实验篇(7.2) 02. 部署物理实验环境(上) 远程访问 ❀ Fortinet网络安全专家 NSE4

news2024/12/26 23:35:07

  【简介】当大家了解到并不需要很高的代价就可以动手做FortiOS 7.2的实验,很多人愿意尝试使用FortiGate防火墙硬件来学习最验难掌握的远程访问部分,这里我们将学习现场部署一套物理实验环境,让大家看到,在一张桌子上,在没有互联网的环境下,我们也可以做SSL、IPsec、SDWAN等实验。


  物理实验所需设备

  我们本着先简后难的原则,建立一套最简单的远程访问实验环境。

  最简单又安全的远程访问,就是SSL VPN,笔记本电脑通过SSL VPN拨号连接到FortiGate防火墙,再通过FortiGate防火墙去访问服务器。

  因此,我们需要一台笔记本电脑,可以方便快速的使用无线登录不同的防火墙设备,使用有线模拟台式机终端,进行效果验证。

  为了更好的理解端口保护,我们还需要一台服务器,普通PC就可以,安装Windows Server操作系统,因为以后会用到远程身份验证实验,还可以配置为远程桌面、Web服务器等。

  实验用防火墙,推荐使用FortiWiFi 60E,推荐原因:所有支持FortiOS 7.2的最便宜的设备,就是60E,之所以推荐带WiFi版本的60E,是因为无线登录设备更方便,而且可以模拟真实的无线使用环境。

  最关键的互联网这部分,推荐使用FortiWiFi 60D,推荐原因:虽然只支持FortiOS 6.0,但是只用到接口互相访问的最简单部分,加上接口较多,支持更多FortiGate防火墙互访实验。无线是为了登录设备更方便。

   登录FortiWiFi 60E防火墙

  首先我们来登录FortiWiFi 60E防火墙,默认固件已经升级到7.2.4,恢复了出厂设置。

  FortiWiFi 60E通电后稍等几分钟,Power灯和Status灯同时常亮,说明系统启动成功,如果Status灯一直闪烁,表示系统没有启动成功。WiFi灯闪烁表示无线正常。

  打开笔记本电脑,搜索无线信息,会看到有一个叫fortinet的无线信号,这个就是FortiWiFi 60E的默认无线ID,选择【fortinet】,点击【连接】。

  输入安全密钥,默认也是【fortinet】,点击【下一步】。

  连接成功,显示无Internet,点击【属性】。

  可以看到,笔记本无线通过DHCP获得了IP地址为192.168.1.110。

  打开浏览器,建议谷歌Chrome或火狐,因为FortiOS是Linux系统,兼容性更好一些。输入地址https://192.168.1.99,这是防火墙默认的内网IP地址。注意,是https,不是http。出现认证提示,点击【高级】。

  选择【继续前往192.168.1.99(不安全)】,防火墙会把证书发送给浏览器,下次再访问,就不会再出现这个提示了。

  出现登录提示,输入默认用户名【admin】,由于默认密码是空的,所以不而要输入,点击【Login】。

  出于安全考虑,防火墙除了默认出厂之外,不允许有空密码,因此需要更改密码,第一个老密码框由于默认密码是空,所以不用填写,输入两次新密码,因为是做实验,我常将admin作为密码,省得去记了。

   再次出现登录提示,这次输入用户名admin,密码也是admin。 

  出现FortiGate设置提示,要求更改主机名、修改密码、设置仪表板以及升级固件。这里我们先跳过,选择【Later】。

  首次登录防火墙,会出现视频窗口,介绍新功能,这里启用【Don‘t show again】不再显示,点击【OK】。 

  登录防火墙后,默认显示【仪表板】下的【状态】页面,可以看到固件已经是7.2.4。由于防火墙没有接入互联网,会出现一个FortiGate时间不同步的提示,这里忽略。

  配置FortiWiFi 60E防火墙

  第一次登录防火墙后,显示的都是英文,我们需要修改一下,符合我们的使用习惯。

  选择菜单【System】-【Settings】,进入系统设置界面,点击Time zone(时区)右边下拉按钮,弹出窗口选择【(BMT+8:00) Bejing......】,将时区改为中国,有关于时间的记录才会准确,例如日志。

  点击Language(语言)右边下拉按钮,弹出菜单选择【Simplified Chinese】,将显示改为简体中文。点击【Apply】。

  为了区别每一台设备,我们需要修改主机名,主机名不可以是中文。

  通常我们会以企业名称加设备所在地名作为主机名。

  选择菜单【网络】-【接口】,我们可以看到设备有两个Wan口,一个DMZ口,5个Internal口。Wan口通常用来连接宽带,虽然设备自带两个Wan口,但是如果有需要,也还可以将其它接口(Internal、DMZ)设置成Wan口,以用来连接更多的宽带。

