配置外网可访问的ftp服务的一些心得体会

第一篇：配置外网可访问的ftp服务的一些心得体会

配置外网可访问的ftp服务的一些心得体会

首先用IIS配置ftp服务，这里不再赘述，网上很多。

接下来是重点了，配置好ftp服务后要让外网访问你，首先要先到路由器去映射你的主机，因为寝室共用一个路由，大家只有一个外网IP地址。因此必须要映射路由，让外网访问你这个局域网便能访问你的计算机。

一、配置虚拟主机（各个路由器不同，具体参照路由器说明书和帮助文档。我的是Tenda路由）。先了解你的内网IP是多少（大多数是192.168.……，我的是192.168.0.6）。登陆路由器（我的是192.168.0.1），虚拟主机设置为启用。（好像周冠试了，不设置这个也可以）。

二、启用DMA主机映射，这才是关键，要让外网一访问你这个局域网就能访问到你的计算机，这里要知道你的外网IP地址。

经过以上步骤，外网应该可以访问我们的ftp服务器了，不过我觉得肯定有些问题我没发现，不可能这么简单的。

还有，我觉得既然ftp可以如此，http一定可以，以后一定会去尝试一下。

第二篇：怎样让外网访问自己的虚拟主机

怎样让外网访问自己的虚拟主机

随着网络的发展，越来越多的中小型企业如雨后春笋般应运而生，建设自己的网站已经是司空见惯之事，那么作为一个站长，该如何选择一个可靠的虚拟主机呢，这对于网站的发展起着至关重要的作用！当然让外网访问自己的虚拟主机也是比较重要的，专职优化、域名注册、网站空间、虚拟主机、服务器托管、vps主机、服务器租用的中国信息港在这里就为大家做深入探讨！

这几天在一台大内存的拥有双千兆网卡的服务器上搞了一个虚拟机做测试，目的是让虚拟机也能跟其他真实存在的机器一样成为一台服务器，为局域网和互联网提供服 务。也就是说不止要让局域网的其他机器能访问到，因为有分配了一个公网的IP地址，所以也要让外网访问虚拟机。嗯？有点枯燥？那咱们配图说话（点击图片看 大图）：

这次安装虚拟机采用的是VMware Workstation。由于之前用虚拟机顶多就是在局域网内跑或是单机跑。所以从来都没怎么关注过VMware Workstation的网络类型。于是马上Google和百度分别来几下。

感谢作者，图文并茂介绍了VMware Workstation的虚拟网络类型。经过学习之后，我决定采用Bridge方式。因为这个方式很适合用来实现我想要的功能。

逻辑上，我们在虚拟机上也建立两张网卡，再采用bridge的网络类型，把两张虚拟网卡桥接到实际存在的两张物理网卡上，再分别设置相对应的IP地址。即可。母机上的两张物理网卡，一张是接入内部交换机，网卡名字后面有#2。另外一张接入外网的路由器中。

具体上如何操作呢？下面咱们也来图文并茂给大家介绍一下。

首先，得建立虚拟机（感觉是废话），最好采用自定义建立，这样在选择网络的时候，选择Bridged方式（另外三个分别是NAT、host-only、不是用任何网络），建立好之后，先别启动虚拟机。点选如（图三）所示（点击菜单栏的Edit后，再点Virtual Network Settings...）点了之后会出现Virtual Network Editor的界面，点击Automatic Bridging，然后把那个勾勾取消掉。再点击Host Virtual Network Mapping的标签，进入如（图四）的界面。

这 里解释一下哦。因为我们需要虚拟两张网卡，然后采用的是bridge的方式，所以我们这里需要设置一下。把两张虚拟网卡桥接到母机的物理网卡上。如（图 四），我们可以看到有VMnet0到VMnet9共10张虚拟网卡。其中，VMnet0默认是采用Bridge是用的虚拟网卡，VMnet8是默认情况下 NAT方式使用的虚拟网卡，VMnet1是默认采用host-only时使用的虚拟网卡。当然，这些虚拟网卡的用途，在VMware Workstation中都是可以变更的。

现在，我们把VMnet0的栏位选择我们的物理网卡#2。再把VMnet2的栏位选择我们的物理网卡（接外网的那张。）这样，VMnet0桥接到局域网的网卡上，VMnet2桥接到外网的网卡上了。

