实验篇(7.2) 03. 部署物理实验环境(下) 远程访问 ❀ Fortinet网络安全专家 NSE4

news/2024/11/23 16:57:29/

  【简介】考虑到有很多人初次接触FortiGate防火墙硬件,因此在讲解部署物理实验环境的时候,防火墙的初次登录内容介绍的比较多,以致于需要将文章分下、下二篇。下篇我们重点介绍服务器的配置及部署。


  防火墙的接口规划

  在部署服务器之前,我们需要对防火墙的接口如何使用有一定的规划。

  防火墙的接口分为四类:

  1、Wan接口,用来连接互联网宽带,宽带的接入方式通常有ADSL拨号、固定IP以及连接路由器等。Wan口是独立接口,一般配置两个,但是也可以使用其它接口代替。FortiGate防火墙支持多条宽带,组建SDWAN链路负载均衡。

  2、DMZ接口,用来连接服务器,也是独立接口。通常用来接入需要映射到公网上的服务器。由于是独立接口,和内网分开,即使服务器受到攻击,也不会影响内网安全。

  3、Internal接口,内网接口,用来连接内网中的交换机或电脑。通常机架式防火墙,每个内网接口都是独立口,而桌面式防火墙,内网接口都设置会设置成为交换口,即多个接口共用一个IP,象交换机一样。接口可以灵活转换组合。

  4、虚拟接口,根据需求不同,防火墙可以创建不同的虚拟接口,例如我们上篇文章建立的无线SSID,就是虚拟口。后面要学习到的SSL和IPsec,也会创建相应的虚拟接口。

  查看我们作为总部防火墙的FortiWiFi 60E接口,红色框是两个独立的宽带接口,黄色框是一个服务器接口。有人要问了,服务器接口只有一个,如果有多台服务器怎么办?解决办法很简单,如果服务器数量不多,而防火墙的接口又够,可以将多个接口组合成交换DMZ口,如果服务器数量多,则在DMZ口接一个二层交换机。

  这里的蓝色框,实际上是有两部分组成,一个是内网交换口,一个是无线SSID,也就是说,这里的无线和内网都是同一网段。

  其它接口都是虚拟接口,我们以后再了解。

  IP地址规划

  除了Wan接口的IP地址由宽带运营商提供之外,DMZ、Internal、无线等接口IP均由我们自己定义。

  防火墙的默认接口IP:桌面式防火墙内网接口192.168.1.99,DMZ接口为10.10.10.1,机架式防火墙MGMT接口192.168.1.99,内网接口192.168.100.99。

  在我们真实使用环境中,通常会用到服务器IP、内网IP和无线IP。很多网络管理人员会全部使用一个网段,例如192.168.1.0/24。好处是可以方便简单的互相通信。坏处是一旦中招,全部完蛋。

  我们推荐服务器IP、内网IP和无线IP分别使用不同的网段。例如服务器IP:10.10.0.0,内网IP:172.16.0.0,无线及其它IP:192.168.0.0。

  当我们有多个分支的时候,网段的划分就尤其重要。分支互访不能出现相同网段,不然无法正常访问。

  为了后期完成远程访问实验,我们需要提前规则所有的IP地址网段,这里举个例子,希望大家能举一反三。

  IP地址规划示例

  OldMei集团总部位于深圳,北京、上海、广州各有一家分公司,总部和三家分公司均有业务服务器需要互相访问,办公网络含有线及无线,要求四地互访不出现IP地址冲突。

  【深圳总部】

        服务器IP网段:10.10.10.0/24

        内网网段:172.16.10.0/24

        无线网段:192.168.10.0/24

  【北京分公司】

        服务器IP网段:10.10.20.0/24

        内网网段:172.16.20.0/24

        无线网段:192.168.20.0/24

  【上海分公司】

        服务器IP网段:10.10.30.0/24

        内网网段:172.16.30.0/24

        无线网段:192.168.30.0/24

  【广州分公司】

        服务器IP网段:10.10.40.0/24

        内网网段:172.16.40.0/24

        无线网段:192.168.40.0/24

  可能有人会问,深圳总部为什么是从192.168.10.0开始,而不是192.168.1.0开始,因为很多设备的默认IP就是192.168.1.0段,这样可以避免发生冲突。