  选择wan1接口,点击【编辑】,配置连接互联网。

  这里我们模拟的是公司总部的防火墙,有固定IP地址,可以用来进行远程访问。填写的IP地址和网关地址,可以是真实在使用的公网IP地址。因为我们实验环境不上公网,所以这个不会有什么影响。用真实公网IP地址,可以感觉真正在生产环境配置防火墙一样。协议启用【HTTPS】和【PING】,允许Ping通这个接口,和能过Https访问这台防火墙。

  除了在Wan1口配置IP地址外,我们还需要配置网关,选择菜单【网络】-【静态路由】,点击【新建】。

  接口选择Wan1,输入网关地址,这样所有流量,就会通过Wan1口后,再跳到网关IP去了。点击【确认】。

  这样默认路由就建好了。由于我们是测试笔记本电脑远程对Wan1口访问,其它就暂时不配置了。下一步,我们配置作为因特网功能的FortiWiFi 60D。

  在给FortiWiFi 60D通电前,我们需要修改一下无线ID,以免后期开启多台设备后起冲突。选择菜单【无线&交换机控制器】-【SSIDs】,选择默认存在的SSID,点击【编辑】。

  在SSID字段,将默认的fortinet改成自定义的无线ID,这里可以使用中文,顺便修改一下密码,这里因为实验不想太复杂,密码设置为12345678。点击【确认】

  配置完成立即生效,WiFi断开,重新连接,可以找到新建的无线ID,选择并点击【连接】。

  输入新的密码12345678,点击【下一步】。

  无线重新连上了。也可以正常登录防火墙。那么FortiWiFi 60E的配置暂时就到这里。

   登录FortiWiFi 60D防火墙

  现在我们将用于模拟互联网的FortiWiFi 60D通电。

  由于FortiWiFi 60D的固件版本最高为6.0,这个版本没有默认的SSID,因此我们无法用无线登录。常规做法是接1号口,通过https://192.168.1.99登录。但是这次我们不走寻常路,我们从DMZ口中登录。

  笔记本电脑关闭无线,网线接入FortiWiFi 60D的DMZ口。笔记本网卡设置为10.10.10.0网段,为什么?因为DMZ口的默认IP是10.10.10.1。

  浏览器输入https://10.10.10.1,登录防火墙。

  默认帐户admin,默认密码为空,所以密码不用输入,点击【Login】。

  FortiOS 6.0没有FortiOS 7.2那么严格,允许空密码存在,只是登录时会每次提示修改密码,不想动的点击【Later】。

  登录FortiWiFi 60D,固件版本为6.0.16。

  选择菜单【System】-【Settings】,在系统设置界面,设置主机名称,修改时区为中国。

  设置语言为简单中文,点击【Apply】。 

  配置FortiWiFi 60D防火墙

  之所以选择60D,是因为它的接口比较多,适合做多防火墙连接。但是内网接口默认是硬交换口,7个接口共用一个IP,如果需要7个独立的接口,就必须将它们拆开。

   选择菜单【网络】-【接口】,选择硬件交换internal接口,鼠标点击右键,选择【删除】。

  可以看到原先捆绑在一起的7个接口,现在都独立起来了。这也就是为什么不从内网口登录而选择DMZ接口登录的原因了。

  根据网络拓扑,我们需要将ForteWiFi 60D用来模拟互联网。这里编辑internal1,用来连接笔记本电脑。

  红色方框就是FortiWiFi 60D要实现的功能。

  internal1口角色设置为WAN,目的是屏蔽掉DHCP功能,以免出事端。接口IP设置为笔记本电脑的上网网关,注意子网掩码要保持一致。

  Wan1口本身就是独立接口,这里配置OldMei-ShenZhen防火墙Wan1接口的网关,注意子网掩码保持一致。

  接口IP配置好后,就可以直接配置访问策略了,有人要问了,不要配置路由吗?FortiGate防火墙,两个接口互相访问,是不需要配置路由的。选择菜单【策略&对象】-【IPv4策略】,点击【新建】。

  根据数据流方向,我们只创建了笔记本电脑到OldMei-ShenZhen防火墙的允许访问策略。注意,这里不要启用NAT。

  由于FortiOS 6.0没有默认SSID,为了能够无线登录FortiWiFi 60D,我们需要创建一个SSID。选择菜单【WiFi与交换机控制器】-【SSID】,点击【新建】-【SSID】。

