【簡介】由于服務(wù)器的IP是內(nèi)網(wǎng)地址，所以無法從公網(wǎng)直接訪問服務(wù)器。要想遠(yuǎn)程訪問服務(wù)器，最簡單的辦法就是將服務(wù)器映射到公網(wǎng)IP，然后通過公網(wǎng)IP加端口號(hào)的方式進(jìn)行訪問。

??實(shí)驗(yàn)要求與環(huán)境

　　OldMei集團(tuán)深圳總部部署了一臺(tái)服務(wù)器，用來對所有內(nèi)網(wǎng)的設(shè)備進(jìn)行管理。為了方便管理員在任何位置都能訪問，啟用了遠(yuǎn)程桌面功能。上班時(shí)間，管理員在公司內(nèi)網(wǎng)可以通過遠(yuǎn)程桌面登錄服務(wù)器。下班時(shí)間，管理員也希望能在家中電腦遠(yuǎn)程登錄公司的服務(wù)器，進(jìn)行應(yīng)急管理。

　　根據(jù)前面三篇文章的介紹，我們已經(jīng)在桌面上創(chuàng)建了模擬遠(yuǎn)程訪問平臺(tái)。這里不再敘述。我們直接操作。

　　管理員在家里將筆記本電腦配置為家中寬帶上網(wǎng)。

　　通過公網(wǎng)IP，遠(yuǎn)程登錄深圳總部防火墻。

??映射前的準(zhǔn)備工作

　　大多數(shù)人一上來就開始進(jìn)行映射操作，一旦不通就慌了手腳，不知道如何處理。其實(shí)，在映射之前，應(yīng)該先確認(rèn)防火墻到服務(wù)器之間，是否連通正常。

　　選擇菜單【網(wǎng)絡(luò)】-【接口】，確認(rèn)一下連接服務(wù)器的防火墻接口IP，這里是10.10.10.1，等一下要以這個(gè)IP為源，去Ping服務(wù)器的IP。

　　點(diǎn)擊右上角的【>_】命令標(biāo)，進(jìn)入命令輸入窗口。

　　通常我們會(huì)用Ping命令測試設(shè)備之間的物理連接。Ping命令在防火墻上也可以執(zhí)行。執(zhí)行Ping命令之前，需要定義源IP。

　　輸入命令execute ping-options source 10.10.10.1，表示從DMZ接口起Ping，【注意】定義的源IP地址，必須是防火墻的接口IP，不能其它IP。

　　輸入命令execute ping 10.10.10.254，從防火墻的DMZ口Ping服務(wù)器的IP，前面環(huán)境設(shè)置中，我們已經(jīng)開放了服務(wù)器的Ping，這里顯示Ping通信息，表示防火墻到服務(wù)器之間是物理連通的。

　　雖然我們知道服務(wù)器沒有關(guān)機(jī)，也沒有斷線，可以連通，但是，不能保證我們要訪問的遠(yuǎn)程桌面是不是OK的，這里需要再確認(rèn)一下，輸入命令execute telnet 10.10.10.254 3389，顯示Connected to 10.10.10.254， 表示端口連接成功。

　　看到了成功的案例，我們再看看失敗的案例，這里我們定義了一個(gè)想象的源IP，即使接下來的Ping命令沒有錯(cuò)，服務(wù)器也工作正常，仍然會(huì)報(bào)Ping不通。所以，切記，要定義防火墻接口上存上的IP。

　　那有人要抬杠了，那我定義內(nèi)網(wǎng)或無線接口，而不是DMZ接口，會(huì)不會(huì)通的呢？這就要看是不是有訪問策略允許了，前面我們建立了無線訪問DMZ的策略，而沒有建立內(nèi)網(wǎng)接口訪問DMZ的策略，所以定義無線接口IP可以Ping通，定義內(nèi)網(wǎng)接口IP就不會(huì)Ping通。明白了吧。

　　再看Telnet測試，如果服務(wù)器不在線，遠(yuǎn)程桌面功能關(guān)閉了，或者端口輸入錯(cuò)誤，都不會(huì)出現(xiàn)Connected提示。

??映射服務(wù)器到公網(wǎng)IP

　　當(dāng)我們確認(rèn)防火墻到服務(wù)器之間的連接都是正常之后，就可以配置防火墻，將服務(wù)器的內(nèi)網(wǎng)IP，映射到公網(wǎng)IP上了。

