【防火墙篇】01. 映射 Web 服务器 ❀ WatchGuard 防火墙

        【简介】端口映射就是将外网主机的IP地址的一个端口映射到内网中一台机器，提供相应的服务。当用户访问该IP的这个端口时，服务器自动将请求映射到对应局域网内部的机器上。端口映射有动态和静态之分。

---

  什么是端口映射

        通俗来讲，端口映射是将一台主机的内网(LAN)IP地址映射成一个公网(WAN)IP地址，当用户访问提供映射端口主机的某个端口时，服务器将请求转移到本地局域网内部提供这种特定服务的主机；利用端口映射功能还可以将一台外网IP地址机器的多个端口映射到内网不同机器上的不同端口。 端口映射功能还可以完成一些特定代理功能，比如代理POP，SMTP，TELNET等协议。理论上可以提供65535(总端口数)-1024(保留端口数)=64511个端口的映射。

  环境介绍

        首先介绍一下WatchGuard防火墙的接口配置。

        ① WatchGuard防火墙的外网接口为Optional-1（通常为External，但在这个环境下此接口已用，所以用Optional-1做外网口，实际操作时请区别）。内网口Optional-4，接有测试用笔记本，IP为10.0.5.248，内网口Optional-5，接Web服务器，IP地址为10.0.6.250。

        ② IP地址为10.0.6.250的Web服务器上安装有测试用的Tomcat服务，使用的是8080端口，这是在10.0.6.250本机上打开Web页面的图象。

  内网访问Web服务器

        内网访问Web服务器的方式很简单，只要在浏览器地址输入Web服务器的IP加端口号即可。

        这是在10.0.5.248笔记本上访问Web服务器，却发现打不开。

        难道是因为不在防火墙的同一接口上，IP地址段不同？

        但Ping对方的IP又是通的。其实防火墙端口之间互通的权限没有完全打开，还是需要配置策略。

        ① 双击WSM图标，打开WatchGuard System Manager软件；

        ② 点击连接防火墙图标；

        ③ 输入防火墙的IP地址（通常内网1接口IP地址默认为10.0.1.1）及status帐户密码（通常默认为readonly），进入下一个介面；

        ④ 选择已经登录的防火墙，点击策略管理图标；

        ⑤ 系统初始化时默认有五条策略，现在我们再增加一条允许接口Optional-4访问接口Optional-5的策略，在策略管理介面点击加号图标；

        ⑥ 因为是开放两个接口之间的完全访问，所以点击【数据包筛选器】，选择【Any】，然后点击【添加】；

        ⑦ 输入新建的策略名称（自定义），因为是从Optional-4的接口上访问Optional-5接口的Web服务器，所以“自”和“至”分别选择输入两个接口名称；

        ⑧ 在属性菜单可以看到端口类型为Any，也就是全部开放；

        ⑨ 建立策略成功后，点击保存至设备图标，将新建的策略写入到防火墙中，需要输入admin帐号密码（默认密码为readwrite)；

        ⑩ 再次用Optional-4接口下的IP地址为10.0.5.248的笔记本电脑访问Optional-5接口下的IP为10.0.6.250的Web服务器，这次可以正常打开了。

  映射Web服务器

        通常用http打开网页的时候使用的是80端口，有的时候也会使用8080端口，但通信商将大部分宽带的这两个端口都关闭了。

        而WatchGuard防火墙本身使用的也是8080端口，这样我们映射Web服务器的话，就需要新建一个不常用的端口来替代8080端口了。本来可以从外网通过http://宽带IP:8080访问Web网页，因为端口不可用，就需要改成http://宽带IP:替换端口。

        ① 添加策略，因为要使用自定义的端口号，所以点击【新建】；

        ② 输入自定义的策略模版名称，协议那点击【添加】；

        ③ 输入自定义的端口号，不要和已有的端口号重复，这个输入8088，点击【确定】；

        ④ 可以看到自定义的端口号已经加入，点击【确定】；

        ⑤ 自定义的端口号建立成功后，点击【添加】；

        ⑤ 输入策略名称，因为需要从外网和内网都能访问Web服务器，所以“自”加入的是Optional-1(外网)和Option-4(接了测试笔记本的内网)；

        ⑥ 在”至“设定的时候，因为需要通过外网IP转换到内网的Web服务器IP，这里选择【添加SNAT】；

        ⑦ 新建一个SNAT，点击【添加】；

        ⑧ 输入自定义的SNAT名称，在SNAT成员那点击【添加】；

        ⑨ 如果外网有多个IP地址（固定宽带通常会给多个IP），映射的并非外网接口地址，那么需要在设置外网接口时将可用IP都加入；

        ⑩ 这样在【外部/可选IP地址】下拉时可以看到加入的可用的IP地址；

        ⑪ 内部IP地址则输入需要映射出去的Web服务器地址；在将内部端口设置为其它端口处填写Web服务器的访问端口，这里是8080；

        ⑫ 策略建立完成，它的作用是允许外网或Optional-4接口的电脑通过指定端口访问外网IP映射下的Web服务器8080端口；

        ⑬ 策略建立完成后，将配置写入到防火墙中；

        ⑭ 通过外网的地址加自定义的端口号，也可以打开Web介面，说明映射成功了。

  端口阻止

        有时候在映射端口后，一直连不通，就要检查端口是不是被防火墙阻止了。

        ① 在策略窗口选择菜单【设置】－【Default Threat Protection】-【阻止的端口】；

        ② 查看一下阻止的端口里有没有你设置的端口，如果有的话当然不能通，删除就OK了。

---