  输入接口名称,注意接口名称不是SSID名称,是防火墙上显示的虚拟接口名。由于内网接口已经拆成独立的了,所以这里的注量模式默认选择【Tunnel】,需要给无线WiFi一个网段,这里给了一个不太会有冲突的192.168.88.0网段。这里启用HTTPS,就是为了无线登录后可以登录防火墙。

  然后才是配置SSID,可以用中文,输入密钥,点击【确认】。

  SSID创建好了,还要做什么操作吗?不用,耐心等几分钟。

  再次打开无线,即然发现了刚刚创建的OldMei-互联网这个SSID,神不神奇?如果说没有的,再多等两分钟。

  用https://192.168.88.1,就可以通过无线登录OldMei-Internet防火墙了。

  验证

  现在两台防火墙都配置完了,我们需要通过实际操作来验证一下,是否笔记本电脑可以通过不同的IP地址访问总部防火墙的Wan1接口。

  将OldMei-ShenZhen防火墙的Win1口用网线连接OldMei-Internet防火墙Wan1口。笔记本电脑网卡接OldMei-Internet防火墙的1号口。

  将笔记本电脑网卡设置为100.64.10.1,网关指向100.64.100.254,需要声明一下,广东地区电信拨号后得到的就是100.64网段,这里用来模拟不可以访问回来,只能访问出去的电信IP。

  首先Ping 100.64.10.1,这个是Ping自己,没有问题Ping 100.64.10.254,这里是Ping网关,也就是能到达OldMei-Internet防火墙的1号口。

  再Ping 218.253.83.145,就是到达OldMei-ShenZhen的Wan1口的网关,也就是OldMei-Internet的Wan1口。最后Ping 218.253.83。146,到达OldMei-ShenZhen的Wan1口。

  查看路由,也是这个情况。先到达OldMei-Internet,再到达OldMei-ShenZhen。

  笔记本电脑通过网卡IP 100.64.10.1,成功的访问了“互联网”上的公网IP218.253.83.146,是不是和笔记本和防火墙通过真正的互联网访问一样一样的呢。


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/563590.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【软件设计师】高频考点集锦

👨‍💻个人主页:元宇宙-秩沅 👨‍💻 hallo 欢迎 点赞👍 收藏⭐ 留言📝 加关注✅! 👨‍💻 本文由 秩沅 原创 👨‍💻 收录于专栏:软考…

什么是IP地址及IP地址分类详解

概念 IP地址,英文名为IP Address,是internet protocol address的缩写,译为互联网协议地址,又译为网际协议地址。它是IP协议(internet protocol )提供的一种统一的地址格式,分配给使用IP协议的设…

软件测试----软件生命周期(研发阶段)

1、市场需求调研 2、可行性研究 3、产品项目立项 4、需求开发 (1)输出《需求规格说明书》 (2)测试团队:参与需求测试(需求评审) 5、设计 (1)开发团队: …

PDF文件数字证书签名指南

一、安装PDF证书的环境 1.1 PDF证书安装环境 Windows pc 机一台 安装Adobe Acrobat 软件 PDF文档签名证书一张(备注:本指南使用沃通内部文档加密证书进行操作,通用其它版本证书) 1.2 网络环境要求 请确保您签名的电脑可以正常访问外网。 二、PDF证书安装 2.…

Android java层hook------xposed框架的使用

xposed曾经是android平台上最好的java层hook和调试工具,由于已经不再更新,当前支持的android系统版本比较老旧,目前只能支持到android6.0,故已经逐渐落伍,目前android上最广泛使用的hook工具是frida,这是另…

数据结构《链表》无头单向非循环-动图详解

前言 前面学习了顺序表发现,顺序表虽然好,但也有很多不足的地方,比方说,顺序表是一块连续的物理空间,如果头插或者头删,那么整个数组的数据都要移动。但是链表不一样,链表是通过指针访问或者调…

昨天面了个腾讯拿 48K 出来的,让我见识到了基础的天花板

今年的春招基本已经进入大规模的开奖季了,很多小伙伴收获不错,拿到了心仪的 offer。 各大论坛和社区里也看见不少小伙伴慷慨地分享了常见的面试题和八股文,为此咱这里也统一做一次大整理和大归类,这也算是划重点了。 俗话说得好&a…

ESP8266获取天气预报信息,并使用CJSON解析天气预报数据

一、实现功能 当前文章介绍如何使用ESP8266和STM32微控制器,搭配OLED显示屏,制作一个能够实时显示天气预报的智能设备。将使用心知天气API来获取天气数据,并使用MQTT协议将数据传递给STM32控制器,最终在OLED显示屏上显示。 心知…