接下来就是为新建立的虚拟机添加第二张虚拟网卡，点击VMware Workstation主 菜单上的VM，出现的下拉菜单中再点击Settings...或是按快捷键CTRL+D。然后在出现的虚拟机编辑界面中，点击add。会出现Add Hardware Wizard的界面。再点击Ethernet Adapter后按下一步，一直到出现如（图五）的界面，（图五）的界面就是选择网络类型，这里我们选择自定义（Custom），然后在下拉的虚拟网卡中，选择我们之前设置过桥接的VMnet2（因为建立 VMnet0已经被第一张虚拟网卡使用了）。选好之后，点完成。这样就完成了整个虚拟机爽网卡的配置了。接下来就是挂载镜像，启动虚拟机。安装系统。系统 安装完成之后，可以看到虚拟机系统也有双网卡了。然后在两张虚拟网卡上分别设置局域网IP地址和外网的IP地址。这里再跟大家解释一下：像我介绍的这样采 用桥接方式之后，我们的虚拟机就跟母机在网络上处于对等地位，网络关系上是平等的。因为我这个虚拟机已经分配了一个公网的IP地址。中国信息港，专业提供域名虚拟主机空间申请等服务,ICANN授权域名注册商,全国十强虚拟主机提供商,电信、联通、双线、海外等多种线路上百种虚拟主机空间任选，云主机,虚拟主机,vps主机，香港虚拟主机,虚拟主机申请,空间申请,服务器托管，服务器租用,云享主机,ShopEx空间,phpwind空间,discuz空间,php空间。

第三篇：Windows 2003安全设置-IIS、终端服务、FTP、SQL的配置Evil

IIS配置

IIS6与IIS5有着很多不同之处，不一一列举，也不是我一个脑袋可以装下的东西。都在资料上！

IIS6有一个非常不方便的东西，就是他限制了在线上传不得大于200K，如何修改，请看： 首先停用IIS服务，> 服务 > iis admin service > 停用

C:windowssystem32inetsrv metabase.xml 文件 用记事本打开它

找到 ASPMaxRequestEntityAllowed 处。默认为 204800 即 204800字节(200K)修改为想要的数字如： 2048000 [2M] 保存，重启IIS服务即可！设置基本参数

打开IIS管理器 > 网站 > 属性 > 网站 > 启动日志记录 > 关闭

主目录 > 配置 > 应用程序扩展 > 只保留 asp,asa 主目录 > 配置 > 选项 > 启用父目录

主目录 > 配置 > 调试 > 向客户端发送文本错误消息

网站 > 自定义错误 > 全部改成默认值 [上一章已经删除IIS使用的错误信息页面] IIS管理器 > WEB服务扩展 > 启用 Active Server Pages 注：停用IIS默认站点，切勿删除，有可能会造成IIS的不稳定。站点的建立将在第四节中详细介绍。IIS支持PHP的配置

http:// 默认安装至 D:w3JMail4_35434fnald [同样，复杂的目录名]

安装完成后只需单一设置 jmail.dll 权限，加入IIS用户组默认权限即可！SQL Server 2000 的安装与配置

目前SQL Server 2000 SP4 在我看来已算比较安全，已没有SP3等版本会因为 sqlstp.log, sqlsp.log而泄露

安装信息的问题。当然也建议在安全后 检查 :Program FilesMicrosoft SQL ServerMSSQLInstall

目录中是否存在有 sqlstp.log, sqlsp.log, setup.iss文件，如果有，则备份至其它位置。数据库的建立这里就不多讲了。更多设置可以参考SQL SERVER 2000帮助文档！

第四篇：防火墙访问控制规则配置--教案

访问控制规则配置

访问规则描述了网络卫士防火墙允许或禁止匹配访问控制规则的报文通过。防火墙接收到报文后，将顺序匹配访问规则表中所设定规则。一旦寻找到匹配的规则，则按照该策略所规定的操作（允许或丢弃）处理该报文，不再进行区域缺省属性的检查。如果不存在可匹配的访问策略，网络卫士防火墙将根据目的接口所在区域的缺省属性（允许访问或禁止访问），处理该报文。在进行访问控制规则查询之前，网络卫士防火墙将首先查询数据包是否符合目的地址转换规则。如果符合目的地址转换规则，网络卫士防火墙将把接收的报文的目的IP 地址转换为预先设置的IP 地址（一般为真实IP）。因此在进行访问规则设置时，系统一般采用的是真实的源和目的地址（转换后目的地址）来设置访问规则；同时，系统也支持按照转换前的目的地址设置访问规则，此时，报文将按照转换前的目的地址匹配访问控制规则。

