防火墙策略在域环境下不生效案例(v10.2版本)
文档编号:1055
浏览:4768 评分:4
最后更新于:2011-12-30
此文档基于HiPER 811 V10.2版本。
问题:
在域环境中会碰到这样的问题。防火墙已经配置好了,但是实际测试却不生效?
如:用户配置了防火墙,目的用于只允许内网一个用户只能够登陆163邮箱,收发邮件。但在实际测试过程中,却发现用户所有网页都能够打开?配置界面如图1:
图1
问题分析:
用户的配置正确(服务组2中包括登陆163邮箱的所使用的域名,mail-port包括登陆邮箱所使用的端口:http,https,smtp,pop3),我们检查内网网络环境。经确认内网是windows 域环境,内网有域控制器,域控制器已开启DNS服务。由此,我们推断防火墙不生效是内网有DNS服务器导致。
检查电脑网卡的TCP/IP设置,如图2。和计算机名称设置,图3:
图2
图3
192.168.0.68是属于limited地址组的,192.168.0.10是内网域控制器的地址。我们将电脑的DNS地址配置为公网DNS服务器 IP,并将电脑的缓存清空,防火墙测试正常。但网管表示内网必须有DNS服务器,否则整个域环境无法使用。比如新电脑无法加入域,域共享无法访问。
解决方法:
停止域控制器的DNS解析服务,使用路由器的DNS重定向代替(在高级配置 -> DNS重定向中配置)。路由器配置界面是高级配置 -> DNS重定向。配置后的界面如图4:
图4
将内网电脑的DNS地址修改为公网DNS IP,内网的电脑的nslookup 解析结果如图5:
图5
后将内网电脑的DNS地址改为公网DNS服务器 IP,并关闭域控制器的DNS解析服务。实际测试防火墙,已生效;使用域名访问内网域资源,正常;新电脑加入域也都没有问题。
总结:
该案例中,防火墙是主要基于DNS服务组来配置的。也就是需要内网电脑有DNS 解析流量通过路由器才会生效。但如果,内网电脑将DNS服务器ip指向内网服务器(域控制器),则DNS解析在内网服务器侧就可以完成了,而且防火墙也放通了80端口,这样的话内网就可以打开所有的网页了。在用户的局域网络中,域控制器的DNS服务主要作用是用于解析内网服务器的ip地址;而这部分功能也可以同样使用路由器的DNS重定向来完成。从而让基于DNS的服务组在域环境下也可以使用。
2024 ©上海艾泰科技有限公司 版权所有 沪ICP备05037453号-1
沪公网安备 31011702003579号