实验篇(7.2) 02. 部署物理实验环境(上)❀ 远程访问

news2024/12/23 6:41:49

  【简介】当大家了解到并不需要很高的代价就可以动手做FortiOS 7.2的实验,很多人愿意尝试使用FortiGate防火墙硬件来学习最验难掌握的远程访问部分,这里我们将学习现场部署一套物理实验环境,让大家看到,在一张桌子上,在没有互联网的环境下,我们也可以做SSL、IPsec、SDWAN等实验。


  物理实验所需设备

  我们本着先简后难的原则,建立一套最简单的远程访问实验环境。

  最简单又安全的远程访问,就是SSL VPN,笔记本电脑通过SSL VPN拨号连接到FortiGate防火墙,再通过FortiGate防火墙去访问服务器。

  因此,我们需要一台笔记本电脑,可以方便快速的使用无线登录不同的防火墙设备,使用有线模拟台式机终端,进行效果验证。

  为了更好的理解端口保护,我们还需要一台服务器,普通PC就可以,安装Windows Server操作系统,因为以后会用到远程身份验证实验,还可以配置为远程桌面、Web服务器等。

  实验用防火墙,推荐使用FortiWiFi 60E,推荐原因:所有支持FortiOS 7.2的最便宜的设备,就是60E,之所以推荐带WiFi版本的60E,是因为无线登录设备更方便,而且可以模拟真实的无线使用环境。

  最关键的互联网这部分,推荐使用FortiWiFi 60D,推荐原因:虽然只支持FortiOS 6.0,但是只用到接口互相访问的最简单部分,加上接口较多,支持更多FortiGate防火墙互访实验。无线是为了登录设备更方便。

   登录FortiWiFi 60E防火墙

  首先我们来登录FortiWiFi 60E防火墙,默认固件已经升级到7.2.4,恢复了出厂设置。

  FortiWiFi 60E通电后稍等几分钟,Power灯和Status灯同时常亮,说明系统启动成功,如果Status灯一直闪烁,表示系统没有启动成功。WiFi灯闪烁表示无线正常。

  打开笔记本电脑,搜索无线信息,会看到有一个叫fortinet的无线信号,这个就是FortiWiFi 60E的默认无线ID,选择【fortinet】,点击【连接】。

  输入安全密钥,默认也是【fortinet】,点击【下一步】。

  连接成功,显示无Internet,点击【属性】。

  可以看到,笔记本无线通过DHCP获得了IP地址为192.168.1.110。

  打开浏览器,建议谷歌Chrome或火狐,因为FortiOS是Linux系统,兼容性更好一些。输入地址https://192.168.1.99,这是防火墙默认的内网IP地址。注意,是https,不是http。出现认证提示,点击【高级】。

  选择【继续前往192.168.1.99(不安全)】,防火墙会把证书发送给浏览器,下次再访问,就不会再出现这个提示了。

  出现登录提示,输入默认用户名【admin】,由于默认密码是空的,所以不而要输入,点击【Login】。

  出于安全考虑,防火墙除了默认出厂之外,不允许有空密码,因此需要更改密码,第一个老密码框由于默认密码是空,所以不用填写,输入两次新密码,因为是做实验,我常将admin作为密码,省得去记了。

   再次出现登录提示,这次输入用户名admin,密码也是admin。 

  出现FortiGate设置提示,要求更改主机名、修改密码、设置仪表板以及升级固件。这里我们先跳过,选择【Later】。

  首次登录防火墙,会出现视频窗口,介绍新功能,这里启用【Don‘t show again】不再显示,点击【OK】。 

  登录防火墙后,默认显示【仪表板】下的【状态】页面,可以看到固件已经是7.2.4。由于防火墙没有接入互联网,会出现一个FortiGate时间不同步的提示,这里忽略。

  配置FortiWiFi 60E防火墙

  第一次登录防火墙后,显示的都是英文,我们需要修改一下,符合我们的使用习惯。

  选择菜单【System】-【Settings】,进入系统设置界面,点击Time zone(时区)右边下拉按钮,弹出窗口选择【(BMT+8:00) Bejing......】,将时区改为中国,有关于时间的记录才会准确,例如日志。

  点击Language(语言)右边下拉按钮,弹出菜单选择【Simplified Chinese】,将显示改为简体中文。点击【Apply】。

  为了区别每一台设备,我们需要修改主机名,主机名不可以是中文。

  通常我们会以企业名称加设备所在地名作为主机名。

  选择菜单【网络】-【接口】,我们可以看到设备有两个Wan口,一个DMZ口,5个Internal口。Wan口通常用来连接宽带,虽然设备自带两个Wan口,但是如果有需要,也还可以将其它接口(Internal、DMZ)设置成Wan口,以用来连接更多的宽带。

