实验篇(7.2) 04. 映射服务器到公网IP 远程访问 ❀ Fortinet网络安全专家 NSE4

news2024/11/25 13:46:23

  【简介】由于服务器的IP是内网地址,所以无法从公网直接访问服务器。要想远程访问服务器,最简单的办法就是将服务器映射到公网IP,然后通过公网IP加端口号的方式进行访问。


  实验要求与环境

  OldMei集团深圳总部部署了一台服务器,用来对所有内网的设备进行管理。为了方便管理员在任何位置都能访问,启用了远程桌面功能。上班时间,管理员在公司内网可以通过远程桌面登录服务器。下班时间,管理员也希望能在家中电脑远程登录公司的服务器,进行应急管理。

  根据前面三篇文章的介绍,我们已经在桌面上创建了模拟远程访问平台。这里不再叙述。我们直接操作。

  管理员在家里将笔记本电脑配置为家中宽带上网。

  通过公网IP,远程登录深圳总部防火墙。

  映射前的准备工作

  大多数人一上来就开始进行映射操作,一旦不通就慌了手脚,不知道如何处理。其实,在映射之前,应该先确认防火墙到服务器之间,是否连通正常。

  选择菜单【网络】-【接口】,确认一下连接服务器的防火墙接口IP,这里是10.10.10.1,等一下要以这个IP为源,去Ping服务器的IP。

  点击右上角的【>_】命令标,进入命令输入窗口。

  通常我们会用Ping命令测试设备之间的物理连接。Ping命令在防火墙上也可以执行。执行Ping命令之前,需要定义源IP。

  输入命令execute ping-options source 10.10.10.1,表示从DMZ接口起Ping,【注意】定义的源IP地址,必须是防火墙的接口IP,不能其它IP。

  输入命令execute ping 10.10.10.254,从防火墙的DMZ口Ping服务器的IP,前面环境设置中,我们已经开放了服务器的Ping,这里显示Ping通信息,表示防火墙到服务器之间是物理连通的。

  虽然我们知道服务器没有关机,也没有断线,可以连通,但是,不能保证我们要访问的远程桌面是不是OK的,这里需要再确认一下,输入命令execute telnet 10.10.10.254 3389,显示Connected to 10.10.10.254, 表示端口连接成功。

  看到了成功的案例,我们再看看失败的案例,这里我们定义了一个想象的源IP,即使接下来的Ping命令没有错,服务器也工作正常,仍然会报Ping不通。所以,切记,要定义防火墙接口上存上的IP。

  那有人要抬杠了,那我定义内网或无线接口,而不是DMZ接口,会不会通的呢?这就要看是不是有访问策略允许了,前面我们建立了无线访问DMZ的策略,而没有建立内网接口访问DMZ的策略,所以定义无线接口IP可以Ping通,定义内网接口IP就不会Ping通。明白了吧。

  再看Telnet测试,如果服务器不在线,远程桌面功能关闭了,或者端口输入错误,都不会出现Connected提示。

  映射服务器到公网IP

  当我们确认防火墙到服务器之间的连接都是正常之后,就可以配置防火墙,将服务器的内网IP,映射到公网IP上了。

  首先我们需要创建公网IP和内网IP一一对应的虚拟IP。选择菜单【策略&对象】-【虚拟IP】,点击【新建】。

  为了让大家知道什么是对的,什么是错的,我们先建立一个标准配置,后期我们再来改成经常会弄错的配置。

  虚拟IP的名称其实很重要,很多人就随手一敲,等过后就经常想不起来到底是映射那哪个IP哪个端口。这里建议虚拟IP名称加入服务器IP和端口号。

  接口选项很多人会填成内网接口,连接服务器的接口。这里应该填的是宽带接口,特别是有多条宽带的时候,千万不能选择错误。

  端口转发很重要,为了安全起见,只有指定的端口可以映射到公网上。

  如果需要映射多台服务器,或者一台服务器的多个端口,就需要象这样建立多个虚拟IP。为了管理方便,可以创建虚拟IP组,按服务器分类。

  创建虚拟IP后,下一个操作就是创建允许访问的策略。选择菜单【策略&对象】-【防火墙策略】,点击【新建】。

  注意这个流入接口和流出接口,很多人会搞错。因为是允许从公网访问防火墙内部的服务器,所以流入接口应该是宽带接口。如果有多条宽带,接口要和虚拟IP里设定的公网IP对应上。

  如果对远程访问地址有要求,也可以加上,例如,只允许管理员从家里的宽带远程访问公司防火墙。这里我们不做限制,源地址选择all。

  目标地址,也是80%的人会选择错误,直接选择服务器的IP地址了。这里要选择的是我们刚刚建立的虚拟IP地址。

  通常服务选项都是选择all,但是为了缩小被攻击的空间,我们还是建议在服务选项里选择指定的服号,即端口号。防火墙内部有创建常用的服务。

  最后这个NAT选项,在大多数情况一下是不用启用的。只有在某些特殊情况下需要启用。例如,DMZ口是10.10.10.1,下面连接一台三层交换机,三层交换机划了多个VLAN,其中服务器IP网段,和DMZ口不是一个网段。这种情况下,就需要启用NAT了。点击【确认】,策略创建完成,下一步,就是看看是否能远程登录服务器的桌面了。

  刚才的防火墙配置,都是管理员在家里,通过远程访问公司防火墙操作的。现在再打开远程桌面连接,输入公司防火墙公网IP。点击【连接】。

  当出现输入凭据的时候,就可以判断前面所做的映射是成功的。输入服务器的帐号和密码,点击【确定】。

  出现证书提示,选择【不再询问我是否连接到此计算机】,点击【是】。

  恭喜你,你已经从家里或互联网的任何地方,登录OldMei深圳总部防火墙后面的AD服务器了。

  问题答疑

  即然是实验,我们不能只看到标准答案,也要看看其它的答案。下面来看看有哪些常见的问题会提出来。

【我的服务器要映射的端口太多,甚至我都不知道存在哪些端口,这个要怎么办?】

  这种情况只能是一个公网IP映射一个内网IP,所有的端口都映射。但是这种情况下,你需要有多个公网IP才行,如果只有一个公网接口IP,就会把远程防火墙要用到的端口都覆盖了。这样就无法再远程登录防火墙。

  通常固定IP宽带,运营商都会给你多个公网IP,而防火墙的Wan接口上只配置了一个,那其它几个就可以用来映射服务器了。选择菜单【网络】-【接口】,选择wan1口,点击【编辑】。

  默认附加IP地址是禁用的,这里启用它,弹出窗口点击【新建】。

  输入这么宽带可用的其它IP地址,注册子网掩码不要输错。启用【PING】,点击【确认】。

  这样,在一个接口上,就有两个IP了,接口IP用来上网及远程登录防火墙,附加IP用于映射服务器。可以加入多个可用公网IP。

  编辑虚拟IP,外部IP修改成为wan1接口的附加IP地址。关闭【端口转发】,这样,10.10.10.254的所有端口,都映射成218.253.83.147了。

  从家里分别Ping总部防火墙的Wan1接口IP和附加IP,都可以Ping通。

  用telnet测试修改后的映射端口。

  可以telnet成功,也就是说,即使关闭了【端口转发】,10.10.10.254的3389的端口,仍然是映射到了218.253.83.147上。其实不光是3389,所有的端口都映射了。

  再用远程桌面连接,输入的是附加IP地址。

  一样的可以远程桌面登录。

  在很多大型IDC会有这种情况,一个公网IP映射一台服务。这样虽然方便,但在公网上开通这么多端口,很容易被黑客找到漏洞而发起攻击。需要做好服务器的安全工作。

【我不想让我真实服务器端口暴露在公网,这个要怎么办?】

  直接将服务器映射到公网上,很容易受到针对性的攻击,特别是常用的端口,为了隐藏服务器的真实端口,通常我们可以在虚拟IP设置外部服务器端口时,设置过其它端口,端口号只要不冲突就行。