根据源、目的配置访问控制规则

基本需求

系统可以从区域、VLAN、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配，访问控制规则的源和目的既可以是已经定义好的VLAN 或区域，也可以细化到一个或多个地址资源以及用户组资源。与包过滤策略相同，访问控制规则也是顺序匹配的，系统首先检查是否与包过滤策略匹配，如果匹配到包过滤策略后将停止访问控制规则检查。但与包过滤策略不同的是访问控制规则没有默认规则。也就是说，如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话，系统将根据目的接口所在区域的缺省属性（允许访问或禁止访问）处理该报文。

案例：某企业的网络结构示意图如下图所示，网络卫士防火墙工作在混合模式。Eth0 口属于内网区域（area_eth0），为交换trunk 接口，同时属于VLAN.0001 和VLAN.0002，vlan.0001 IP 地址为192.168.1.1，连接研发部门文档组所在的内网（192.168.1.0/24）；vlan.0002 IP 地址为192.168.2.1，连接研发部门项目组所在的内网（192.168.2.0/24）。

图 25 根据源、目的进行访问控制示意图

Eth1 口IP 地址为192.168.100.140，属于外网area_eth1 区域，公司通过与防火墙Eth1口相连的路由器连接外网。Eth2 口属于area_eth2 区域，为路由接口，其IP 地址为172.16.1.1，为信息管理部所在区域，有多台服务器，其中Web 服务器的IP 地址：172.16.1.3。

用户要求如下：

内网文档组的机器可以上网，允许项目组领导上网，禁止项目组普通员工上网。

外网和area_eth2 区域的机器不能访问研发部门内网；

内外网用户均可以访问area_eth2 区域的WEB 服务器。

配置要点

设置区域对象的缺省访问权限：area_eth0、area_eth2 为禁止访问，area_eth1 为允许访问。

定义源地址转换规则，保证内网用户能够访问外网；定义目的地址转换规则，使得外网用户可以访问area_eth2 区域的WEB 服务器。

定义访问控制规则，禁止项目组除领导外的普通员工上网，允许内网和外网用户访问area_eth2 区域的WEB 服务器。

WebUI 配置步骤

1）设定物理接口eth1 和eth2 的IP 地址。

选择 网络管理 > 接口，激活“物理接口”页签，然后点击Eth1、Eth2 端口后的“设 置”字段图标，添加接口的IP 地址。如下图所示。

2）添加VLAN 虚接口，设定VLAN 的IP 地址，再选择相应的物理接口加入到已添 加的VLAN 中。

a）选择 网络管理 > 二层网络，激活“VLAN”页签，然后点击“添加/删除VLAN 范围”，如下图所示。

b）设定VLAN 虚接口的IP 地址。

点击VLAN 虚接口的“修改”字段图标，在弹出界面中设置VLAN.0001 的IP 为：

192.168.1.1，掩码为：255.255.255.0；VLAN.0002 的IP 为：192.168.2.1，掩码为：255.255.255.0。如下图所示。

c）设定VLAN 和物理接口的关系。

选择 网络管理 > 接口，激活“物理接口”页签，然后点击eth0 接口后的“设置” 字段图标，设置接口信息，如下图所示。3）定义主机、子网地址对象。

a）选择 资源管理 > 地址，选择“主机”页签，定义主机地址资源。定义WEB 服 务器主机名称设为172.16.1.3，IP 为172.16.1.3；定义虚拟WEB 服务器（即WEB 服务器 的在外网区域的虚拟IP 地址）主机名称设为192.168.100.143, IP 为192.168.100.143；定义 接口主机地址资源192.168.100.140（也可以是其他字符串），主机名称设为192.168.100.140, IP 为192.168.100.140；定义文档服务器，主机名称设为doc_server, IP 为10.10.10.3。定义 完成后的界面如下图所示：

b）选择 资源管理 > 地址，选择“子网”页签，点击“添加”定义子网地址资源。资源名称rd_group，以及网络地址192.168.2.0、子网掩码255.255.255.0 以及排除领导地 址:10.10.11.2 和10.10.11.3。

4）定义区域资源的访问权限（整个区域是否允许访问）。

选择 资源管理 > 区域，设定外网区域area_eth1 的缺省属性为“允许”访问，内网 区域area_eth0 和area_eth2 的缺省属性为“禁止”访问。以area_eth1 为例，设置界面如 下图所示。

