映射篇(5.2) 01. 固定IP宽带映射 ❀ 飞塔 (Fortinet) 防火墙

         【简介】早期单位的对外访问服务器通常是托管在宽带运营商的中心机房,管理自由程度不高,现在大多数单位自建机房,服务器就在身边,可以方便的将服务器通过固定IP宽带映射到外网,允许从外网进行访问。


  网络拓扑

        固定IP宽带通常会给予多个IP地址,除了上网之外,多余的IP地址可以用来映射多台服务器到外网。

映射篇(5.2) 01. 固定IP宽带映射 ❀ 飞塔 (Fortinet) 防火墙_第1张图片

  加可用IP地址

        固定IP宽带多余的IP地址必须在接口中设置后才能使用。

映射篇(5.2) 01. 固定IP宽带映射 ❀ 飞塔 (Fortinet) 防火墙_第2张图片

        ① 选择菜单【系统管理】-【网络】-【接口】,双击固定IP宽带接口,或点击接口选择 Edit。

映射篇(5.2) 01. 固定IP宽带映射 ❀ 飞塔 (Fortinet) 防火墙_第3张图片

        ② 【附加的IP地址】选项打钩,在下面小窗口加入其它的可用IP地址,访问方式和主IP一样,需要加上https和ping,这样这些IP地址也就可以Ping通或直接用来访问防火墙。

  创建虚拟IP

        虚拟IP即VIP,虚拟IP是用来做目的地址转换使用,实现目的映射的对应关系的策略,需要引用到防火墙策略中才能生效,需要注意,虚拟IP的映射关系会影响到源地址转换,也就是防火墙会优先匹配虚拟IP的映射关系,再匹配防火墙策略中选择的源地址转换方式。

映射篇(5.2) 01. 固定IP宽带映射 ❀ 飞塔 (Fortinet) 防火墙_第4张图片

        ① 选择菜单【策略&对象】-【对象】-【虚拟IP】,点击子菜单 Create New。

映射篇(5.2) 01. 固定IP宽带映射 ❀ 飞塔 (Fortinet) 防火墙_第5张图片

       ② 输入新建虚拟IP的用户名,这个用户名会在策略中被引用。选择映射的接口(不要选择默认的any,不然后面会出错),外部IP地址填写固定IP宽带的可用地址,映射的IP地址填写服务器的IP地址,这里并没指明服务器的接口,会在策略中指明。

映射篇(5.2) 01. 固定IP宽带映射 ❀ 飞塔 (Fortinet) 防火墙_第6张图片

       ③ 如果不指定端口转发,默认所有的端口都一一映射,也可以选择端口转发,指定需要映射的端口,这里一次只能建立一个端口映射。但是外部端口可以和映射端口不一致,例如外部端口号为8088,映射端口为80,这样映射的服务器访问用 http://域名或IP地址:8088 这种方式。

         【提示】如果一台服务器有多个端口需要映射,可以为每个映射端口建立一个虚拟IP,然后在策略中一次性全部指定。也可以在虚拟IP中不选择端口转发,默认映射全部端口,然后在策略中的服务选项中指定开通的端口服务。两者的区别是前者不完全占用一个IP地址,还可以映射使用其它端口的服务器,而后者占用一个IP地址,其它服务器不能再使用这个IP地址。

  建立访问策略

        所有的虚拟IP,都需要引用到防火墙策略中才能生效。

    映射篇(5.2) 01. 固定IP宽带映射 ❀ 飞塔 (Fortinet) 防火墙_第7张图片

        ① 新建策略允许从外网访问内网映射的服务器,目的地址,就是选择输入前面建立的虚拟IP的名称。这里用一条策略就引用了两个映射。

  测试效果

        现在服务器映射完成了,可以查看映射的结果。

映射篇(5.2) 01. 固定IP宽带映射 ❀ 飞塔 (Fortinet) 防火墙_第8张图片

        用浏览器打开映射后的IP地址及端口号,可以正常访问服务器,表明映射成功。

映射篇(5.2) 01. 固定IP宽带映射 ❀ 飞塔 (Fortinet) 防火墙_第9张图片

       也可以用telnet命令单独测试映射的端口是不是通的 。

映射篇(5.2) 01. 固定IP宽带映射 ❀ 飞塔 (Fortinet) 防火墙_第10张图片

       如果显示黑屏,没有报错,表明端口是通的,映射成功。


飞塔技术-老梅子   QQ:57389522



你可能感兴趣的:(飞塔防火墙,-,映射篇)