Python篇——数据结构与算法(第二部分)

目录 二、排序算法(承接第一部分) 1、堆排序算法——树的基础知识补充 2、树的基本概念 3、二叉树基础知识 (1)满二叉树 (2)完全二叉树 (3)二叉树的存储方式(表示方式…

Python基础教程:第九章_Python异常模块与包

从现在开始,让我们来进入到新的章节, Python 异常模块与包的内容学习。本章节我们主要分为 6 部分进行讲解,包含了 Python 异常的相关操作以及 Python 的模块操作, Python 的包操作和安装第三方 Python 包的相关操作。 了解异常 …

【Netty】Netty ChannelHandler(四)

文章目录 前言一、ChannelHandler二、ChannelInboundHandler三、ChannelOutboundHandler四、ChannelDuplexHandler总结 前言 前两篇文章我们已经对Netty进行了简单的了解和架构设计原理的剖析。 相关文章链接如下: Netty 概述(一)Netty 架构…

在互联网寒冬,我们应届生应如何提高竞争力?

前言 在当前就业形势下,如何提高应届生在职场中的竞争力?具有哪些有效的方法和策略可供选择?这是一个备受关注的热点话题。哪些方面会对应届生的职场发展起到关键的推动和支撑作用呢?我也来讲一下我是打算如何提升自己的职场竞争力…

移动应用架构解析:用户界面层、业务逻辑层、数据访问层

移动应用的成功离不开一个良好的架构设计,在移动应用开发过程中,合理的层次结构对于应用的可维护性、可扩展性和可测试性至关重要。 移动应用的常见层次结构包括用户界面层、业务逻辑层、数据访问层,但是随着跨平台开发框架的不断发展&#…

【低压配电漏电继电器660V/LLJ-100H/AC220V 中性点漏电保护 JOSEF】

LLJ-F(S)系列漏电继电器 系列型号: LLJ-10F(S)漏电继电器LLJ-15F(S)漏电继电器LLJ-16F(S)漏电继电器 LLJ-25F(S)漏电继电器LLJ-30F(S)漏电继电器LLJ-32F(S)漏电继电器 LLJ-60F(S)漏电继电器LLJ-63F(S)漏电继电器LLJ-80F(S)漏电继电器 LLJ-100F(S)漏电继电器LLJ-120…

医学影像检测方法(B超、DR、CT、MRI)

医学影像检测方法 当涉及到医学影像学时,B超(超声波检查)、DR(数字X射线摄影)、CT(计算机断层扫描)和MRI(磁共振成像)是常见的诊断工具。以下是对这四种影像技术的基本概…

智能门锁揭开新方案:NV340D芯片打造更智能安全的语音解锁体验

智能门锁可以实现一键开锁、实时监控等功能,带来了更便捷、智能的门禁管理体验,逐渐成为人们生活中必不可少的一部分。近年来,随着人工智能技术的不断进步,越来越多的智能门锁开始集成语音控制系统,以提供更加方便的门…

人民大学与加拿大女王大学金融硕士项目——职场不会拒绝一个优秀的金融人才

在金融行业摸爬滚打多年的金融人,通过多年的拼搏与积累,已身处于一个相对舒适、从容的阶段,能沉淀下来再学习的金融人更是令人钦佩。在繁忙的工作之余他们依然保持对学业的热情,以应对瞬息万变的环境发展。人民大学与加拿大女王大…

Unity AssetBundle资源热更插件

Unity AssetBundle资源热更插件 CatAssetManager运行模式 - Package Only新建一个AssetBundle更改AssetBundle的Group分类更改AssetBundle的打包方式 构建规则 加密方式输出AssetBundle 运行模式 - Updateable查看我们热更的Bundle输出目录WebServer目录上传到服务器上选择热更…

u盘数据不见了能恢复吗?可以试试这3种方法

U盘通常体积小巧,存储容量较大,在现代社会中广泛使用。用户可以将各种类型的数据存储到U盘中,如照片、音乐、视频、文档等。但是使用过程中U盘数据无故消失了怎么办呢?在未备份u盘数据的情况下,u盘数据不见了能恢复吗&…

Jenkins发送邮件、定时执行、持续部署

集成Allure报告只需要配置构建后操作即可。但如果是web自动化,或是用HTMLTestRunner生成报告,构建后操作要选择Publish HTML reports,而构建中还要添加Execute system Groovy script插件,内容: System.setProperty(&q…