设置完成后的界面如下图所示。5）选择 防火墙 > 地址转换，定义地址转换规则。a）定义源地址转换规则，使得内网用户能够访问外网: 选择“源转换”。

① 选择“源”页签，参数设置如下图所示。不设置参数，表示不对报文的源进行限 制。

② 选择“目的”页签，参数设置如下图所示。

③ 选择“服务”页签，参数设置如下图所示。

转换源地址对象为“192.168.100.140”。设置完成后的规则如下图所示。

b)定义目的地址转换规则，使得内网文档组以及外网用户都可以访问area_eth2 区域 的 WEB 服务器。选择“目的转换”

① 选择“源”页签，设置参数如下图所示。不设置参数，表示不对报文的源进行限 制。

② 选择“目的”页签，设置参数如下图所示。

③ 选择“服务”页签，设置参数如下图所示。“目的地址转换”为地址资源“172.16.1.3”。设置完成后的界面如下图所示。

6）选择菜单 防火墙 > 访问控制，定义访问控制规则。a）允许内网和外网用户均可以访问WEB 服务器

由于Web 服务器所在的area_eth2 区域禁止访问，所以要允许内网和外网用户均可以 访问Web 服务器，需要定义访问控制规则如下。① 选择“源”页签，参数设置如下图所示。

源VLAN 和源区域不选择，表示不对区域加以限制； ② 选择“目的”页签，参数设置如下图所示。③ 选择“服务”页签，参数设置如下图所示。

b）允许项目组领导访问外网，禁止项目组普通员工rd_group 访问外网。由于外网区域允许访问，所以需要添加禁止访问外网的规则如下： ① 选择“源”页签，参数设置如下图所示。

② 选择“目的”页签设置如下图所示。

③ 选择“服务”页签，参数设置如下图所示。

CLI 配置步骤

1）设定物理接口eth1 和eth2 的IP 地址。#network interface eth1 ip add 192.168.100.140 mask 255.255.255.0 #network interface eth2 ip add 172.16.1.1 mask 255.255.255.0 2）添加VLAN 虚接口，设定VLAN 的IP 地址，再选择相应的物理接口加入到已添 加的VLAN 中。

#network vlan add range 1,2 #network interface vlan.0001 ip add 192.168.1.1 mask 255.255.255.0 #network interface vlan.0002 ip add 192.168.2.1 mask 255.255.255.0 #network interface eth0 switchport trunk allowed-vlan 1,2 native-vlan 1 encapsulation dotlq 3）定义主机、子网地址资源。

#define host add name 172.16.1.3 ipaddr 172.16.1.3 #define host add name 192.168.100.143 ipaddr 192.168.100.143 #define host add name doc_server ipaddr 10.10.10.3 #define subnet add name rd_group ipaddr 192.168.2.0 mask 255.255.255.0 except ‘10.10.11.2 10.10.11.3’

4）设置区域资源的缺省访问权限：area_eth0、area_eth2 为禁止访问，area_eth1 为允 许访问（缺省权限，无需再设定）。

#define area add name area_eth0 access off attribute eth0（不允许访问内网）#define area add name area_eth2 access off attribute eth2（不允许访问内网）5）定义地址转换规则。

定义源地址转换规则，使得内网用户能够访问外网。

#nat policy add dstarea area_eth1 trans_src 192.168.100.140 定义目的地址转换规则，使得内网文档组以及外网用户都可以访问area_eth2 区域的 WEB 服务器。

#nat policy add orig_dst 192.168.100.143 orig_service HTTP trans_dst 172.16.1.3 6）定义访问控制规则。

允许内网和外网用户均可以访问WEB 服务器

#firewall policy add action accept dstarea area_eth2 dst 172.16.1.3 service HTTP 允许项目组领导访问外网，禁止项目组普通员工访问外网

#firewall policy add action deny srcarea area_eth0 srcvlan vlan.0002 src rd_group dstarea area_eth0 service HTTP 注意事项

1）目的地址需要选择WEB 服务器的真实IP 地址，因为防火墙要先对数据包进行目 的地址转换处理，当内网用户利用http://192.168.100.143 访问SSN 区域的Web 服务器时，由于符合NAT 目的地址转换规则，所以数据包的目的地址将被转换为172.16.1.3。然后才 进行访问规则查询，此时只有设定为WEB 服务器的真实IP 地址才能达到内网用户访问 SSN 区域WEB 服务器的目的。网络卫士系列防火墙处理数据包的流程请参考用户手册相 关章节。