　　首先我們需要?jiǎng)?chuàng)建公網(wǎng)IP和內(nèi)網(wǎng)IP一一對應(yīng)的虛擬IP。選擇菜單【策略&對象】-【虛擬IP】，點(diǎn)擊【新建】。

　　為了讓大家知道什么是對的，什么是錯(cuò)的，我們先建立一個(gè)標(biāo)準(zhǔn)配置，后期我們再來改成經(jīng)常會(huì)弄錯(cuò)的配置。

　　虛擬IP的名稱其實(shí)很重要，很多人就隨手一敲，等過后就經(jīng)常想不起來到底是映射那哪個(gè)IP哪個(gè)端口。這里建議虛擬IP名稱加入服務(wù)器IP和端口號(hào)。

　　接口選項(xiàng)很多人會(huì)填成內(nèi)網(wǎng)接口，連接服務(wù)器的接口。這里應(yīng)該填的是寬帶接口，特別是有多條寬帶的時(shí)候，千萬不能選擇錯(cuò)誤。

　　端口轉(zhuǎn)發(fā)很重要，為了安全起見，只有指定的端口可以映射到公網(wǎng)上。

　　如果需要映射多臺(tái)服務(wù)器，或者一臺(tái)服務(wù)器的多個(gè)端口，就需要象這樣建立多個(gè)虛擬IP。為了管理方便，可以創(chuàng)建虛擬IP組，按服務(wù)器分類。

　　創(chuàng)建虛擬IP后，下一個(gè)操作就是創(chuàng)建允許訪問的策略。選擇菜單【策略&對象】-【防火墻策略】，點(diǎn)擊【新建】。

　　注意這個(gè)流入接口和流出接口，很多人會(huì)搞錯(cuò)。因?yàn)槭窃试S從公網(wǎng)訪問防火墻內(nèi)部的服務(wù)器，所以流入接口應(yīng)該是寬帶接口。如果有多條寬帶，接口要和虛擬IP里設(shè)定的公網(wǎng)IP對應(yīng)上。

　　如果對遠(yuǎn)程訪問地址有要求，也可以加上，例如，只允許管理員從家里的寬帶遠(yuǎn)程訪問公司防火墻。這里我們不做限制，源地址選擇all。

　　目標(biāo)地址，也是80%的人會(huì)選擇錯(cuò)誤，直接選擇服務(wù)器的IP地址了。這里要選擇的是我們剛剛建立的虛擬IP地址。

　　通常服務(wù)選項(xiàng)都是選擇all，但是為了縮小被攻擊的空間，我們還是建議在服務(wù)選項(xiàng)里選擇指定的服號(hào)，即端口號(hào)。防火墻內(nèi)部有創(chuàng)建常用的服務(wù)。

　　最后這個(gè)NAT選項(xiàng)，在大多數(shù)情況一下是不用啟用的。只有在某些特殊情況下需要啟用。例如，DMZ口是10.10.10.1，下面連接一臺(tái)三層交換機(jī)，三層交換機(jī)劃了多個(gè)VLAN，其中服務(wù)器IP網(wǎng)段，和DMZ口不是一個(gè)網(wǎng)段。這種情況下，就需要啟用NAT了。點(diǎn)擊【確認(rèn)】，策略創(chuàng)建完成，下一步，就是看看是否能遠(yuǎn)程登錄服務(wù)器的桌面了。

　　剛才的防火墻配置，都是管理員在家里，通過遠(yuǎn)程訪問公司防火墻操作的?，F(xiàn)在再打開遠(yuǎn)程桌面連接，輸入公司防火墻公網(wǎng)IP。點(diǎn)擊【連接】。

　　當(dāng)出現(xiàn)輸入憑據(jù)的時(shí)候，就可以判斷前面所做的映射是成功的。輸入服務(wù)器的帳號(hào)和密碼，點(diǎn)擊【確定】。

　　出現(xiàn)證書提示，選擇【不再詢問我是否連接到此計(jì)算機(jī)】，點(diǎn)擊【是】。

　　恭喜你，你已經(jīng)從家里或互聯(lián)網(wǎng)的任何地方，登錄OldMei深圳總部防火墻后面的AD服務(wù)器了。

??問題答疑

　　即然是實(shí)驗(yàn)，我們不能只看到標(biāo)準(zhǔn)答案，也要看看其它的答案。下面來看看有哪些常見的問題會(huì)提出來。

【我的服務(wù)器要映射的端口太多，甚至我都不知道存在哪些端口，這個(gè)要怎么辦？】

　　這種情況只能是一個(gè)公網(wǎng)IP映射一個(gè)內(nèi)網(wǎng)IP，所有的端口都映射。但是這種情況下，你需要有多個(gè)公網(wǎng)IP才行，如果只有一個(gè)公網(wǎng)接口IP，就會(huì)把遠(yuǎn)程防火墻要用到的端口都覆蓋了。這樣就無法再遠(yuǎn)程登錄防火墻。