  配置深圳总部防火墙接口IP

        根据规划,我们已经确认了深圳总部防火墙的服务器、内网、无线的IP地址网段,下面我们要在防火墙上实现它。

  首先看DMZ接口,计划这个接口是用来连接服务器,由于默认IP 10.10.10.1和我们的规划相同,就不用再改动了。

  再看内网和无线,这里已经把两样加在一起,组建了软件交换口,鼠标点击右键,弹出菜单显示【删除】是灰色的,无法操作。

  为什么会无法删除,是因为接口已经被使用了,移到最右边显示关联项,可以看到数字3,说明这个接口有三个地方使用了。鼠标点击数字【3】。

  选择对应的关联,点击【删除】,将所有的关联都删除。正常情况删除后页面不再显示,但有的删除页面仍会显示,忽略。

  再次右键点击弹出菜单,这次删除选择是黑色,可以操作了。注意:如果是通过内网或无线登录防火墙,删除后会退出登录。这里我们是通过Wan口远程登录防火墙,所以不会退出。

  删除软交换后,内网接口和无线SSID分开,显示内网接口是硬件交换口,多个接口共用一个IP。我们仍然可以继续删除,将每个内网口独立出来。这里选择【编辑】。

  内网硬交换接口IP设置为规划的172.16.10.1,启用HTTPS协议,方便通过内网登录防火墙,接口成员可以删除,变成独立接口,配置不同网段,给Wan、DMZ或内网使用。也可以启用【DHCP服务器】,给接入的电脑自动分配IP地址、网关和DNS。

  无线接口从软交换口释放后,IP地址也是没有的,这里选择OldMei-深圳 SSID,点击【编辑】。

  按照规划,将无线IP设置为192.168.10.1,记得要启用HTTPS,这样无线登录后就可以登录防火墙了。一般无线都是自动获取IP的,这里启用【DHCP服务器】。

  同样指定DNS服务器。

  OldMei深圳总部防火墙,服务器IP、有线IP和无线IP都有经过规划然后部署到防火墙上了,一家人整整齐齐。

  笔记本电脑启用无线,连接 OldMei-深圳。

  获得了设置的DNS,网关默认是接口IP,也就是192.168.10.1。

  可以通过无线接口IP登录防火墙。OldMei深圳总部防火墙的接口IP就全部设置好了。

  服务器的连接

  远程访问的最终目标——服务器,相信是很多人头痛的,但是为了各种实验,又不得不接受现实。

  这里用一台电脑安装了Windows Server 2022,具体安装方法,可以在博客Windows Server分类里找到,这里就不再介绍了。

  服务器配置IP地址10.10.10.254,网关是防火墙DMZ接口IP 10.10.10.1,服务器不上网,DNS指向自己。将服务器的网卡与防火墙的DMZ口用网线连接。

  从服务器上Ping防火墙DMZ接口IP,可以Ping通,说明物理连接没有问题。

  笔记本电脑无线登录OldMei-深圳,登录深圳防火墙,选择菜单【策略&对象】-【防火墙策略】,建立一条从无线访问服务器的策略。

  输入自定义的策略名称,流入接口选择无线SSID,流出接口选择DMZ,说明是从无线去访问服务的。源地址、目标地址、服务三项都选择ALL,全部开通。以后实验时会讲到这三个的作用的。注意NAT不要启用。

  在笔记本电脑上Ping防火墙DMZ接口IP,可以Ping通,说明刚才建立的允许访问的策略是生效的,再Ping服务器IP,这次并没有通,难道是哪里做错了?

  其实这是Windows Server 2022默认是禁Ping的原因。回到服务器,选择【控制面板】-【系统和安全】-【Windows Defender防火墙】,点击【高级设置】。

  在高级安全Windows Defender防火墙窗口,选择【入站规则】-【文件和打印机共享(回显请求- ICMPv4-In)】,点击最右边的属性。

  选择常规则下面的【已启用】,点击【确定】。

  回到笔记本电脑,再次尝试,可以从无线Ping通DMZ接口下的服务器IP了。

  服务器的配置

  虽然可以Ping通服务器的IP,但这是远远不够的,我们需要测试访问服务器的某些端口,例如Web服务的80端口等。但是Web服务配置相对比较复杂,还有一个更好的选择,那就是远程桌面访问,3389端口。

