防火牆型號:網神 SecGate3600千兆防火牆
1、拓撲
圖 1 網絡拓撲
2、網絡功能描述
1)網神防火牆工作在混合模式:下級單位和內部網絡通信通過防火牆,防火牆採用透明模式傳輸模式;內部網絡訪問外網(Internet)防火牆採用路由模式。
2)核心網絡設備和防火牆之間的通信是通過管理IP進行路由傳輸。(即:核心網絡設備外網訪問的下一跳爲172.16.1.1)
3)內部WEB服務器192.168.1.12,提供外部訪問的域名爲http://www.xxx.com (IP:222.x.x.y)
3、客戶要求
內網用戶通過域名或外網IP直接訪問內部WEB服務器;
4、原先防火牆配置
圖 2 端口映射規則
經過以上配置後,外網用戶能通過域名和外網IP正常訪問內部服務器。但是,內部用戶無法通過域名和外網IP訪問內部服務器。
分析:內網用戶訪問數據流走向
圖 3 數據流走向
經過網上查找關於這方面的資料和文件,兩經過自己抓包分析,明確了數據流走向爲:
1)當用戶在網址欄中輸入 “http://www.xxx.com”時,首先通過DNS域名解析到對應的公網IP地址爲222.x.x.y。
2)用戶數據流按照上圖中的綠色箭頭進行傳輸:內部主機—》網絡傳輸設備—》核心網關設備—》網神防火牆。當數據到達網神防火牆後,根據上邊端口映射規則,解析到內部服務器的IP地址爲192.168.1.12。匹配規則之後數據在進行傳輸:網神防火牆—》核心網關設備—》內網交換設備—》服務器。
3)因爲原地址在防火牆上未進行轉換,IP包中的原IP地址仍爲192.168.1.13。服務器經過分析發現該地址和自己屬於同一個網段,故服務器返回數據包的目的IP地址爲192.168.1.13。根據IP報文傳輸的原則,數據包不在傳給防火牆,數據包走向如藍色箭頭所示:服務器—》網絡傳輸設備—》核心網關設備—》網絡傳輸設備—》內部主機。
4)由於HTTP訪問是建立在TCP協議基礎之上的,經過上邊的數據傳輸之後TCP連接無法建立。
解決方法
經過分析內部用戶在通過域名和外部IP地址進行訪問的時候,必須進行IP地址轉換(前提內部網段的網關不在防火牆上)。
嘗試配置:
圖 4 錯誤配置
經過以上嘗試配置之後,內網用戶仍然無法訪問。
反覆測試了幾次,但是都沒有成功。
最後,向網神售後客服打了一個電話,進行了相關諮詢,網神售後工程師進行了如下配置:
圖 5 正確配置
把最初配置的端口映射規則中的“源地址轉換爲”從‘不轉換’改成網神防火牆的管理IP‘172.16.1.1’。改完之後,內外網都可以通過域名和外網IP進行WEB服務器訪問。