　　通常固定IP寬帶，運(yùn)營商都會(huì)給你多個(gè)公網(wǎng)IP，而防火墻的Wan接口上只配置了一個(gè)，那其它幾個(gè)就可以用來映射服務(wù)器了。選擇菜單【網(wǎng)絡(luò)】-【接口】，選擇wan1口，點(diǎn)擊【編輯】。

　　默認(rèn)附加IP地址是禁用的，這里啟用它，彈出窗口點(diǎn)擊【新建】。

　　輸入這么寬帶可用的其它IP地址，注冊子網(wǎng)掩碼不要輸錯(cuò)。啟用【PING】，點(diǎn)擊【確認(rèn)】。

　　這樣，在一個(gè)接口上，就有兩個(gè)IP了，接口IP用來上網(wǎng)及遠(yuǎn)程登錄防火墻，附加IP用于映射服務(wù)器?？梢约尤攵鄠€(gè)可用公網(wǎng)IP。

　　編輯虛擬IP，外部IP修改成為wan1接口的附加IP地址。關(guān)閉【端口轉(zhuǎn)發(fā)】，這樣，10.10.10.254的所有端口，都映射成218.253.83.147了。

　　從家里分別Ping總部防火墻的Wan1接口IP和附加IP，都可以Ping通。

　　用telnet測試修改后的映射端口。

　　可以telnet成功，也就是說，即使關(guān)閉了【端口轉(zhuǎn)發(fā)】，10.10.10.254的3389的端口，仍然是映射到了218.253.83.147上。其實(shí)不光是3389，所有的端口都映射了。

　　再用遠(yuǎn)程桌面連接，輸入的是附加IP地址。

　　一樣的可以遠(yuǎn)程桌面登錄。

　　在很多大型IDC會(huì)有這種情況，一個(gè)公網(wǎng)IP映射一臺(tái)服務(wù)。這樣雖然方便，但在公網(wǎng)上開通這么多端口，很容易被黑客找到漏洞而發(fā)起攻擊。需要做好服務(wù)器的安全工作。

【我不想讓我真實(shí)服務(wù)器端口暴露在公網(wǎng)，這個(gè)要怎么辦？】

　　直接將服務(wù)器映射到公網(wǎng)上，很容易受到針對性的攻擊，特別是常用的端口，為了隱藏服務(wù)器的真實(shí)端口，通常我們可以在虛擬IP設(shè)置外部服務(wù)器端口時(shí)，設(shè)置過其它端口，端口號(hào)只要不沖突就行。

　　象這樣有一真一假兩個(gè)端口的情況，在策略里是要放行哪個(gè)呢？策略里放行的是服務(wù)器的真實(shí)端口。

　　再次用遠(yuǎn)程桌面連接，這次要將公網(wǎng)地址加上端口號(hào)，可以正常連接。

　　除了我們演示的3389端口，象80、443等端口，寬帶運(yùn)營商是封閉的，同樣需要用其它端口代替，才能遠(yuǎn)程訪問。注意：防火墻本身也會(huì)用到80、443端口。

【我的寬帶是ADSL撥號(hào)寬帶，得到的IP可以遠(yuǎn)程訪問，但是IP經(jīng)常會(huì)變，可以映射服務(wù)器嗎？】

　　如果寬帶是ADSL，動(dòng)態(tài)獲取公網(wǎng)IP，虛擬IP的外問IP地址可以為0.0.0.0。非ADSL則必須指定公網(wǎng)IP。

　　通過FortiGate防火墻DDNS功能，可以將域名捆綁接口IP，即使IP變更，用域名仍然可以解析出當(dāng)前公網(wǎng)IP，這樣就可以用域名進(jìn)行遠(yuǎn)程訪問了。文章來源地址http://www.zghlxwxcb.cn/news/detail-655866.html

到了這里，關(guān)于實(shí)驗(yàn)篇(7.2) 04. 映射內(nèi)網(wǎng)服務(wù)器到公網(wǎng)IP ? 遠(yuǎn)程訪問的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！