  象这样有一真一假两个端口的情况,在策略里是要放行哪个呢?策略里放行的是服务器的真实端口。

  再次用远程桌面连接,这次要将公网地址加上端口号,可以正常连接。

  除了我们演示的3389端口,象80、443等端口,宽带运营商是封闭的,同样需要用其它端口代替,才能远程访问。注意:防火墙本身也会用到80、443端口。

【我的宽带是ADSL拨号宽带,得到的IP可以远程访问,但是IP经常会变,可以映射服务器吗?】

  如果宽带是ADSL,动态获取公网IP,虚拟IP的外问IP地址可以为0.0.0.0。非ADSL则必须指定公网IP。

  通过FortiGate防火墙DDNS功能,可以将域名捆绑接口IP,即使IP变更,用域名仍然可以解析出当前公网IP,这样就可以用域名进行远程访问了。


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/584776.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Vue学习-知识点总结

&#xff08;一&#xff09;基础知识 1、简单使用 <!DOCTYPE html> <html> <head><meta charset"utf-8" /><title></title><!--第一步&#xff1a;导入vue--><script src"js/vue-2.6.10.js"></script…

深度学习相关知识--池化

池化 概念 池化分为最大池化&#xff08;用的多一些&#xff09;和平均池化 最大池化是选出区域内最大值作为池化后的值&#xff0c;如下图所示&#xff1a; 平均池化是选择区域内平均值作为池化后的值&#xff0c;如下图所示&#xff1a; 概念很浅显&#xff0c;但是对于刚…

【C++初阶】10. vector的使用及模拟实现

1. vector的介绍 vector的文档介绍 vector是表示可变大小数组的序列容器。就像数组一样&#xff0c;vector也采用的连续存储空间来存储元素。也就是意味着可以采用下标对vector的元素进行访问&#xff0c;和数组一样高效。但是又不像数组&#xff0c;它的大小是可以动态改变的…

CH341的SPI接口编程说明

CH341的SPI接口特性&#xff1a; 1、提供3个片选信号&#xff0c;SCS0~SCS2&#xff1b; 2、SPI 默认工作模式0&#xff0c;不支持修改&#xff1b; 3、SPI Clock速率固定&#xff0c;小于2MHz&#xff1b; 4、支持MSB/LSB传输&#xff1b; 引脚序号功能说明15~17SCS0~SCS…

00后实习生上岸字节,卷王不愧是卷王....

在找工作的时候都必须要经历面试这个环节。在这里我想分享一下自己上岸字节的面试经验&#xff0c;过程还挺曲折的&#xff0c;但是还好成功上岸了。大家可以参考一下&#xff01; 0821测评 语言理解 找规律 图形 数据分析 性格测试 0831笔试 0901字节一面&#xff08;I…

Docker安装SQL Studio

前言 当前镜像是基于SQL Studio官网linux版本的安装包构建而成&#xff0c;镜像的tag和官方安装包的版本是对应的&#xff0c;例如&#xff1a;v1.6.0对应官方linux安装包的v1.6.0版本&#xff0c;目前只有v1.6.0版本的镜像。附上官网安装包下载地址 镜像说明 暴露端口 # 容…

AIML

倒三角数学符号为▼ 。英文为Nabla&#xff0c;中文读音为奈不拉&#xff0c;同时也可以读作“Del” 。这是场论中的符号&#xff0c;是矢量微分算符。 一张图读懂导数与weifen 这是高数中的一张经典图&#xff0c;如果忘记了导数微分的概念&#xff0c;基本看着这张图就能全…

js读取json文件的一个乌龙

起因 编写一个显示数据的静态页面&#xff0c;也就是俗称的index.html页面&#xff0c;页面的数据则有同目录下的json文件提供。 乌龙 吭哧吭哧的把页面写完和把json文件创建完成后&#xff0c;开始测试。 index.html <!DOCTYPE html> <html lang"zh"&g…

软件设计师(中级)详细复习过程总结

软考复习过程总结 前言背景1.1 软考是什么1.2 软考的含金量1.3 软考书籍 软考前相关学习2.1专业知识学习2.2 J2SE视频2.3 设计模式2.4 软件设计师视频 考前两周复习冲刺3.1 算法和排序3.2 设计模式3.3 真题3.4 讨论3.4.1 理论基础3.4.2 实践检验 学习方法4.1 PDCA4.2 番茄工作法…

操作系统期末复习——课时十内存管理(一)

1、内存管理的基本原理和要求 1&#xff09;内存管理的定义 操作系统对内存的划分和动态分配就是内存管理的概念。 2&#xff09;内存管理的功能 &#xff08;1&#xff09;内存空间的分配和回收&#xff1a;由操作系统完成对主存的分配和回收&#xff0c;对编程人员透明。 &…

通过dockerfile将nginx、前端和后端封装成一个镜像

1、内容如下 2、dist文件 就是vue项目的打包文件 3、jar包文件 就是springboot的打包文件 4、编写Dockerfile #引用 jdk1.8作为基础镜像,这个jdk1.8是我自己用linux版本的jdk打包的,具体操作可以看 #https://blog.csdn.net/qq_38639813/article/details/129384923中将jd…

项目经理如何有效管理项目预算?