2）定义目的地址转换规则时，不能选择目的区域与目的VLAN。

根据源端口配置访问控制规则

基本需求

案例：某银行系统应用软件使用特定的端口进行业务主机与服务器间的数据通信，为 了保证数据及设备的安全，禁止其他对于业务主机和服务器的访问。网络结构示意图如下所示。

图 26 根据源端口进行访问控制示意图

业务主机可以使用特殊端口访问服务器，不能使用其他端口。业务主机区域和服务器 区域禁止其他类型的访问。

配置要点

定义区域：area_eth1、area_eth2。

定义服务端口：FS_port

设置访问控制规则

WebUI 配置步骤

1）定义区域area_eth1 为禁止访问，并与属性eth1 绑定。选择 资源管理 > 区域，点击“添加”，如下图所示。

2）定义区域area_eth2 为禁止访问，并与属性eth2 绑定。

具体操作与area_eth1 相似，请参考area_eth1 的定义过程完成。3）定义服务端口

由于系统使用的通信端口是：4500，不是通常使用的协议端口，在设置规则前需要自 定义端口。

选择 资源管理 > 服务，激活“自定义服务”页签，进入自定义服务页面。点击右 侧“添加”，如下图所示。

选择类型：TCP，设置名称：FS_port，服务器实际使用的端口：4500。完成后点击“确 定”按钮。

4）定义访问控制规则

该规则为来自area_eth1 区域使用源端口为4500 的数据包允许通过防火墙访问 area_eth2 区域。

a）选择“源”页签，参数设置如下。

b）选择“目的”页签，参数设置如下图所示。

c）选择“服务”页签，参数设置如下图所示。

d）选择“选项”页签设置参数如下。由于所使用的软件系统所建立的连接需要长时期保持，在“连接选项”中选择“长连 接”，根据需要选择“日志记录”。点击“确定”完成ACL 规则设置。

CLI 配置步骤

1）定义区域：area_eth1、area_eth2 #define area add name area_eth1 access off attribute eth1 #define area add name area_eth2 access off attribute eth2 2）定义服务端口：FS_port #define service add name FS_port protocol 6 port 4500 3）设置访问控制规则

#firewall policy add action accept srcarea area_eth1 dstarea area_eth2 sport FS_port permanent yes log on enable yes

注意事项

由于环境所限此案例未能进行实际测试，仅供参考使用。

根据特定服务配置访问控制规则

基本需求

在进行访问控制规则的设置时，可以对用户所能访问的服务进行控制，系统预定义了

可控制的常见服务，可以实现二到七层的访问控制，用户也可以自定义服务进行访问控制。案例：某企业网络被防火墙化分为三个区域area_eth0、area_eth1 和area_eth2，三个

区域分别与接口Eth0、Eth1 和Eth2 绑定，area_eth0 连接外网，允许用户访问，area_eth1 和area_eth2 区域禁止用户访问。服务器位于area_eth1，IP 地址为192.168.100.140，内网 位于area_eth2，网络地址为192.168.101.0。企业的网络结构如下图所示。

要求：

允许内网用户访问服务器的TELNET、SSH、FTP 和Web_port 服务，其中Web_port 服务为自定义服务，端口号为8080；但不能访问Eth1 口的其他服务器和其他服务。不允许外网用户访问Eth1 口服务器的TELNET 和SSH 服务。图 27 根据服务设置访问控制规则示意图

配置要点

定义区域和地址资源

定义服务资源

定义服务组资源 设置访问控制规则

WebUI 配置步骤

1）定义区域和地址资源

a）定义区域资源area_eth0、area_eth1 和area_eth2，分别与Eth0、Eth1 和Eth2 绑定。区域权限均为“允许”。

选择 资源管理 > 区域，点击“添加”添加区域资源，界面如下图。① 添加区域area_eth0。② 添加区域area_eth1。③ 添加区域area_eth2。

服务热线：8008105119 183 设置完成后界面如下图所示。b）定义IP 地址资源

选择 资源管理 > 地址，选择“主机”页签，点击“添加”，如下图所示。c)定义子网资源

选择 资源管理 > 地址，选择“子网”页签，点击“添加”，如下图所示。

2）设置自定义服务

选择 资源管理 > 服务，激活“自定义服务”页签，配置自定义服务“Web_port” 如下图所示。

3）设置服务组资源

选择 资源管理 > 服务，激活“服务组”页签，配置服务组“内网访问服务”如下 图所示。

本例中服务组名称为“内网访问服务”，包括“Web_port、SSH、TELNET、FTP”。4)设置访问控制规则。由于服务器所在区域area_eth1 禁止访问，所以只要定义允许 访问的规则即可。

a）设置允许内网area_eth2 的网段为192.168.101.0/24 的用户访问area_eth1 的服务器（192.168.100.140）SSH、TELNET、FTP 以及8080 端口服务的访问控制规则 选择 防火墙 > 访问控制，点击“添加”按钮，设置访问控制规则。① 选择“源”页签，参数设置如下图所示。

② 选择“目的”页签，参数设置如下图所示。

服务热线：8008105119 187 ③ 选择“服务”页签，参数设置如下图所示。

服务热线：8008105119 188 设置完成的ACL 规则如下图所示。

b）设置仅允许外网区域（area_eth0）的用户访问服务器的8080 端口的服务访问控制 规则。

选择 防火墙 > 访问控制，点击“添加”按钮，设置访问控制规则。① 选择“源”页签，参数设置如下图所示。

服务热线：8008105119 189 ② 选择“目的”页签，参数设置如下图。

服务热线：8008105119 190 ③ 选择“服务”页签，参数设置如下图。

服务热线：8008105119 191 设置完成后的ACL 规则如下图所示。

CLI 配置步骤

1）定义区域资源

#define area add name area_eth0 access on attribute eth0 #define area add name area_eth1 access on attribute eth1 #define area add name area_eth2 access on attribute eth2 2）定义主机和子网地址资源

#define host add name 192.168.100.140 ipaddr 192.168.100.140 #define host subnet add name 内网 ipaddr 192.168.101.0 mask 255.255.255.0 3）设置自定义服务，服务名为Web_port，端口号为8080。#difine service add name Web_port protocol tcp port 8080 4）设置服务组资源，组名称为“内网访问服务”，包括Web_port、FTP、TELNET 和SSH 服务。

#difine group_service add name 内网访问服务 member Web_port,FTP,TELNET,SSH 5）设置访问控制规则

a）区域“area_eth2”的子网对象“内网”（192.168.101.0/24）允许访问区域“area_eth1” 的服务器的Web_port、FTP、TELNET 和SSH 服务(有自定义服务组“内网访问服务”绑 定)，服务器的IP 地址为192.168.100.140。

#firewall policy add action accept srcarea area_eth2 dstarea area_eth1 src 内网dst 192.168.100.140 service 内网访问服务 enable yes

服务热线：8008105119 192 b）设置仅允许外网用户访问服务器192.168.100.140 的8080 端口的服务访问控制规 则。

#firewall policy add action accept srcarea area_eth0 dstarea area_eth1 dst 192.168.100.140 service Web_port enable yes 注意事项

如果只允许开放某些服务，其他服务均被禁止，可以设置目的区域的默认访问权限为 “禁止”，系统在匹配完访问控制规则后将自动匹配区域的默认访问权限。

根据转换前目的地址配置访问控制规则

基本需求

背景：某企业的WEB 服务器（IP：192.168.83.56）通过防火墙将其IP 地址MAP 为

202.45.56.5 对外提供WEB 服务。WEB 服务器连在防火墙的Eth1 口（IP：192.168.83.2），且防火墙通过Eth0 口（IP：202.45.56.3）与Internet 相连，如下图所示。

图 28 根据转换前目的进行访问控制示意图

需求：为了保护企业网络的安全，网关Eth1 接口所属的区域area_eth1 设置为禁止访 问，要求Internet 用户只可访问企业WEB 服务器的HTTP 服务，要求用WEB 服务器的 MAP 地址202.45.56.5 作访问控制。

服务热线：8008105119 193 配置要点

定义主机地址资源

定义地址转换策略

定义访问控制规则

WebUI 配置步骤

1）将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。选择 资源管理 > 区域，点击“添加”，如下图。

2）定义WEB 服务器主机地址资源R-WebServer 和虚拟主机对象V-WebServer。选择 资源管理 > 地址，激活“主机”页签，定义主机地址资源R-WebServer 和 V-WebServer。

