1, 常见问题
1.1 我们的防火墙使用NAT 对连接进行地址转换,目前FTP 只能在Internet 浏览器和Netscape 中工作,而不能在更通用的诸如WS-FTP 的FTP 客户软件上运行。为什么?
1.2. FTP 可在所有版本的Netscape 和第四版及以下版本的IE 上工作,但不能在第五版IE上工作,为什么?
1.3. 我希望用动态NAT 隐藏我的地址。我能使用哪些私网络地址呢?
1.4. 在你的受保护网络上使用不属于自己的公网地址会产生怎样的结果?
1.5. 使用端口扫描工具从外部扫描可被公开访问的服务器的端口后,发现某一个随机范围的UDP 端口是开放的。扫描工具每运行一次,这些开放的端口都会改动。到底正在发生什么事情?
1.6. 很多防火墙加载软件前,在启动过程的短时间内允许所有数据包通过。阿姆瑞特防火墙也会遇到这种问题吗?
1.7. 出现在防火墙配置里的/0,/24 和/32参数是什么?
1.8. 我的邮件服务器是MicrosoftExchange / Lotus Notes / Novell GroupWise/其它分组服务器。如果我把它放在DMZ,我的计算机将无法使用服务器提供的高级功能。我能把它放在受保护网络并允许从Internet 发送邮件吗?
   2, 配置问题
2.1. 我不能使静态地址转换(SAT)规则正常工作。错误在哪里?
   3, 日志问题
3.1. 从防火墙管理工具选择Show Log功能时,并看不见以前的事件,而只能看见现在发生的事件。 这会使日志记录的目的失败吗?
3.2. 防火墙日志工具或syslog 日志生成的日志文件是空的!

FTP 使用两种连接工作:一个用来传送命令,另一个是用来传送文件。FTP 能够以主动或被动模式中的任何一种模式工作,工作模式用来指示FTP 服务器的行为。被动模式通常缩写为PASV 模式。一般使用FTP 的主动模式,从FTP 服务器打开到客户机的第二种连接(数据通道),而这是防火墙不允许的。被动模式使客户机能够打开到服务器的两种连接,这是防火墙允许的。Internet 浏览器Netscape 常常被设置为被动工作模式,而FTP 客户端软件一般为主动工作模式。这种设置可在大多数FTP 软件中进行改动,尽管Windows 的命令行FTP 客户机不具备这种功能。请查看FTP 软件的帮助文件,获取更多关于使用被动(PASV)模式的信息。如果设置最新版本的IE 5 以显示本地硬盘的方式显示FTP 站点,则使用主动模式,但是,如果设置成“以web 页面方式显示FTP”,则要使用被动模式的FTP。

^Top
1.2. FTP 可在所有版本的Netscape 和第四版及以下版本的IE 上工作,但不能在第五版IE上工作,为什么?

为了使FTP 能够通过防火墙的动态地址转换,必须使用被动模式的FTP。如果配置成以本地硬盘显示FTP,IE5 就使用主动模式。但是,配置成“以web 页面”显示时,就要使用被动模式的FTP。

^Top
1.3. 我希望用动态NAT隐藏我的地址。我能使用哪些私网络地址呢?

可以使用IP 地址跨度中的三个范围作为私网络地址:
10.0.0.0-10.255.255.255(1600万个地址)
172.16.0.0-172.31.255.255(16x65536个地址)
192.168.0.0-192.168.255.255(256x256个地址)
有许多没有根据的传言,声称也可以使用其它的网络地址。这是错误的。只能使用以上三种网络的地址范围,否则可能遇到一些意料不到的问题。

^Top
1.4. 在你的受保护网络上使用不属于自己的公网地址会产生怎样的结果?

如果幸运的话,不会发生任何事情。因为大多数用户选择对其受保护网络实施动态地址转换,返回数据流总能回到防火墙的外侧,在防火墙进行存储并发送到受保护网络。但是,应该考虑到如果使用其他人的地址并试图与其网络通讯时会发生什么事情。最终结果是发送的任何数据流都不能到达预期地址;相反,它会返回到你自己的网络。

^Top
1.5. 使用端口扫描工具从外部扫描可被公开访问的服务器的端口后,发现某一个随机范围的UDP 端口是开放的。扫描工具每运行一次,这些开放的端口都会改动。到底正在发生什么事情?

