如果以下测试失败,重新查看下飞塔防火墙设备的配置。同时,确定web服务器配置了正确的默认路由。这对于从内部网络的连接尤其重要,因安全策略如果不执行源地址NAT,那 么web服务器 需要正确的路由才 能够正确的发送返回 的数据包。
测试从内部网络访问 web 服务器
从内部网络访问web服务器的真实IP地址(http://10.10.10.123或https://10.10.10.123)。连接应该是成功的。该通信使用内部网络到dmz网络的安全策略。进入 Policy>监视器>策略状态,查看适用于内部网络到dmz网络安全策略的会话(在示例中是策略3)。也可以看到添加其他策略的会话。测试从内部网络访问 web 服务器
下拉查看适用该策略的会话的详细信息。应全部都是HTTP(端口80)或HTTPS(端口443)会话。源地址应该是内部网络中的地址,目标地址应该是web服务器的真实IP地址(10.10.10.123)。因没有地址转换,NAT栏目应是空的。你也可以使用飞塔防火墙数据包嗅探器查看相似的会话。以下的嗅探器输入显示内网中一台地址为192.168.1.110的PC与web服务器(IP地址为10.10.10.123)之间的HTTP流量(80端口)。你可以查看内网中PC与内部接口,以及dmz网络接口与web服务器之间的HTTP会话。请注意,源地址与目标地址与端口没有进行转换.
飞塔防火墙设备数据包(抓包)嗅探器输出显示IP地址192.168.1.110与web服务器(IP地址为10.10.10.123)之间的HTTPS流量(443端口)。你可以查看内网中PC与内部接口,以及dmz网络接口与web服务器之间的HTTPS会话。请注意,源地址与目标地址与端口没有进行转换.
本文由:飞塔UTM于(2013-05-27)发表了关于内部网络与互联网访问web服务器的文章 。如转载请注明出处:http://www.cdcy-mail.com
如果您对此感兴趣,可以通过以下联系方式与我们联系:
