实验篇(7.2) 03. 部署物理实验环境(下) 远程访问 ❀ Fortinet网络安全专家 NSE4

news2024/12/23 6:49:29

  【简介】考虑到有很多人初次接触FortiGate防火墙硬件,因此在讲解部署物理实验环境的时候,防火墙的初次登录内容介绍的比较多,以致于需要将文章分下、下二篇。下篇我们重点介绍服务器的配置及部署。


  防火墙的接口规划

  在部署服务器之前,我们需要对防火墙的接口如何使用有一定的规划。

  防火墙的接口分为四类:

  1、Wan接口,用来连接互联网宽带,宽带的接入方式通常有ADSL拨号、固定IP以及连接路由器等。Wan口是独立接口,一般配置两个,但是也可以使用其它接口代替。FortiGate防火墙支持多条宽带,组建SDWAN链路负载均衡。

  2、DMZ接口,用来连接服务器,也是独立接口。通常用来接入需要映射到公网上的服务器。由于是独立接口,和内网分开,即使服务器受到攻击,也不会影响内网安全。

  3、Internal接口,内网接口,用来连接内网中的交换机或电脑。通常机架式防火墙,每个内网接口都是独立口,而桌面式防火墙,内网接口都设置会设置成为交换口,即多个接口共用一个IP,象交换机一样。接口可以灵活转换组合。

  4、虚拟接口,根据需求不同,防火墙可以创建不同的虚拟接口,例如我们上篇文章建立的无线SSID,就是虚拟口。后面要学习到的SSL和IPsec,也会创建相应的虚拟接口。

  查看我们作为总部防火墙的FortiWiFi 60E接口,红色框是两个独立的宽带接口,黄色框是一个服务器接口。有人要问了,服务器接口只有一个,如果有多台服务器怎么办?解决办法很简单,如果服务器数量不多,而防火墙的接口又够,可以将多个接口组合成交换DMZ口,如果服务器数量多,则在DMZ口接一个二层交换机。

  这里的蓝色框,实际上是有两部分组成,一个是内网交换口,一个是无线SSID,也就是说,这里的无线和内网都是同一网段。

  其它接口都是虚拟接口,我们以后再了解。

  IP地址规划

  除了Wan接口的IP地址由宽带运营商提供之外,DMZ、Internal、无线等接口IP均由我们自己定义。

  防火墙的默认接口IP:桌面式防火墙内网接口192.168.1.99,DMZ接口为10.10.10.1,机架式防火墙MGMT接口192.168.1.99,内网接口192.168.100.99。

  在我们真实使用环境中,通常会用到服务器IP、内网IP和无线IP。很多网络管理人员会全部使用一个网段,例如192.168.1.0/24。好处是可以方便简单的互相通信。坏处是一旦中招,全部完蛋。

  我们推荐服务器IP、内网IP和无线IP分别使用不同的网段。例如服务器IP:10.10.0.0,内网IP:172.16.0.0,无线及其它IP:192.168.0.0。

  当我们有多个分支的时候,网段的划分就尤其重要。分支互访不能出现相同网段,不然无法正常访问。

  为了后期完成远程访问实验,我们需要提前规则所有的IP地址网段,这里举个例子,希望大家能举一反三。

  IP地址规划示例

  OldMei集团总部位于深圳,北京、上海、广州各有一家分公司,总部和三家分公司均有业务服务器需要互相访问,办公网络含有线及无线,要求四地互访不出现IP地址冲突。

  【深圳总部】

        服务器IP网段:10.10.10.0/24

        内网网段:172.16.10.0/24

        无线网段:192.168.10.0/24

  【北京分公司】

        服务器IP网段:10.10.20.0/24

        内网网段:172.16.20.0/24

        无线网段:192.168.20.0/24

  【上海分公司】

        服务器IP网段:10.10.30.0/24

        内网网段:172.16.30.0/24

        无线网段:192.168.30.0/24

  【广州分公司】

        服务器IP网段:10.10.40.0/24

        内网网段:172.16.40.0/24

        无线网段:192.168.40.0/24

  可能有人会问,深圳总部为什么是从192.168.10.0开始,而不是192.168.1.0开始,因为很多设备的默认IP就是192.168.1.0段,这样可以避免发生冲突。

  配置深圳总部防火墙接口IP

        根据规划,我们已经确认了深圳总部防火墙的服务器、内网、无线的IP地址网段,下面我们要在防火墙上实现它。

  首先看DMZ接口,计划这个接口是用来连接服务器,由于默认IP 10.10.10.1和我们的规划相同,就不用再改动了。

  再看内网和无线,这里已经把两样加在一起,组建了软件交换口,鼠标点击右键,弹出菜单显示【删除】是灰色的,无法操作。

  为什么会无法删除,是因为接口已经被使用了,移到最右边显示关联项,可以看到数字3,说明这个接口有三个地方使用了。鼠标点击数字【3】。

  选择对应的关联,点击【删除】,将所有的关联都删除。正常情况删除后页面不再显示,但有的删除页面仍会显示,忽略。

  再次右键点击弹出菜单,这次删除选择是黑色,可以操作了。注意:如果是通过内网或无线登录防火墙,删除后会退出登录。这里我们是通过Wan口远程登录防火墙,所以不会退出。

  删除软交换后,内网接口和无线SSID分开,显示内网接口是硬件交换口,多个接口共用一个IP。我们仍然可以继续删除,将每个内网口独立出来。这里选择【编辑】。

  内网硬交换接口IP设置为规划的172.16.10.1,启用HTTPS协议,方便通过内网登录防火墙,接口成员可以删除,变成独立接口,配置不同网段,给Wan、DMZ或内网使用。也可以启用【DHCP服务器】,给接入的电脑自动分配IP地址、网关和DNS。

  无线接口从软交换口释放后,IP地址也是没有的,这里选择OldMei-深圳 SSID,点击【编辑】。

  按照规划,将无线IP设置为192.168.10.1,记得要启用HTTPS,这样无线登录后就可以登录防火墙了。一般无线都是自动获取IP的,这里启用【DHCP服务器】。

  同样指定DNS服务器。

  OldMei深圳总部防火墙,服务器IP、有线IP和无线IP都有经过规划然后部署到防火墙上了,一家人整整齐齐。

  笔记本电脑启用无线,连接 OldMei-深圳。

  获得了设置的DNS,网关默认是接口IP,也就是192.168.10.1。

  可以通过无线接口IP登录防火墙。OldMei深圳总部防火墙的接口IP就全部设置好了。

  服务器的连接

  远程访问的最终目标——服务器,相信是很多人头痛的,但是为了各种实验,又不得不接受现实。

  这里用一台电脑安装了Windows Server 2022,具体安装方法,可以在博客Windows Server分类里找到,这里就不再介绍了。

  服务器配置IP地址10.10.10.254,网关是防火墙DMZ接口IP 10.10.10.1,服务器不上网,DNS指向自己。将服务器的网卡与防火墙的DMZ口用网线连接。

  从服务器上Ping防火墙DMZ接口IP,可以Ping通,说明物理连接没有问题。

  笔记本电脑无线登录OldMei-深圳,登录深圳防火墙,选择菜单【策略&对象】-【防火墙策略】,建立一条从无线访问服务器的策略。

  输入自定义的策略名称,流入接口选择无线SSID,流出接口选择DMZ,说明是从无线去访问服务的。源地址、目标地址、服务三项都选择ALL,全部开通。以后实验时会讲到这三个的作用的。注意NAT不要启用。

  在笔记本电脑上Ping防火墙DMZ接口IP,可以Ping通,说明刚才建立的允许访问的策略是生效的,再Ping服务器IP,这次并没有通,难道是哪里做错了?

  其实这是Windows Server 2022默认是禁Ping的原因。回到服务器,选择【控制面板】-【系统和安全】-【Windows Defender防火墙】,点击【高级设置】。

  在高级安全Windows Defender防火墙窗口,选择【入站规则】-【文件和打印机共享(回显请求- ICMPv4-In)】,点击最右边的属性。

  选择常规则下面的【已启用】,点击【确定】。

  回到笔记本电脑,再次尝试,可以从无线Ping通DMZ接口下的服务器IP了。

  服务器的配置

  虽然可以Ping通服务器的IP,但这是远远不够的,我们需要测试访问服务器的某些端口,例如Web服务的80端口等。但是Web服务配置相对比较复杂,还有一个更好的选择,那就是远程桌面访问,3389端口。

  点击服务器左下角视窗,弹出菜单选择【控制面板】-【系统安全】-【系统】。

  选择【高级系统设置】。

  系统属性界面选择【远程】,点选【允许远程连接到些计算机】。

  显示远程桌面将启动的提示信息,点击【确定】。

  还可以选择用户,即哪些用户可以通过远程桌面登录。

  默认Administrator用户可以通过远程桌面。点击两次【确定】,返回,远程桌面配置完成。

  笔记本电脑切换到OldMei-深圳无线SSID。

  由于前面已经建立了无线访问DMZ的策略,所以Ping服务器IP是OK的,服务器已经开放远程桌面,我们用telnet 10.10.10.254 3389来验证一下服务器是否开放了3389这个端口。