端口扫描工具绝对无法确认受保护机器上一个指定UDP 端口是开放的。它只能给一个机器发送一个或多个数据包。数据包到达机器前发生的情况则是另外一回事情了。许多端口扫描工具监听ICMP 目标不可达(Destination Unreachable)数据包。如果因为符合拒绝(Reject)规则而被拒绝,防火墙会给发送方返回一个ICMP Destination Unreachable 数据包,但是,每秒发送这样的数据包的数量是有限的,具体数据在防火墙配置信息里规定。如果被拒绝数据包的速率更大,那么肯定会被丢弃,可是,防火墙不响应更多的ICMP Destination Unreachable。而符合丢弃(Drop)规则就决不会发回ICMP 目的地不可达的消息。如果由于以上两个原因,扫描程序接收不到任何类似消息,它将错误地认为端口是开放的。为了找出允许实际通过防火墙的数据流,可以与“Sniffer”连接,“Sniffer”是显示网络上所有数据包内容的网络分析工具。用端口扫描程序在感兴趣地址的所有端口发送一组数据包,检查是否有数据包通过防火墙。

^Top
1.6. 很多防火墙加载软件前,在启动过程的短时间内允许所有数据包通过。阿姆瑞特防火墙也会遇到这种问题吗?

不会。这种问题只会出现在自身有TCP/IP 协议栈的操作系统上。阿姆瑞特防火墙
核心启动时,所有功能包括规则集就可以使用了,所以不存在系统初始化期间缺陷。

^Top
1.7. 出现在防火墙配置里的/0,/24和/32 参数是什么?

它们是无类别域间路由标准(Classless InterDomain Routing,缩写为CIDR)使用的网络掩码。关于此功能的更多解释,请查阅相关文档。

^Top

可以。解决这个问题的方法有四个:

  • 可以将邮件转发器置于DMZ,并能从Internet对它进行访问。允许转发器通过SMTP与内部邮件服务器通讯。这是最安全的方案。邮件转发器也能够扫描病毒并对进入邮件实施其他安全措施。
  • 如果内部邮件服务器只有一个私网络地址,就可以在防火墙设置一条SAT 规则,将前往防火墙外部IP地址的端口为25的数据流转发到内部邮件服务器地址的25端口。记住添加一条相应的Allow规则,允许数据流真正通过防火墙。
  • 如果邮件服务器有一个公开的IP地址,则可以轻易地让SMTP数据流通过,到达端口25。
  • 如果邮件服务器没有公开的IP地址,而且不希望使用静态地址转换,则可以从外部网段选择一个IP地址并把它添加到邮件服务器的网络配置中。此过程要求在防火墙上为借用的IP地址另外添加一条路由。必须激活从接口上借用的地址的路由代理ARP。使数据流通过上述指示的地址。
    ^Top
2. 配置问题解答
2.1. 我不能使静态地址转换(SAT)规则正常工作。错误在哪里?
设置SAT 规则所犯的常见错误是:
  • 忘了SAT 规则本身对包不起任何作用。当包符合SAT 规则时,防火墙记住在晚些
    时候进行静态地址转换并继续查找符合的FwdFast,Allow,NAT ,Drop 和Reject
    规则。原因是即使使用两个以上的接口,也只需要设置一条单一的SAT 规则,例如,如果在第三个接口上设置了DMZ,可能要对外部网络(通常是Allow 规则)和受保
    护网络(通常是NAT 规则)数据流分别设置规则。
  • 如果使用FwdFast,也必须给返回数据流设置规则。因此,这就要求两套SAT 规则,
    每个方向的数据流用一套。
  • 只有遇到符合的FwdFast,Allow 或NAT 规则,才会发生静态地址转换。这表明把目的地址1.1.1.1 转换成2.2.2.2 的一条SAT 规则必须有一条相应的FwdFast 或NAT规则,其目的地址为1.1.1.1 而不是2.2.2.2。
    ^Top
3. 日志问题解答
3.1. 从防火墙管理工具选择Show Log 功能时,并看不见以前的事件,而只能看见现在发生的事件。这会使日志记录的目的失败吗?

从防火墙管理工具选择Show Log,弹出实时显示的防火墙生成的日志数据。为了看到以前的事件,必须查看Amaranten 防火墙日志工具或系统日志接收机生成的日志。关于更多信息,请参考《阿姆瑞特F 系列防火墙用户手册》中关于防火墙的日志的章节。

^Top
3.2. 防火墙日志工具或syslog 日志生成的日志文件是空的!

你必须明确的指示防火墙给日志主机发送日志消息。这是在日志主机设置部分完成的,可在日志主机指定最多8 个防火墙可以发送日志数据的地址。关于更多信息,请查看《阿姆瑞特F 系列防火墙用户手册》中关于防火墙的日志的章节。

^Top
 
 
 
 
更多新闻
 
邮 件 地 址
  • 如果您想了解我们的产品,价格等详细信息,请联系:

    • sales@
    amarantenasia.com
  • 如果您需要技术支持和专业服务,请联系:

    • support@
    amarantenasia.com
  • 如果您希望成为阿姆瑞特渠道分销伙伴,请联系:

    • partner@
    amarantenasia.com
  • 售后服务,请联系:

    • service@
    amarantenasia.com