  点击服务器左下角视窗,弹出菜单选择【控制面板】-【系统安全】-【系统】。

  选择【高级系统设置】。

  系统属性界面选择【远程】,点选【允许远程连接到些计算机】。

  显示远程桌面将启动的提示信息,点击【确定】。

  还可以选择用户,即哪些用户可以通过远程桌面登录。

  默认Administrator用户可以通过远程桌面。点击两次【确定】,返回,远程桌面配置完成。

  笔记本电脑切换到OldMei-深圳无线SSID。

  由于前面已经建立了无线访问DMZ的策略,所以Ping服务器IP是OK的,服务器已经开放远程桌面,我们用telnet 10.10.10.254 3389来验证一下服务器是否开放了3389这个端口。

  没有报错,而是出现一个黑色窗口,说明telnet 3389端口是成功能的。

  笔记本电脑点击左下角视窗图标,选择菜单【Windows附件】下的【远程桌面连接】。

  输入服务器IP地址,点击【连接】。

  输入服务器administrator帐号和密码,为了不用每次输入,这里钩选【记住我的凭据】,点击【确定】。

  出现证书提示,钩选【不再询问我是否连接到此计算机】,点击【是】。

  成功登录远程桌面。

【总结】

  这里我们用一台笔记本、一台PC机,一台FortiWiFi 60E防火墙,一台FortiWiFi 60D防火墙,模拟出简单远程访问的整个运行环境。

  步骤看上去很多很复杂,但是你只要看懂上面的拓扑,就能理解了。

  后面我们会根据这个环境做各类远程访问实验,感举趣的可以多动动手。



http://www.ppmy.cn/news/82940.html

相关文章

javaWebssh旅游论坛系统myeclipse开发mysql数据库MVC模式java编程计算机网页设计

一、源码特点 JSP ssh旅游论坛系统是一套完善的web设计系统(系统采用ssh框架进行设计开发),对理解JSP java编程开发语言有帮助,系统具有完整的源代码和数据库,系统主要采用B/S模式 开发。开发环境为TOMCAT7.0,Mye…

Oracle强制索引

—基本语法: /index(表名,索引名)/ 缺点:如果索引名称改变,那么强制索引无法生效。 优化:采用/index(表名,(索引列的列表))/ 注意:必须把素引的前导列放在前…

TitanIDE:环境安装部署教程

随着市场需求的迅速增长和技术的不断发展,云原生不仅仅是一种技术,更是一种思想。它通过容器化、微服务化、自动化等技术手段,推动了应用程序设计和交付的转变,使应用程序的开发、测试、部署和管理变得更加高效和灵活。 随着市场需…

第六章 二叉树

目录 一、二叉树的遍历方式1.1 二叉树的前序遍历1.1.1 N 叉树的前序遍历 1.2 二叉树的中序遍历1.3 二叉树的后序遍历1.3.1 N 叉树的后序遍历 1.4 二叉树的层序遍历1.4.1 二叉树的层序遍历 II1.4.2 二叉树的右视图1.4.3 二叉树的层平均值1.4.4 N叉树的层序遍历1.4.5 在每个树行中…

android SerialPort串口通信实现,包括cpp

这里讲的是android通过JNI方式调用cpp编写的so库完成串口通信功能。 1:java层直接封装几个native方法供调用即可,比如打开串口,设置串口属性,发送内容,接收内容,关闭串口等。这样就可以通过串口进行基本的…

csrf攻击精简总结(原创)

跨站请求伪造(Cross-Site Request Forgery, CSRF)是一种在Web应用程序中常见的安全威胁。CSRF攻击者通过利用暴露给用户的身份验证凭据,欺骗用户执行自己非法操作或提交恶意请求。本文将介绍CSRF攻击的几种手法并举例说明。 1.常规CSRF攻击 …

微信小程序 vue+nodejs高校食堂外卖点餐平台系统rf6md

前端vueelementui, (1) vue引入elementui 1.使用npm安装element-ui npm i element-ui -S 2.在main.js中导入使用vue import element-ui/lib/theme-chalk/index.css //别忘了导入样式 import ElementUI from element-ui Vue.use(ElementUI) 后端:java(springbootss…

关于PCBA元器件布局的重要性

SMT贴片加工逐步往高密度、细间距的设计发展,元器件的最小间距设计,需考虑SMT厂家的经验和工艺完善程度。元器件最小间距的设计,除了保证SMT焊盘间安全距离外,还应考虑元器件的可维护性。 器件布局时保证安全间距 1、安全距离跟…