项目的成功完成在很大程度上依赖于管理良好的项目预算。借助概述项目范围、资源需求、时间表和成本估算等关键方面的详细预算&#xff0c;管理人员可以较好地控制成本并使项目走上正轨。 成功的预算管理需要准确的成本估算&#xff0c;密切跟踪实际支出&#xff0c;仔细确定预…

【Windows】Windows 无法访问\\xxx.xxx.xxx.xxx 共享文件夹

一、问题描述 1、Windows 10专业版系统访问 Windows Server 2003 的共享文件夹&#xff0c;其他电脑可以通过账号和密码访问此服务器共享的文件夹&#xff0c;但Windows 10专业版访问时报如下错误 网络错误 Windows 无法访问\\192. 1. 1. 1\组文件 你没有权限访问\\192.1.1.1…

行业报告 | 聚焦智能制造

原创 | 文 BFT机器人 01 智能制造正当时&#xff0c;助力企业行稳致远 1.1 什么是智能制造&#xff1f; “智能制造”源于人工智能的研究&#xff0c;关于其定义有很多种 美国Wright和Bourne在其《制造智能》(智能制造研究领域的首本专著) 中将智能制造定义为“通过集成知识工…

iOS 编译ffmpeg 4.3版本

嗨&#xff0c;咱就是说&#xff0c;音视频这玩意是真的有些难度啊&#xff0c;不说后续学习路线会有多坎坷&#xff0c;就第一步编译这个破库就折磨了我两天多&#xff0c;好好的一个周末就浪费在编译上了。 入门这事儿&#xff0c;我是先看了《音视频开发进阶指南&#xff1…

Vue3基于 rem 比例缩放方案

本缩放方案置于hooks中即可。于App.vue中引入并调用。会在页面DOM结构最外层增加响应式的font-size属性样式更改。 主要包含了以下内容 接口和类型定义&#xff1a; DesignParms&#xff1a;设计稿参数的接口定义&#xff0c;包括宽度、高度和字体大小等信息。UseRemOption&…

Hack The Box - appointment关卡

TASK 1 任务 1 What does the acronym SQL stand for? 首字母缩略词SQL代表什么&#xff1f; Structured Query LanguageTASK 2 任务 2 What is one of the most common type of SQL vulnerabilities? 最常见的 SQL 漏洞类型之一是什么&#xff1f; SQL Injection TASK …

两天,总计六个小时,中移在线核心业务系统顺利完成1050套欧拉操作系统迁移上线...

摘要&#xff1a;历时两天&#xff0c;总计六个小时&#xff0c;中国移动在线营销服务中心(简称中移在线)正式启动内部核心业务系统全网呼叫平台的迁移工作。首批1050套操作系统完成从 CentOS(系统版本7.2、7.4和7.6)到 openEuler 高效平滑迁移。中移在线拥有全球最大的呼叫平台…

「实在RPA·交通物流数字员工」促进数字化转型加「数」度

一、交通物流行业数字化转型的重要性 作为国家和地区相连接的枢纽&#xff0c;交通物流行业在国民生活中扮演着重要的角色。经济的发展以及电商行业的迅速崛起使得交通物流业的重要作用更加凸显。随着5G技术、大数据云计算、机器人流程自动化的迅速发展&#xff0c;以及交通强…

文件传输只是第一步,文件同步和备份的关键是

有备无患&#xff0c;“备份”的观念早已深入所有信息管理人员的心里。在IT人员信息化安全计划中备份是不可或缺的重要环节。然而&#xff0c;我们还是会经常听到客户抱怨数据备份太慢&#xff0c;文件传输会出现丢失、异常、损坏的情况。那这到底是备份方式有问题还是人员疏忽…