發表者	討論內容
冷日 (冷日)	發表時間：2012/11/1 8:24
Webmaster 註冊日: 2008/2/19 來自: 發表數: 15773	[分享]讓遠端用戶通過NetScreen SSG防火牆來存取內部伺服器讓遠端用戶通過NetScreen SSG防火牆來存取內部伺服器當架設 NetScreen SSG 防火牆之後，若防火牆內有提供資源分享的伺服器（如 file server、Web server、SQL server 等）時，預設狀態下遠端用戶是無法對內部伺服器作存取的動作，這是因為尚未設定相關的管制條例，以允許外部用戶能夠存取伺服器資源，這樣的設定其實類似寬頻分享器設定 mapping 或是 virtual sever 的方式，只是多了建立管制條例的步驟。以下內容以設定 SQL server 為例，來說明設定步驟步驟一：由客戶端了解 server 提供 service 的 port number，並定義此 servic e的 object。 1. 點選左窗格 Objects→Services→Custom→New。 2. 於右窗格輸入 Service Name、Transport protocol、Source 及 Destination Port。 Source port 代表外部的用戶端，故為任一 port，而 destination port 則代表 SQL server，故設定為提供服務的 port number。步驟二：將對外 IP 位址對映（mapped）給 SQL server。 1. 點選左窗格 Network→Interface。 2. 於右窗格中選取表格中 untrust 列中的 EDIT→MIP→NEW。輸入： 1. mapped IP（對外 IP）。 2. 子網路遮罩採用預設值。 3. Host IP（SQL server 私有 IP）。 4. virtual router 使用 trust-vr 步驟三：新增允許外部進入存取 SQL server 的管制條例。 1. 於左邊窗格選取 Policies。 2. 於右邊窗格中將「From」設定為 untrust、「To」設定為 trust，之後再按『New』。 3. 設定管制條例內容：「Source Address」為 Any。「Destination Address」為對映的 IP（外部 IP）。「Service」下拉選單，選取在步驟一自訂的 service（SQL server），或點選『Multiple』將欲開放的多個服務移至左邊的欄位內。「Logging」勾選則可監看管制條例的動作紀錄，只要點選『Options』欄位內的表格圖示即可顯示紀錄表。以上步驟設定完成後，外部用戶即可存取防火牆內部的伺服器資源了。若內部還有其它提供資源的伺服器，也是以此方式來設定，但要注意的是對外的 IP 則需使用另一組，不能再使用已對映過的 IP address；如本文範例所示，SQL server 已對映了IP 192.168.0.33，則此組 IP 便不能再對映給其他伺服器了，而必需使用另一組 IP 才行。原文出處：讓遠端用戶通過NetScreen SSG防火牆來存取內部伺服器
回覆