，因此需 要事先拒絕internet 用戶的所有訪問，再定義訪問控制規(guī)則允許其訪問HTTP 服務(wù)。2）當(dāng)TOS 設(shè)備處理經(jīng)過地址轉(zhuǎn)換的數(shù)據(jù)包時，匹配的是目的地址轉(zhuǎn)換后的地址，故 一般不需要設(shè)置“轉(zhuǎn)換前目的”中的地址。

3）在配置過程中請確保沒有與該規(guī)則相沖突的地址轉(zhuǎn)換策略和阻斷策略。

基于認(rèn)證用戶的訪問控制

用戶認(rèn)證的主要目的是為了對用戶進行身份鑒別、授權(quán)以及進行細(xì)粒度的訪問控制，用戶認(rèn)證的方式主要包括本地認(rèn)證（密碼和證書）和第三方認(rèn)證（Radius、Tacacs、SecurID、LDAP 以及域認(rèn)證等等），通過將認(rèn)證用戶設(shè)置為用戶組，訪問控制規(guī)則的源和目的即可 以是用戶組對象，從而實現(xiàn)基于本地密碼認(rèn)證、OTP 認(rèn)證以及第三方認(rèn)證用戶的細(xì)粒度 的訪問控制。

基本需求

Area_eth2 區(qū)域為研發(fā)部門內(nèi)網(wǎng)，禁止外網(wǎng)和其余部門訪問，只允許內(nèi)網(wǎng)area_eth1 區(qū) 域的某些用戶通過TOPSEC 認(rèn)證客戶端訪問內(nèi)網(wǎng)主機10.10.10.22 的TELNET 服務(wù)。圖 30 基于認(rèn)證用戶的訪問控制示意圖 配置要點

設(shè)置區(qū)域?qū)傩?/p>

設(shè)置NAT 地址轉(zhuǎn)換規(guī)則

設(shè)置認(rèn)證服務(wù)器和用戶組

開放相關(guān)接口的認(rèn)證服務(wù)

設(shè)置基于認(rèn)證用戶的訪問控制規(guī)則。

設(shè)置用戶認(rèn)證客戶端

WebUI 配置步驟

1）設(shè)置區(qū)域?qū)傩?，添加主機地址資源。

a）選擇 資源管理 > 區(qū)域，定義內(nèi)網(wǎng)區(qū)域area_eth2 的缺省屬性為禁止訪問。外網(wǎng)區(qū)域area_eth1 為允許訪問。

b）選擇 資源管理 > 地址，激活“主機”頁簽，定義內(nèi)網(wǎng)TELNET 服務(wù)器的真實IP 地址資源（10.10.10.22）。

定義虛擬IP 地址資源（192.168.83.223）。如下圖所示。

2）選擇 防火墻 > 地址轉(zhuǎn)換，設(shè)置目的NAT 規(guī)則，使得用戶能夠訪問內(nèi)網(wǎng)TELNET 服務(wù)器。

選擇“目的轉(zhuǎn)換”。

a）選擇“源”頁簽，設(shè)置參數(shù)如下圖。

b）選__

第五篇：如何從外網(wǎng)遠(yuǎn)程桌面訪問ADSL內(nèi)網(wǎng)計算機

如何從外網(wǎng)遠(yuǎn)程桌面訪問ADSL內(nèi)網(wǎng)計算機

描述如下: 家里裝了電信ADSL,通過MODEM接路由器,由路由器分了幾條出去,其中一臺接到自己的電腦,電腦裝的系統(tǒng)是雨林木風(fēng)的GHOST XP SP3 公司使用電信ADSL,通過MODEM接路由器,路由器接交換機,分線到電腦,電腦系統(tǒng)是雨林木風(fēng)的GHOST XP SP3, 要求如下: 希望通過公司電腦遠(yuǎn)程桌面管理家里的電腦.解決方案一：

首先被控計算機要有密碼，先在被控計算機上建一個管理員帳號，設(shè)置密碼，然后右鍵單擊我的電腦，選擇屬性，有個遠(yuǎn)程選項卡，把里面的選項全勾上,然后打開控制面板，安全中心，防火墻，打開遠(yuǎn)程的3389端口，這是很重要的。

順便把你內(nèi)網(wǎng)的IP地址綁定一下，你應(yīng)該知道吧，就是讓你的內(nèi)網(wǎng)IP地址不變，比如綁定成192。168.1.100，這樣方便以后的映射

這樣基本電腦的設(shè)置就結(jié)束了，接下來就是路由器的了，打開路由器管理界面！

找到，虛擬服務(wù)器添加，端口號是3389.協(xié)議就選TCP，然后是你的IP地址，就是上面說的192.168.1.100，然后保存就可以了，DMZ選項也要打開填入你機器的內(nèi)網(wǎng)IP哦！！

然后打開你路由器管理界面看看你現(xiàn)在公網(wǎng)IP，可以了~~~~

你可以出去找個網(wǎng)吧，XP系統(tǒng)就行了，然后呢~打開遠(yuǎn)程桌面，輸入你宿舍的公網(wǎng)IP，連接，輸入用戶名和密碼，搞定了~~~

解決方案二：端口映射

1.打開單位的電腦.點我的電腦屬性-遠(yuǎn)程-開啟遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面.最好也關(guān)了防火墻.2.登陸你們單位的路由器,(如果是TP-Link路由器的話)里面有個轉(zhuǎn)發(fā): IP填你局域網(wǎng)的IP(如:192.168.1.88)端口:3389 協(xié)議:tcp

3.在你家里的電腦打開程序-附件-通迅-遠(yuǎn)程桌面-輸入你單位的公網(wǎng)固定IP,然后輸入你辦公室的電腦賬號和密碼就可以登陸了.4.局域網(wǎng)是自動獲取IP的-在運行輸入cmd打開命令窗口 ipconfig /all 查看本機IP,網(wǎng)關(guān),dns,如果有必要最好手動設(shè)置IP和網(wǎng)關(guān).DNS等

5.網(wǎng)絡(luò)通過了路由器接了局域網(wǎng)是不可以直接登陸你的辦公電腦的.因為局域網(wǎng)一般都是私網(wǎng)IP所以必須做端口映射(如上第2條)

解決方案三：

可以用vpn撥入功能，但一般家庭用路由是不帶此功能的。另外可以通過路由的端口映射，各個路由的映射方法不盡相同，由于不知道你說的路由型號，所以無法說明如何設(shè)置端口映射，你可以到中國寬頻網(wǎng)去學(xué)習(xí)一下如何設(shè)置端口映射：http://004km.cn/cgi-bin/lb5000/leobbs.cgi

解決方案四：

在公司和家里的電腦同時裝上vnn，下載地址：http://004km.cn/GetEntry.do?id=722755501&owner=240178526