首頁 > 客戶服務 > FAQ >企業防護資安產品相關問題

於防火牆內架設 Server 的設定步驟?

2012/12/27

Q1.假設內網址 LAN IP 為192.168.1.1,外網址 WAN1 IP 為136.1.1.5 子網255.255.255.0 閘道136.1.1.1,我的環境如下:
IP對映136.1.1.254對192.168.1.250 做 Web Serer,另外兩台 Server ( web 192.168.1.251及 Mail 192.168.1.252 )想用 WAN1 IP 做 Port 對應, 那如何設定?

 

MH 及 SG 的管制條例利用位址表(群組),服務表(群組)及時程表來完成你的網路管理.

如果你有 Server 要開放,請先至"虛擬伺服器"去指定,完成後再由"外至內管制條例"去開放服務的 Port.

以你的例子,假設有 3 台 Server 開放,分別是:

Web Server1 ,IP對映136.1.1.254對192.168.1.250
Web Server2 ,WAN IP 136.1.1.5 Port 80 對 192.168.1.251
Mail Server ,WAN IP 136.1.1.5 Port 25(寄信),110(收信) 對 192.168.1.252

 

那麼設定是這樣的:

 

步驟 1.


設定"虛擬伺服器" , 請到 -->管制條例選項 > 虛擬伺服器 > IP 對映 及 -->管制條例選項 > 虛擬伺服器 > 伺服器 1 :

IP對映136.1.1.254 ->192.168.1.250


虛擬伺服器1 (136.1.1.5) ->
服務名稱(埠號) HTTP(80) ,192.168.1.251
服務名稱(埠號) SMTP(25) ,192.168.1.252
服務名稱(埠號) POP3(110) ,192.168.1.252

 

步驟 2.


設定"外至內管制條例":

 

第一條

來源網路位址 Outside_Any
目的網路位址 Mapped IP(136.1.1.254)
服務名稱 HTTP(80)
管制動作 允許

 

第二條

來源網路位址 Outside_Any
目的網路位址 Virtual Server 1(136.1.1.5)
服務名稱 HTTP(80)
管制動作 允許

 

第三條

來源網路位址 Outside_Any
目的網路位址 Virtual Server 1(136.1.1.5)
服務名稱 SMTP(25)
管制動作 允許

 

第四條

來源網路位址 Outside_Any
目的網路位址 Virtual Server 1(136.1.1.5)
服務名稱 POP3(110)
管制動作 允許

 

經過這樣的動作就完成了.IP 對映與虛擬伺服器用法請參考這篇說明.


 

Q2.MH350: 管制條例--->外部至內部--->新增--->最下面有一項是:NAT是否開啟? 能否舉出實際例子說明開啟與不開啟的差異在那裡?

 

開啟的主要目的是 " 不要保留連線者 IP " , 有幾種應用

 

1. 內部的伺服器 ( Server ) 已經指定只有內部 IP 才可以使用 ( EX. 192.168.1.xx )
有些公司 Server 的服務會設定特定的來源 IP 才可以使用, 以增加其安全性, 這時如果你想由遠端 ( 家裡) 進來使用, 就必須將你的 IP 讓 MH350 NAT 成它的 LAN Port IP ( 192.168.1.1 ) , 這樣你才可以順利使用該公司的 Server .

 

2.公司內部有多台 Gateway ( 上 Internet 有多台 ) , 為避免路由造成問題, 則必須啟用 外部至內部的 NAT 功能
假設有一公司, 原來已經有一台分享器並可以上 Internet , 其 ip 是 192.168.1.254 , 後來又申請多條 ADSL 並另購 MH350 ( Gateway IP 192.168.1.1 ) , 如果原來已有一台 Web Server ( IP 192.168.1.200 ) 且 Gateway IP 是指到 分享器 ( 192.168.1.254) , 那麼當用戶想透過 MH350 的線路連到內部這台 Server , 則必須在 MH350 的外部至內部管制開啟 NAT 功能 , 才可以避免路由問題而正常使用.

 

其他應用當然還有, 請依情況適時開啟.

 

如果沒有上述的需求, 建議不要開啟 NAT 選項.
若開啟, 除了安全考量外, 同時你的 Server 無法記錄外部使用者的實際 IP ,會變成 MH350 的 LAN IP .


Q3.我在MH350後端架設虛擬網頁伺服器後,發現網站的訪客IP紀錄,無法正確顯示內部訪客的IP,都只出現192.168.1.1的現象,請問該如何設定?

 

這是因為你的內部用戶透過 DNS Server 解析到 "網頁伺服器" 的 真實 IP ( Public IP ) 並經由 MH350 轉址所造成.

 

如要避免, 必須讓內部用戶直接解析 "網頁伺服器" 的虛擬 IP , ex 192.168.1.200 做法如下:

 

1.內部用戶電腦 的 TCP/IP 內容, 其中 DNS Server 請指到 MH350 的 LAN 端 ( ex.192.168.1.1 ) ,讓 MH350 做 DNS Proxy .

 

2.於 MH350 設定畫面 , 系統管理 > 組態 > 主機名稱表 ( Hosts table) ,新增一筆

 

主機名稱 : 你的網頁伺服器網址 , 例如 www.aaa.com.tw
虛擬IP位址 : 實際使用的虛擬 IP , 例如 192.168.1.200

 

一般 DNS Server 的查詢順序會以 Hosts 為優先, 然後才是外部 DNS Server . 經這樣修改,內部用戶可以直接到網頁伺服器網址實際使用的虛擬 IP , 不再需要 MH350 轉換 IP 了.
 

AboCom. Copyright©2012 www.aboway.com.tw All Rights Reserved.

聯絡我們