上网行为安全之防火墙端口映射及应用

防火墙过滤规则

防火墙规则是控制设备各个 网口转发数据的开关。
这里设置的规则可基于IP和 端口进行数据包的转发控制， 和传统的四层防火墙相似。

深信服设备配置界面介绍

防火墙端口映射及其应用

1.端口映射需求背景

该客户已经通过配置实现了AC代 理内网用户和服务器上公网。 内网有一台OA服务器，地址是 192.200.2.250，使用的服务端口 是TCP 80。客户希望将此OA服务 器发布到公网，外网用户通过 http://202.96.137.75:8000的方 式访问到服务器。

2.端口映射实现原理

端口映射即DNAT，用来设置对数据包目标IP地址进行转换的规则。

常用来实现客户内网有服务器需要发布到公网，或者内网用户需要通过公网地址访问内部服务器的需求

2.1 LAN-LAN端口映射需求

PC需要通过202.96.139.99的4433端口去访问到WOC服务
器的443端口，如何实现？

如果只配置DNAT规则，内网用户无法通过公网地址访问内部服务器。
只有当内网用户也需要用公网地址访问内部服务器时，才需要勾选“发布 服务器”。 意思就是：内网用户通过公网地址访问内部服务器的时候，将IP地址转换为AF的LAN口IP地址。 若不勾选，仅允许公网用户通过公网地址访问到内网服务器

结果示意图 黑色为未勾选发布服务器的数据包流程，红色为勾选后的。

3.端口映射排查思路

1.检查内网PC到WEB务器的访问是否正常？（判断服务器本身是否OK）
2.检查AC到WEB服务器的访问是否正常？
3.检测外网的访问流量是否到达AC的外网口（运营商会封堵没备案的端口，比 如说80）？
4.检查AC设备的端口映射配置？
5.检查AC设备的防火墙配置？
6.检查AC-WEB服务器中间设备的ACL策略？
7.检查WEB服务器本身的防火墙策略？（是否禁止公网IP访问） 

下图为端口映射后的数据节点1 访问数据节点3的过程，
在AF处的地址映射，着重理解。