  选择wan1接口,点击【编辑】,配置连接互联网。

  这里我们模拟的是公司总部的防火墙,有固定IP地址,可以用来进行远程访问。填写的IP地址和网关地址,可以是真实在使用的公网IP地址。因为我们实验环境不上公网,所以这个不会有什么影响。用真实公网IP地址,可以感觉真正在生产环境配置防火墙一样。协议启用【HTTPS】和【PING】,允许Ping通这个接口,和能过Https访问这台防火墙。

  除了在Wan1口配置IP地址外,我们还需要配置网关,选择菜单【网络】-【静态路由】,点击【新建】。

  接口选择Wan1,输入网关地址,这样所有流量,就会通过Wan1口后,再跳到网关IP去了。点击【确认】。

  这样默认路由就建好了。由于我们是测试笔记本电脑远程对Wan1口访问,其它就暂时不配置了。下一步,我们配置作为因特网功能的FortiWiFi 60D。

  在给FortiWiFi 60D通电前,我们需要修改一下无线ID,以免后期开启多台设备后起冲突。选择菜单【无线&交换机控制器】-【SSIDs】,选择默认存在的SSID,点击【编辑】。

  在SSID字段,将默认的fortinet改成自定义的无线ID,这里可以使用中文,顺便修改一下密码,这里因为实验不想太复杂,密码设置为12345678。点击【确认】

  配置完成立即生效,WiFi断开,重新连接,可以找到新建的无线ID,选择并点击【连接】。

  输入新的密码12345678,点击【下一步】。

  无线重新连上了。也可以正常登录防火墙。那么FortiWiFi 60E的配置暂时就到这里。

   登录FortiWiFi 60D防火墙

  现在我们将用于模拟互联网的FortiWiFi 60D通电。

  由于FortiWiFi 60D的固件版本最高为6.0,这个版本没有默认的SSID,因此我们无法用无线登录。常规做法是接1号口,通过https://192.168.1.99登录。但是这次我们不走寻常路,我们从DMZ口中登录。

  笔记本电脑关闭无线,网线接入FortiWiFi 60D的DMZ口。笔记本网卡设置为10.10.10.0网段,为什么?因为DMZ口的默认IP是10.10.10.1。

  浏览器输入https://10.10.10.1,登录防火墙。

  默认帐户admin,默认密码为空,所以密码不用输入,点击【Login】。

  FortiOS 6.0没有FortiOS 7.2那么严格,允许空密码存在,只是登录时会每次提示修改密码,不想动的点击【Later】。

  登录FortiWiFi 60D,固件版本为6.0.16。

  选择菜单【System】-【Settings】,在系统设置界面,设置主机名称,修改时区为中国。

  设置语言为简单中文,点击【Apply】。 

  配置FortiWiFi 60D防火墙

  之所以选择60D,是因为它的接口比较多,适合做多防火墙连接。但是内网接口默认是硬交换口,7个接口共用一个IP,如果需要7个独立的接口,就必须将它们拆开。

   选择菜单【网络】-【接口】,选择硬件交换internal接口,鼠标点击右键,选择【删除】。

  可以看到原先捆绑在一起的7个接口,现在都独立起来了。这也就是为什么不从内网口登录而选择DMZ接口登录的原因了。

  根据网络拓扑,我们需要将ForteWiFi 60D用来模拟互联网。这里编辑internal1,用来连接笔记本电脑。

  红色方框就是FortiWiFi 60D要实现的功能。

  internal1口角色设置为WAN,目的是屏蔽掉DHCP功能,以免出事端。接口IP设置为笔记本电脑的上网网关,注意子网掩码要保持一致。

  Wan1口本身就是独立接口,这里配置OldMei-ShenZhen防火墙Wan1接口的网关,注意子网掩码保持一致。

  接口IP配置好后,就可以直接配置访问策略了,有人要问了,不要配置路由吗?FortiGate防火墙,两个接口互相访问,是不需要配置路由的。选择菜单【策略&对象】-【IPv4策略】,点击【新建】。

  根据数据流方向,我们只创建了笔记本电脑到OldMei-ShenZhen防火墙的允许访问策略。注意,这里不要启用NAT。

  由于FortiOS 6.0没有默认SSID,为了能够无线登录FortiWiFi 60D,我们需要创建一个SSID。选择菜单【WiFi与交换机控制器】-【SSID】,点击【新建】-【SSID】。