  没有报错,而是出现一个黑色窗口,说明telnet 3389端口是成功能的。

  笔记本电脑点击左下角视窗图标,选择菜单【Windows附件】下的【远程桌面连接】。

  输入服务器IP地址,点击【连接】。

  输入服务器administrator帐号和密码,为了不用每次输入,这里钩选【记住我的凭据】,点击【确定】。

  出现证书提示,钩选【不再询问我是否连接到此计算机】,点击【是】。

  成功登录远程桌面。

【总结】

  这里我们用一台笔记本、一台PC机,一台FortiWiFi 60E防火墙,一台FortiWiFi 60D防火墙,模拟出简单远程访问的整个运行环境。

  步骤看上去很多很复杂,但是你只要看懂上面的拓扑,就能理解了。

  后面我们会根据这个环境做各类远程访问实验,感举趣的可以多动动手。


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/567393.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

把被裁说成主动离职,算不算撒谎?

当我们在面试的时候,离职原因可以说是面试官必问问题之一。如果是主动离职并且理由充分,求职者们基本上都是大方坦荡的说出来。 可是在去年各大企业一波降本增效下,不少求职者都是被辞退的情况,在进行面试时到底是直接告诉面试官…

【系统集成】模拟总公司和分公司之间通信(涉及mpls vxn,链路聚合,nat,vlan划分,单臂路由,dhcp....)

目录 一 需求描述 二 需求分析 三 实验拓扑 四 实验配置 4.1 总公司 4.1.1 vlan间通信 4.1.2 dhcp自动分配ip 配置地址池 接口开启dhcp 4.1.3 链路聚合 4.1.4 ospf实现内网通信 4.2 分公司 4.2.1 单臂路由 4.2.2 dhcp自动获取ip 4.2.3 ospf实现内网通信 4.3 mp…

chatgpt赋能python:PythonSHA-1算法:了解、应用及安全性评估

Python SHA-1算法: 了解、应用及安全性评估 SHA-1是一种哈希算法,是Secure Hash Algorithm的缩写,它是一个通过特定算法将任意长度的消息压缩成一定长度输出的标准算法。SHA算法被广泛应用于数字签名、数据完整性校验、信息加密等领域。 Py…

javaScript 给图片加水印

背景 在很多地方,我们都可以看到,上传图片的时候,图片都会被加上默认的水印,水印的作用主要体现在以下几个方面: 1.版权保护:在商业用途的照片中添加水印可以帮助保护作者的版权,防止他人未经…

基于LeNet-5的手写数字识别实战

图像识别是计算机视觉最常用的任务之一,几乎所有的有关图像识别的教程都会将MNIST数据集作为入门数据集,因为MNIST数据集是图像识别问题中难度最小、特征差异较为明显的数据集,非常适合作为图像识别入门者的学习案例。本案例使用MNIST数据集&…

最小二乘法求导-公式推导

多元线性回归模型 1. 建立模型:模型函数 Y ^ W T X \hat{Y} W^TX Y^WTX 如果有 n1 条数据,每条数据有 m1 种x因素(每种x因素都对应 1 个权重w),则 👉已知数据:实际Y值 [ y 0 y 1 y 2 y 3 . …

【c语言小项目】基于easyX实现的《是男人就下一百层》小游戏

创作不易&#xff0c;本篇文章如果帮助到了你&#xff0c;还请点赞 关注支持一下♡>&#x16966;<)!! 主页专栏有更多知识&#xff0c;如有疑问欢迎大家指正讨论&#xff0c;共同进步&#xff01; &#x1f525;c语言系列专栏&#xff1a;c语言之路重点知识整合 &#x…

论述安科瑞智慧消防在高层建筑信息化管理中的作用

安科瑞 徐浩竣 江苏安科瑞电器制造有限公司 zx acrelxhj 【摘要】为了顺应时代的发展&#xff0c;我们做好信息化时代下的“智慧消防”工作&#xff0c;为“智慧城市”的建设奠定良好的基础。本文主要就“智慧消防”的含义、对如高层建筑等单位进行信息化“智慧消防”管理&a…

CryoEM - 使用 3DMod (IMOD) 评估蛋白质三维结构的质量

欢迎关注我的CSDN&#xff1a;https://spike.blog.csdn.net/ 本文地址&#xff1a;https://blog.csdn.net/caroline_wendy/article/details/130867416 IMOD 官网&#xff1a;The IMOD Home Page IMOD is a set of image processing, modeling and display programs used for to…

chatgpt赋能python:PythonShe-全面的SEO工具

Python She - 全面的SEO工具 在当今互联网时代&#xff0c;优化网站的排名对于企业的成功至关重要。Python She是一款可靠的SEO工具&#xff0c;它针对搜索引擎优化提供了全面的解决方案。本文将介绍Python She的功能以及如何使用它来提高您的网站排名。 Python She的功能 P…

