防火墙应用指南(六)“策略”方向性问题的探讨.docVIP

防火墙应用指南（六）——“策略”方向性问题的探讨 在配置TL-FR5300策略的时候，对于策略的方向性需要仔细分辨，本文档对于一些异常的、少见的情况下策略的方向确定，给出了一些参考建议。 假设TL-FR5300 WAN口的IP地址是222.77.77.40 ，内网服务器的IP地址是192.168.1.10，提供的服务端口是30 。 1,一般情况 如果在FR5300的LAN区域建立了服务器，提供给WAN区域主机访问，我们必须建立从WAN—LAN的策略。（将“自定义服务”里面的服务端口就设置为LAN区域服务器提供的服务端口）设置如下： 如上图，当然可以定义别的任何端口，只需要访问的时候使用定义端口就可以了。 策略设置如上图，这个大家都已经会设置了。设置后以后，WAN区域主机主动访问WAN口IP地址的30端口，FR5300会将访问的数据包转发至内网的192.168.1.10这台主机，然后192.168.1.10回应数据包，连接建立。 2，特殊情况 上面都是WAN区域主动发起连接，连接LAN区域的服务器，这样将符合WAN—LAN策略，可以成功连接。如果用户的使用环境中，先是WAN区域主动发起连接，正常连接服务器，然后从服务器上获取信息的时候，这个信息需要服务器主动发起新的连接，连接使用的源端口仍然是30这个服务端口，目的端口是客户端的随机端口，这样的连接能否建立呢？答案是不能建立的，虽然