定义R-WebServer 主机地址资源图。

服务热线：8008105119 194 定义V-WebServer 主机地址资源图。3）定义地址转换规则。

选择 防火墙 > 地址转换，并在右侧界面中点击“添加”定义目的地址转换规则。选择“目的转换”。

a）选择“源”页签，设置参数如下图。

服务热线：8008105119 195 b）选择“目的”页签，参数设置如下。

服务热线：8008105119 196 c）选择“服务”页签，参数设置如下。设置完成后的目的NAT 规则如下图所示。4）设置访问控制规则。

选择 防火墙 > 访问控制，并在右侧界面中点击“添加”定义访问控制规则。

服务热线：8008105119 197 a）选择“源”页签，参数设置如下。b）选择“目的”页签，设置根据转换前的目的地址进行访问控制。参数设置如下。

服务热线：8008105119 198 c）选择“服务”页签，参数设置如下。

服务热线：8008105119 199 设置完成后的ACL 规则如下图所示。至此，WEBUI 方式的配置完成。

CLI 配置步骤

1）将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。#define area add name area_eth1 access off attribute eth1 2）定义WEB 服务器主机地址资源R-WebServer 和虚拟主机地址资源V-WebServer。定义R-WebServer 主机地址资源

#define host add name R-WebServer ipaddr 192.168.83.56 mask 255.255.255.定义V-WebServer 主机地址资源

#define host add name V-WebServer ipaddr 202.45.56.5 mask 255.255.255.3）定义地址转换规则。

#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4）设置访问控制规则。

#firewall policy add src any orig_dst V-WebServer service HTTP action accept enable yes

注意事项

1）因为该案例要求internet 用户只可访问内网中WEB 服务器的HTTP 服务，因此需 要事先拒绝internet 用户的所有访问，再定义访问控制规则允许其访问HTTP 服务。2）对转换前的目的地址进行匹配时，只需在“转换前目的地址”中进行选择目的地 址，而无须在“目的地址”中再选择地址。

3）在配置过程中，请确保没有与该规则相冲突的地址转换策略和阻断策略。

根据转换后目的地址配置访问控制规则

基本需求

背景：某企业的WEB 服务器（IP：192.168.83.56）通过防火墙将其IP 地址MAP 为

202.45.56.5 对外提供WEB 服务。WEB 服务器连在防火墙的Eth1 口（IP：192.168.83.2），且防火墙通过Eth2 口（IP：202.45.56.3）与Internet 相连，如下图所示。

需求：为了保护企业网络的安全，要求Internet 用户只可访问企业WEB服务器的HTTP 服务，要求用WEB 服务器的IP 地址192.168.83.56 做访问控制。图 29 根据转换后目的进行访问控制示意图

配置要点

定义主机地址资源

定义地址转换策略

定义访问控制规则

WebUI 配置步骤

1）将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。选择 资源管理 > 区域，点击“添加”，如下图。

2）定义WEB 服务器主机地址资源R-WebServer 和虚拟主机地址资源V-WebServer。选择 资源管理 > 地址，激活“主机”页签，在右侧界面中点击“添加”定义主机 地址资源R-WebServer 和V-WebServer。定义R-WebServer 主机地址资源。定义V-WebServer 主机地址资源。3）定义地址转换规则。

选择 防火墙 > 地址转换，并在右侧界面中点击“添加”定义目的地址转换规则。选择“目的转换”。

a）选择“源”页签，设置参数如下图。

b）选择“目的”页签，参数设置如下。

c）选择“服务”页签，参数设置如下。设置完成后的目的NAT 规则如下图所示。4）设置访问控制规则。

a）选择“源”页签，参数设置如下。

b）选择“目的”页签，设置根据NAT 转换后的目的地址（R_WebServer）进行访问 控制。参数设置如下。

c）选择“服务”页签，参数设置如下。

设置完成后的ACL 规则如下图所示。至此，WEBUI 方式的配置完成。

CLI 配置步骤

1）将防火墙的Eth1 口所属区域的默认访问权限设置为“禁止”。#define area add name area_eth1 access off attribute eth1 2）定义WEB 服务器主机对象R-WebServer 和虚拟主机对象V-WebServer。定义R-WebServer 主机地址资源

#define host add name R-WebServer ipaddr 192.168.83.56 定义V-WebServer 主机地址资源

#define host add name V-WebServer ipaddr 202.45.56.5 3）定义地址转换规则。

#nat policy add orig_src any orig_dst V-WebServer orig_service HTTP trans_dst R-WebServer enable yes 4）设置访问控制规则。

#firewall policy add src any dst R-WebServer service HTTP action accept enable yes 注意事项

1）因为该案例要求internet 用户只可访问内网中WEB 服务器的HTTP 服务，因此需 要事先拒绝internet 用户的所有访问，再定义访问控制规则允许其访问HTTP 服务。2）当TOS 设备处理经过地址转换的数据包时，匹配的是目的地址转换后的地址，故 一般不需要设置“转换前目的”中的地址。

