【简介】当我们的防火墙可以上网了之后,把服务器映射到外网,允许从外网访问内部服务器,就成了优先考虑的问题了。ADSL拨号宽带与固定IP宽带的映射略有不同,这里以ADSL拨号宽带作示例。
DDNS
我们知道,ADSL拨号宽带每次连接后产生的IP都不同,而外网需要IP访问映射的服务器,这就需要用到飞塔防火墙专有的DDNS功能了。
① 选择菜单【网络】-【DNS】,将FortiGuard DDNS打开,接口选择Wan1,服务器默认飞塔自有的fortiddns.com,输入不重得的名称,下面就会自动出现一个域名。我样可以通过这个域名快速转换为Wan1口的外网IP地址。如果断网重新拨号,生成了新的IP地址,防火墙也会自动将域名指向新的IP地址。
② 在浏览器中输入刚才建立的新的域名,同样可以和输入IP地址一样登录防火墙。
服务器上网
即然要从外网访问内问的服务器,首要的工作就是要允许服务器上网。
① 防火墙上的DMZ接口,是专门用来映射服务器的,它可以安全的把映射的服务器与防火墙隔离开,也就是说就算服务器被攻克了,也不会影响到内网。
② 为了更好的加强安全,我们将在策略里只允许服务器的IP访问外网。那么我们就要建立服务器的IP地址对象。选择菜单【策略&对象】-【地址】,点击【新建】-【地址】。
③ 服务器的IP地址为10.10.10.8,指定这个地址在DMZ接口才可以使用。
④ 使用地址对象的好处是,一量IP地址改变了,只要在地址对象里进行修改,其引用对象的策略等都可以不动。
⑤ 下面就可以建立DMZ口服务器上网的策略了,选择菜单【策略&对象】-【IPv4】,点击【新建】。
⑥ 和设置其它接口上网相同,原地址选择输入刚建立的服务器IP地址对象,这样这条策略就只允许一个指定的IP地址可以通过DMZ口上网。
⑦ FortiView菜单集中了很多查询功能,选择菜单【FortiView】-【源】,可以看到服务器IP地址10.10.10.8已经有上网记录了。
虚拟IP
服务器要能通过外网访问,那就需要一个将服务器IP地址映射在外网IP地址的功能。
① 选择菜单【策略&对象】-【虚拟IP】,点击【新建】-【虚拟IP】。
② 输入用户名和注释,它们的功能是用来区别不同的虚拟IP,接口选择ADSL宽带的Wan1口,表明是从Wan1口映射服务器出去。外部IP地址由于ADSL拨号宽带IP经常变动,这里就保留默认的0.0.0.0。如果端口转发不打开,就表示将所有的服务器端口都映射到外网,这样比较容易被端口扫描后找到破绽而受到攻击。这里还是将端口转发打开,由于大部分宽带的8080端口都被运营商封掉了,所以这里将8080映射为到外网8088。
【提示】 固定IP宽带映射服务器到外网,需要填写外网IP地址(不能是0.0.0.0),如果映射的外网IP非宽带接口IP地址,需要在附加的IP地址里添加可用的IP,映射才有效。
③ 为了安全起见,除了在虚拟IP里的指定映射端口外,最好还是在策略里指定服务。默认的服务里没有8080端口,需要我们手动加起去,选择菜单【策略&对象】-【服务】,点击【新建】-【服务】。
④ 因为8080端口和80端口一样,同属于Web访问,所以分类选择Web Access,目标端口输入8080。
映射到外网
虚拟IP建好后,只需要再建立一条允许从外网访问进来的策略就要以了。
① 选择菜单【策略&对象】-【IPv4策略】,点击【新建】。
② 这次建立的策略和上网策略不同,流入是Wan1口中,流出是DMZ中,也就是允许从外网访问防火墙的DMZ口,因为外网地址很多,所以源地址是ALL,目标地址是选择输入刚才建立的虚拟IP。服务里选择输入刚才建立的8080服务。这样就限定了外网到内网服务器的服务范围,只能Web访问。
③ 这样映射服务器到外网就有两条策略,一条是服务器允许访问外网的,一条是允许从外网访问服务器的。
【提示】 更安全的设置是服务器访问外网的策略都不要,只要一条外网访问服务器的策略。Web服务器一样可以正常访问。
④ 输入域名回映射的端口号,可以打开服务器的Web页面,表示映射就成功了。