  输入接口名称,注意接口名称不是SSID名称,是防火墙上显示的虚拟接口名。由于内网接口已经拆成独立的了,所以这里的注量模式默认选择【Tunnel】,需要给无线WiFi一个网段,这里给了一个不太会有冲突的192.168.88.0网段。这里启用HTTPS,就是为了无线登录后可以登录防火墙。

  然后才是配置SSID,可以用中文,输入密钥,点击【确认】。

  SSID创建好了,还要做什么操作吗?不用,耐心等几分钟。

  再次打开无线,即然发现了刚刚创建的OldMei-互联网这个SSID,神不神奇?如果说没有的,再多等两分钟。

  用https://192.168.88.1,就可以通过无线登录OldMei-Internet防火墙了。

  验证

  现在两台防火墙都配置完了,我们需要通过实际操作来验证一下,是否笔记本电脑可以通过不同的IP地址访问总部防火墙的Wan1接口。

  将OldMei-ShenZhen防火墙的Win1口用网线连接OldMei-Internet防火墙Wan1口。笔记本电脑网卡接OldMei-Internet防火墙的1号口。

  将笔记本电脑网卡设置为100.64.10.1,网关指向100.64.100.254,需要声明一下,广东地区电信拨号后得到的就是100.64网段,这里用来模拟不可以访问回来,只能访问出去的电信IP。

  首先Ping 100.64.10.1,这个是Ping自己,没有问题Ping 100.64.10.254,这里是Ping网关,也就是能到达OldMei-Internet防火墙的1号口。

  再Ping 218.253.83.145,就是到达OldMei-ShenZhen的Wan1口的网关,也就是OldMei-Internet的Wan1口。最后Ping 218.253.83。146,到达OldMei-ShenZhen的Wan1口。

  查看路由,也是这个情况。先到达OldMei-Internet,再到达OldMei-ShenZhen。

  笔记本电脑通过网卡IP 100.64.10.1,成功的访问了“互联网”上的公网IP218.253.83.146,是不是和笔记本和防火墙通过真正的互联网访问一样一样的呢。


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/592922.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

chatgpt赋能python:Python中大小写转换的方法

Python中大小写转换的方法 在Python编程中,经常需要对文本进行大小写转换的操作。本文将介绍Python中字符串大小写转换的方法,以及如何使用它们来优化你的代码。 方法一:使用upper()和lower()方法 Python中,可以使用字符串对象…

数据可视化开发的加入让办公工作更智能!

想要实现办公自动化、智能化,就需要选择灵活、简便、易操作的数据可视化开发平台全力助力。因为这是专注于办公高效发展的开发平台,是企业级的应用低代码开发平台,用于职场中可以实现APP、CRM、OA、ERP、WMS各类管理系统开发。可以说&#xf…

ACL 2022:Graph Pre-training for AMR Parsing and Generation

Graph Pre-training for AMR Parsing and Generation 论文:https://aclanthology.org/2022.acl-long.415/ 代码:https://github.com/goodbai-nlp/AMRBART 期刊/会议:ACL 2022 摘要 抽象语义表示(AMR)以图形结构突出…

2022年天府杯全国大学生数学建模竞赛A题仪器故障智能诊断技术解题全过程文档及程序

2022年天府杯全国大学生数学建模竞赛 A题 仪器故障智能诊断技术 原题再现: 问题背景:   仪器设备故障诊断技术是一种了解和掌握机器在运行过程的状态,确定其整体或局部正常或异常,早期发现故障及其原因,并能预报故…

关于高三经典励志文章精选

关于高三经典励志文章精选 篇一 人要心有所向 曾经有幸被母校邀请回校做演讲。那一次的演讲结束后,接到学弟学妹最多的问题是:为什么我的大学生活很充实,自己也很努力,可毕业之后依旧觉得很迷茫? 我觉得关于迷茫的解答最后都能归…

git创建本地分支的应用实践

场景 我们希望能够不影响本地master分支的情况下自己单独开发一个功能,等开发完成后再合并到master分支中 操作 创建本地分支sortdev,并且切换到该分支上: git checkout -b sortdev git branch -vv 可以查看到本地master分支追踪的是远程…

【学习记录】二次曲线、二次曲面、对偶二次曲线、对偶二次曲面

一、二次曲线与对偶二次曲线 最近在看基于椭球体的物体SLAM过程中,经常涉及到椭球体的空间几何知识,这里先补充一下一些空间几何相关的基础,参考链接。 椭球体本身属于二次曲面的一种,二次曲面是对空间形状的描述,属于…

每天一道面试题之如何将字符串反转?