3）在配置过程中请确保没有与该规则相冲突的地址转换策略和阻断策略。

基于认证用户的访问控制

用户认证的主要目的是为了对用户进行身份鉴别、授权以及进行细粒度的访问控制，用户认证的方式主要包括本地认证（密码和证书）和第三方认证（Radius、Tacacs、SecurID、LDAP 以及域认证等等），通过将认证用户设置为用户组，访问控制规则的源和目的即可 以是用户组对象，从而实现基于本地密码认证、OTP 认证以及第三方认证用户的细粒度 的访问控制。

基本需求

Area_eth2 区域为研发部门内网，禁止外网和其余部门访问，只允许内网area_eth1 区 域的某些用户通过TOPSEC 认证客户端访问内网主机10.10.10.22 的TELNET 服务。图 30 基于认证用户的访问控制示意图 配置要点

设置区域属性

设置NAT 地址转换规则

设置认证服务器和用户组

开放相关接口的认证服务

设置基于认证用户的访问控制规则。

设置用户认证客户端

WebUI 配置步骤

1）设置区域属性，添加主机地址资源。

a）选择 资源管理 > 区域，定义内网区域area_eth2 的缺省属性为禁止访问。外网区域area_eth1 为允许访问。

b）选择 资源管理 > 地址，激活“主机”页签，定义内网TELNET 服务器的真实IP 地址资源（10.10.10.22）。

定义虚拟IP 地址资源（192.168.83.223）。如下图所示。

2）选择 防火墙 > 地址转换，设置目的NAT 规则，使得用户能够访问内网TELNET 服务器。

选择“目的转换”。

a）选择“源”页签，设置参数如下图。

b）选__

第五篇：如何从外网远程桌面访问ADSL内网计算机

如何从外网远程桌面访问ADSL内网计算机

描述如下: 家里装了电信ADSL,通过MODEM接路由器,由路由器分了几条出去,其中一台接到自己的电脑,电脑装的系统是雨林木风的GHOST XP SP3 公司使用电信ADSL,通过MODEM接路由器,路由器接交换机,分线到电脑,电脑系统是雨林木风的GHOST XP SP3, 要求如下: 希望通过公司电脑远程桌面管理家里的电脑.解决方案一：

首先被控计算机要有密码，先在被控计算机上建一个管理员帐号，设置密码，然后右键单击我的电脑，选择属性，有个远程选项卡，把里面的选项全勾上,然后打开控制面板，安全中心，防火墙，打开远程的3389端口，这是很重要的。

顺便把你内网的IP地址绑定一下，你应该知道吧，就是让你的内网IP地址不变，比如绑定成192。168.1.100，这样方便以后的映射

这样基本电脑的设置就结束了，接下来就是路由器的了，打开路由器管理界面！

找到，虚拟服务器添加，端口号是3389.协议就选TCP，然后是你的IP地址，就是上面说的192.168.1.100，然后保存就可以了，DMZ选项也要打开填入你机器的内网IP哦！！

然后打开你路由器管理界面看看你现在公网IP，可以了~~~~

你可以出去找个网吧，XP系统就行了，然后呢~打开远程桌面，输入你宿舍的公网IP，连接，输入用户名和密码，搞定了~~~

解决方案二：端口映射

1.打开单位的电脑.点我的电脑属性-远程-开启远程协助和远程桌面.最好也关了防火墙.2.登陆你们单位的路由器,(如果是TP-Link路由器的话)里面有个转发: IP填你局域网的IP(如:192.168.1.88)端口:3389 协议:tcp

3.在你家里的电脑打开程序-附件-通迅-远程桌面-输入你单位的公网固定IP,然后输入你办公室的电脑账号和密码就可以登陆了.4.局域网是自动获取IP的-在运行输入cmd打开命令窗口 ipconfig /all 查看本机IP,网关,dns,如果有必要最好手动设置IP和网关.DNS等

5.网络通过了路由器接了局域网是不可以直接登陆你的办公电脑的.因为局域网一般都是私网IP所以必须做端口映射(如上第2条)

解决方案三：

可以用vpn拨入功能，但一般家庭用路由是不带此功能的。另外可以通过路由的端口映射，各个路由的映射方法不尽相同，由于不知道你说的路由型号，所以无法说明如何设置端口映射，你可以到中国宽频网去学习一下如何设置端口映射：http://www.xiexiebang.com/cgi-bin/lb5000/leobbs.cgi

解决方案四：

在公司和家里的电脑同时装上vnn，下载地址：http://www.xiexiebang.com/GetEntry.do?id=722755501&owner=240178526