遠程訪問內部服務器

2019-12-24 00:44:01江西張亮

網絡安全和信息化 2019年11期

關鍵詞：設置

■江西張亮

搭建營銷場景需要兩臺服務器，作為數據存儲與后臺維護使用，營銷人員與維護人員能夠遠程登錄到該服務器。考慮到筆者單位存在一條互聯網線路，平時主要提供給機關人員使用帶寬達到100MB,綜合成本等各種因素，最終選擇使用該條互聯網線路，供該公司遠程訪問存放在單位中心機房內部的服務器，但考慮的安全因素，只提供該公司訪問兩臺服務器的權限，其余服務及權限均關閉。

互聯網遠程訪問配置準備及要求

通過互聯網遠程訪問指定的內部服務器，需要采用固定地址分配上網的方式，不能采用PPPOE 撥號動態分配的方式設置上網，因筆者單位以前使用的是PPPOE賬戶撥號上網的方式，與電信運營商溝通后，更換成固定地址上網的方式，電信運營商為單位分配了一個固定地址111.75.54.172，網關：111.75.54.1 掩碼:255.255.255.0。

兩臺服務器分別為192.168.0.92JF_SERVER 繳費交易服務器，192.168.0.93 SH_SERVER某公司管理服務器。

其中192.168.0.92 繳費交易服務器端口443 映射到111.75.54.172的8090端口，管理服務器192.168.0.93 SH_SERVER 端口443 映射到111.75.54.172 的9090 端口,固定IP 上網以及服務器地址端口映射由防火墻設置完成，滿足訪問需求同時增加外網訪問安全。

本例中采用東軟防火墻（型號為：NetEye V3.2 FW5200）。

設置固定IP地址互聯網上網

互聯網訪問內部服務器，需要采用固定IP 地址訪問方式，如果原來為固定地址則不需要更改，筆者所在分行為PPPOE 上網方式，向運營商申請變更為固定地址上網方式，固定IP 地址上網方式設置通過登錄東軟防火墻設置（型號為：NetEye V3.2 FW5200），具體過程如下。

1.登錄東軟防火墻網關訪問地址為：https://192.168.0.100/輸入用戶名及密碼。

2.登錄后選擇配置→接口，選擇需要更改上網方式的端口eth2（原PPPOE 上網撥號端口）。

3.設置端口固定IP 地址。編輯eth2 端口，模式選擇三層,獲取IP 地址方式選擇靜態IP,IP 地址列表輸入運營商分配地址及掩碼，如這里輸入117.75.54.172掩碼長度24，狀態選擇啟用。

4.設置缺省路由表。選擇配置→路由→缺省路由表，目的地址any 出口選擇eth2，填寫運營商分配的網關地址，這里為111.75.54.1，掩碼為24.

5.源地址映射。內部地址段為：192.168.0.1-192.168.0.254 訪問互聯網還需要將該源地址映射成eth2，將內部至外部映射。選擇配置→地址轉換→源地址轉換，編輯原規則in to out,轉換后IP 地址端口修改為eth2，出口改為eth2.互聯網就能夠采用固定地址上網方式正常上網了。

設置服務器訪問端口映射配置

首先設置服務器內部IP 地址，一般設置為192.168.0.* 網段，確定內部服務器需要開放的服務端口。本例中設置JF_SERVE繳費交易服務器IP 地址為192.168.0.92，設置SH_SERVER 公司管理服務器IP地址為192.168.0.93。兩臺服務器均開放的端口為443 端口，443 端口即為https 服務。設定兩臺服務器外部訪問目的訪問地址111.75.54.172，端口分別對應8090,9090。具體映射列表為：111.75.54.172：8090 → 192.168.0.92 443 ;111.75.54.172 ：9090 →192.168.0.93 443。設定目的地址轉換列表后，還需增加一條由外到內的訪問策略，允許外部任意地址訪問兩臺服務器的443 端口服務，即HTTPS 服務。設置完畢后，外部人員即可輸入映射的外部地址及端口訪問內部的服務器了。具體設置過程如下：

1.防火墻目的地址轉換設置。選擇配置→地址轉換→目的地址轉換。逐個輸入兩個服務器的名稱、目的地址、目的端口、轉換后IP 地址、轉換后端口。本例中目的地址輸入運營商分配的固定IP 地址，自定義的兩個目的端口8090,9090（注：一般自定義端口需要大于1024，防止與系統端口發生沖突），轉換后的地址為服務器內部實際地址本例為192.168.0.92，192.168.0.93，轉換后的端口為443（HTTPS),選擇啟用即可。

2.防火墻訪問策略設置做完目的地址轉換后，還需要對內部服務器的增加訪問策略，訪問策略主要是針對服務器具體開放的端口服務，以及能夠允許訪問的地址列表。本例中因內部采用HTTPS 訪問的方式，對外開放的端口為443，對訪問的地址沒有要求限制，因而只需要增加一條從外部到內部的訪問策略即可。本例東軟防火墻的設置方式為：配置→策略→訪問策略，增加一條名稱為out to in 的策略，源安全域選擇OUT,目的安全域選擇IN，添加兩個訪問地址：192.168.0.92-192.168.0.93，增加允許對象服務為HTTPS。

互聯遠程服務器訪問方式

完成了固定IP 地址設置及源地址目的地址映射后等系列操作后，可以通過外部互聯網登錄驗證測試，訪問方式為在瀏覽器欄輸入地址：http://111.75.54.172:80 90 或http://111.75.54.17 2:9090 分別訪問對應的內部服務器。