【IT168 专稿】在4000-UF(TC-5044)中,访问策略控制通信是否允许进行,通信策略控制通信如何进行。它们之间是互相独立的,例如管理员可以禁止机器a 访问服务器b,他同时可以描述机器a 访问服务器b 时必须nat。通信策略是一个全局的链表,有以下属性:
例1:内网(intranet)中有些机器没有全局的ip 地址,它们必须依靠防火墙做nat 才能上网。这些机器有子网(subnet_1),节点(node_2,node4);当防火墙做nat 时,可以从一个地址池中选择地址(subnet_pool=202.96.0.133-202.96.0.168),则通信规则如下:
目的机器=outside
源机器=subnet_1、node_2、node_4
通信协议=空(所有协议)
端口=空(所有端口)
地址池=subnet_pool
通信方式=nat
例2:ssn 网络中有一台ftp 服务器(ftp_server),地址为192.168.8.1,外界不能直接访问到这台机器,必须进行地址映射。防火墙有一个全局地址为202.96.0.133,为了用一个地址为多台机器进行地址映射(例如还有一台http 服务器需要映射),我们决定进行端口映射。通信规则如下:
目的机器=202.96.0.133
源机器=outside
通信协议=tcp
端口=tcp 21
地址池=ftp_server
通信方式=map
例1:内网(intranet)中有些机器没有全局的ip 地址,它们必须依靠防火墙做nat 才能上网。这些机器有子网(subnet_1),节点(node_2,node4);当防火墙做nat 时,可以从一个地址池中选择地址(subnet_pool=202.96.0.133-202.96.0.168),则通信规则如下:
目的机器=outside
源机器=subnet_1、node_2、node_4
通信协议=空(所有协议)
端口=空(所有端口)
地址池=subnet_pool
通信方式=nat
例2:ssn 网络中有一台ftp 服务器(ftp_server),地址为192.168.8.1,外界不能直接访问到这台机器,必须进行地址映射。防火墙有一个全局地址为202.96.0.133,为了用一个地址为多台机器进行地址映射(例如还有一台http 服务器需要映射),我们决定进行端口映射。通信规则如下:
目的机器=202.96.0.133
源机器=outside
通信协议=tcp
端口=tcp 21
地址池=ftp_server
通信方式=map