本实验将以FVX538为例详细描述Netgear系列防火墙的的防火墙功能设置。NETGEAR的FVX538是一款功能强大的防火墙，现在我们就它的Rules功能作详细阐述与配置方式。本文主要以2大方面来说明如何配置，一是端口的定义，二是规则的定义。
（本文适合FVX538/FVS338/FVS124G产品的用户）

例子：FVX538的WAN1端口IP设置为210.21.59.228，LAN IP为192.168.0.1，功能实现要求（本文以四条规则作为说明）：

对于进来的数据包：

第一条规则：所有用户都可以通过Internet访问公有IP地址210.21.59.230的WEB服务；

第二条规则：所有用户都可以访问WAN1：210.21.59.228的FTP端口

第三条规则：所有用户都可以访问WAN1：210.21.59.228的pcanywhere端口服务

对于出去的数据包：

第四条规则：FVX538 LAN中只有FTP、WEB、pcanywhere服务可以出去，其他服务全部禁止；

参照下图网络配置：

端口定义

FVX538的Rules中默认定义好了若干端口在列表中如WEB、FTP等，但是遇到需要使用一些没有定义在列表中的服务端口时候，则需要预先定义好端口参数才行，如pcanywhere软件的通讯端口，SQL SERVER的通讯端口等，过程如下：

登陆到FVX538的管理界面，在’Service’菜单中，选择’Add customer Services’：

本例子中我们定义一个服务pcanywhere，用户需要在Internet通过pcanywhere 工具管理网络中的电脑；如上图，名称（name）为自己定义的’pcanywhere’，类型(Type)定义为TCP/UDP，其始端口为5631,结束端口为5632，然后按一下‘Apply’，如下图第3条：

OK,下一步我们说明如何定义Rules.

Rules规则的使用

在FVX538的管理界面中，选择Rules，如下图，

在FVX538的Rules中包括如下几部分：

• Rules生效的接口包括：LAN—WAN和DMZ-WAN，本文我们就以LAN-WAN进行例子说明。
• Outbound Services：outbound为向外的意思，该项定义是LAN向WAN发出去的的数据包的规则的；默认的配置是有LAN向WAN发出的数据包都是允许的：

-#：default

-Enable：表示是否起用该规则，默认为yes

-Services Name：服务端口名称，默认为any(所有)

-Action：动作，是对LAN向WAN方向的主动发出数据包的动作，默认为’Allow Always’（一直允许）

-LAN Users：LAN的用户（基于IP定义），默认为any，表示所有的LAN电脑都；

-WAN Users：WAN的用户站点（基于IP定义），默认为any,表示所有的WAN站点IP；

-Priority：该端口数据包的优先级别，默认没有定义

-Log：数据包的日志;默认没有定义；

• Inbound Services: Inbound为入站，向内的意思，该项定义是WAN主动发起到LAN的数据包规则的；默认的配置是WAN主动向LAN发起的数据连接请求都是拒绝的：Block always.其他参数与Outbound services中的说明一致;

下面我们就本文的例子的功能实现要求对rules进行配置:

第一条规则：所有用户都可以通过Internet访问公有IP地址210.21.59.230的WEB服务

在Inbound Services下选择Add，如下图：

• Service：选择HTTP(TCP:80)+None；系统默认已经定义好WEB服务端口了，否则需要在第一章中的说明，在Services菜单中预先定义服务端口。
• Action：选择ALLOW always
• Send to LAN Server：来自WAN的该服务的数据包转发到那台服务器上，根据我们例子说明，应该转发到192.168.0.199上；
• Translate to Port Number：留空即可，如果您的LAN中有多台服务器需要发布同一个服务，那么该选项则需要用上；
• WAN Users：意思为那些Internet 用户可以访问该端口，默认为全部；
• Public Destination IP Address(公有目标IP地址)：根据我们的例子功能要求，192.168.0.199与210.21.59.230公有IP地址实现静态影射；因此，这里应该选择’Other Public IP Address’，下方填入有效的公有IP：210.21.59.230.
• 其他为默认值就OK了，然后按’Apply’。

如下图：

如果有多个公有IP地址需要与LAN中的多台服务器一一对应影射，则可以通过此方法进行配置，规则设置好后在RULES菜单中看到：

第二条规则：所有用户都可以访问WAN1：210.21.59.228的FTP端口

在Inbound Services中选择Add,如下图：

• Service：选择FTP(TCP:20~21+None)；系统默认已经定义好FTP服务端口了，否则需要在第一章中的说明，在Services菜单中预先定义服务端口。
• Action：选择ALLOW always
• Send to LAN Server：来自WAN的该服务的数据包转发到那台服务器上，根据我们例子说明，应该转发到192.168.0.200上；
• Translate to Port Number：留空即可，如果您的LAN中有多台服务器需要发布同一个服务，那么该选项则需要用上；
• WAN Users：意思为那些Internet 用户可以访问该端口，默认为全部；
• Public Destination IP Address(公有目标IP地址)：根据我们的例子功能要求，这里应该使用WAN1公有IP地址(210.21.59.228)实现动态影射；
• 其他为默认值就OK了，然后按’Apply’。

第三条规则：所有用户都可以访问WAN1：210.21.59.228的pcanywhere端口服务

首先pcanywhere服务需要先定义好，因为FVX538里面没有预先定义(在定义规则选择services时候可以看到是否有定义)，pcanywhere的定义我们在第一章已经说明了，那么rules规则的定义如下：在Inbound Services下选择Add:

• Service：选择pcanywhere(TCP/UDP:5631+5632)+None；系统默认没有定义好pcanywhere服务端口，需要参照在第一章中的说明，在Services菜单中预先定义服务端口。
• Action：选择ALLOW always
• Send to LAN Server：来自WAN的该服务的数据包转发到那台服务器上，根据我们例子说明，应该转发到192.168.0.98上；
• Translate to Port Number：留空即可，如果您的LAN中有多台服务器需要发布同一个服务，那么该选项则需要用上；
• WAN Users：意思为那些Internet 用户可以访问该端口，默认为全部；
• Public Destination IP Address(公有目标IP地址)：根据我们的例子功能要求，这里应该使用WAN1公有IP地址(210.21.59.228)实现动态影射；
• 其他为默认值就OK了，然后按’Apply’。

第四条规则：FVX538 LAN中只有FTP、WEB、pcanywhere服务可以出去，其他服务全部禁止：

• 在Rules中的Outbound Services中先禁止所有的数据包出去：在Action下选择Block always，然后按一下Apply，此时，LAN的所有电脑的数据包都出不去了。下面定义可以出去的端口/数据类型

• 在Outbound Services下选择Add，如下图：
• Service：选择HTTP(TCP80)+None；系统默认没有定义好HTTP服务端口，否则在Services菜单中预先定义服务端口。
• Action：选择ALLOW always
• LAN Server：意思为那些LAN用户可以访问以HTTP端口访问Internet，默认为全部Any；
• WAN User：意思为那些LAN 用户可以访问那些Internet站点，默认为全部:Any；
• 其他为默认值就OK了，然后按’Apply’。

同样配置方法，我们将FTP、pcanywhere服务开放给LAN用户,如下图：

到此，我们预先制定的例子已经全部配置完成，rules的规则设置比较简单、灵活，如果有任何技术问题，请致电NETGEAR公司中国区技术服务服务中心020-83918601进行技术咨询;

我有NETGEAR STM150的问题要问