从感官沉浸到无边界互操作,细数元宇宙游戏的底层逻辑世界

元宇宙已经不是全宇宙最热的概念了&#xff0c;冷下来之后或许才能踏踏实实落地。 元宇宙是下一代的互联网形态&#xff0c;是三维的“空间互联网”。或者说是大家更希望这是未来的互联网。我们将通过VR虚拟现实头盔、AR增强现实眼镜等一系列设备&#xff0c;体验三维化的互联…

《程序员的炫技代码》

程序员&#xff0c;这个职业总是让人感到神秘而又充满魅力。他们手中的代码常常充满了令人惊叹的炫技操作&#xff0c;让人不禁感叹他们的技术能力之高。在这篇文章中&#xff0c;我想和大家分享一些我所知道的程序员的炫技代码。 一行代码实现斐波那契数列 斐波那契数列是一…

外包公司程序员的水平真的很垃圾吗?

在互联网圈存在着这么一条鄙视链&#xff1a;大厂程序员看不起自研小厂程序员&#xff0c;自研小厂程序员看不起外包程序员&#xff0c;很多人觉得自己进了外包以后简历就被污染了&#xff0c;所以哪怕失业都不愿意进外包…… 实际上&#xff0c;何不食肉糜…… 外包可能还把你…

javaWebssh车辆保养管理系统myeclipse开发mysql数据库MVC模式java编程计算机网页设计

一、源码特点 java ssh车辆保养管理系统是一套完善的web设计系统&#xff08;系统采用ssh框架进行设计开发&#xff09;&#xff0c;对理解JSP java编程开发语言有帮助&#xff0c;系统具有完整的源代码和数据库&#xff0c;系统主要采用 B/S模式开发。开发环境为TOMCAT7.…

Python竖版大屏 | 用pyecharts开发可视化的奇妙探索2

你好&#xff01;我是马哥python说&#xff0c;一名10年程序猿&#xff0c;正在试错用pyecharts开发可视化大屏的非常规排版。 以下&#xff0c;我用8种ThemeType展示的同一个可视化数据大屏&#xff0c;可视化主题是分析淄博烧烤现象。 1、SHINE主题 2、LIGHT主题 3、MACARO…

API测试| 了解API接口测试| API接口测试指南

什么是API&#xff1f; API是一个缩写&#xff0c;它代表了一个 pplication P AGC软件覆盖整个房间。API是用于构建软件应用程序的一组例程&#xff0c;协议和工具。API指定一个软件程序应如何与其他软件程序进行交互。 例行程序&#xff1a;执行特定任务的程序。例程也称为过…

23 # generator 的使用

1、类数组&#xff1a;长的像数组 const likeArray {0: "a",1: "b",2: "c",3: "d",length: 4 };可以 Array.from 将类数组转为数组 Array.from(likeArray) // [ a, b, c, d ]也可以使用拓展运算符&#xff1a;原理就是遍历这个对象…

【LIS的nlogn做法】ABC134 E - Sequence Decomposing

E - Sequence Decomposing (atcoder.jp) 题意&#xff1a; 思路&#xff1a; 让你求一个序列里上升子序列个数 Dilworth定理告诉我们答案就是最长非上升子序列长度 那就是反着用nlogn求最长上升子序列长度 可以当板子用 Code&#xff1a; #include <bits/stdc.h>#d…

死磕测试10余年,呕心整理出了核心知识点已经做成PDF,无私奉献

前言 想在面试、工作中脱颖而出&#xff1f;想在最短的时间内快速掌握软件测试的核心基础知识点&#xff1f;想要成为一位优秀的软件测试工程师&#xff1f;本篇文章能助你一臂之力&#xff01; 目前正值招聘求职旺季&#xff0c;很多同学对一些新技术名词都能侃侃而谈&#…

web自动化测试——定位几秒自动消失的弹窗

问题&#xff1a; 我们在进行web自动化测试时&#xff0c;会遇见需要定位那种几秒自动消失的弹窗中的元素&#xff0c;但是弹窗消失太快&#xff0c;经常会来不及操作。 解决办法&#xff1a; 1.在对应的页面按F12 &#xff0c;然后选择Sources&#xff1b; 2.在页面中进行操…