在java中,我们可以使用StringBuilder或者StringBuffer类的reverse()方法来实现对字符串的反转。 在讲述实现方法之前,首先我们先来介绍一下StringBuilder和StringBuffer是什么?在实际开发中,会有大量的字符串的拼接,但java中的字…

pytorch 训练EfficientnetV2

文章目录 前言一、数据摆放二、训练二、测试三、训练和测试结果总结 前言 前不久用pytorch复现了efficientnetv2的网络结构,但是后边自己一直有其他事情再做,所以训练部分的文章拖到了现在。关于Efficientnet的部分文章链接可参考如下: Effic…

一百二十、Kettle——用kettle把Hive数据同步到ClickHouse

一、目标 用kettle把hive数据同步到clickhouse,简单运行、直接全量导入数据 工具版本:kettle:8.2 Hive:3.1.2 ClickHouse21.9.5.16 二、前提 (一)kettle连上hive (二)kettle连上cli…

10. 数据结构之树

前言 之前介绍了顺序表的数据结构,包含队列,栈等,这种结构都是一对一的,但是现实生活中,经常会遇见一对多的数据结构,比如族谱,部门机构等,此时我们需要一个更复杂的数据结构来表示…

分布式系统概念和设计——(事务与并发控制)

分布式系统概念和设计 事务与并发控制 简介 事务的目标是在多个事务访问对象以及服务器面临崩溃的情况下,保证所有由服务器管理的对象始终维持在一个一致的状态上 事务是由客户定义的针对服务器对象的一组操作,组成为一个不可分割的单元,由…

Unity | HDRP高清渲染管线学习笔记:HDRP配置文件(HDRP Asset)

目录 一、Frame Settings(帧设置) 二、Volume 三、HDRP配置文件、帧设置和Volume之间的关系 四、HDRP配置文件 1.Rendering (1)Color Buffer Format(颜色缓存格式) (2)Lit Sh…

芭比Q了,现在的00后实在是太卷了.....

都说00后躺平了,但是有一说一,该卷的还是卷。 这不,前段时间我们公司来了个00后,工作都没两年,跳槽到我们公司起薪20K,都快接近我了。后来才知道人家是个卷王,从早干到晚就差搬张床到工位睡觉了…

掌握这个90%的人都不会的大屏技术,裁员、降薪与你无关

裁员话题时不时就被拉到热搜上溜几圈,一方面让各位打工人们焦虑恐惧失业风险,另一方面也能让各位从一波波裁员危机事件中吸取“经验”。例如,技术人员狂敲代码、业务人员猛冲业绩…该被裁的依旧如此,在当今你得具备点别人没有的技…

测评补单操作在美客多店铺及产品优化中的决定性角色:深度解读

许多经营美客多平台的商家有一种观念,他们认为美客多平台的规则与亚马逊有所区别。在美客多上,店铺比产品更重要,而且平台的竞争相对较小。因此,他们认为在美客多平台进行补单操作是不必要的。 然而,是否真的如此呢&a…

RF接口测试(1)

RF是做接口测试的一个非常方便的工具,我们只需要写好发送报文的脚本,就可以灵活的对接口进行测试。 做接口测试我们需要做如下工作: 1、拼接发送的报文 2、发送请求的方法 3、对结果进行判断 我们先按步骤实现,再进行RF操作的…

人效九宫格|三个提升路径,三种管理模式,让人效实时可量化

文|盖雅学苑‍‍ 本文共5202字 在经济高速发展的过去,企业更关注机遇,当经济发展速度进入新常态时,企业更关注效率。在盖雅工场发布的《企业人效管理白皮书》中的数据显示,69.9%的企业依旧将人效提升作为紧急事项&am…

Vue主界面精美模板分享

文章目录 🐒个人主页🏅Vue项目常用组件模板仓库📖前言:🎀源码如下: 🐒个人主页 🏅Vue项目常用组件模板仓库 📖前言: 本篇博客主要提供vue组件之主页面组件源…

代码级质量技术之基本框架介绍

作者 | CQT&星云团队 一、背景 代码级质量技术:顾名思义为了服务质量更好,涉及到代码层面的相关技术,特别要指出的是,代码级质量技术不单纯指代码召回技术,如静态代码扫描、单元测试等。 研究代码级质量技术主要…