遠(yuǎn)程訪問(wèn)內(nèi)部服務(wù)器

■江西 張亮

搭建營(yíng)銷場(chǎng)景需要兩臺(tái)服務(wù)器，作為數(shù)據(jù)存儲(chǔ)與后臺(tái)維護(hù)使用，營(yíng)銷人員與維護(hù)人員能夠遠(yuǎn)程登錄到該服務(wù)器?？紤]到筆者單位存在一條互聯(lián)網(wǎng)線路，平時(shí)主要提供給機(jī)關(guān)人員使用帶寬達(dá)到100MB,綜合成本等各種因素，最終選擇使用該條互聯(lián)網(wǎng)線路，供該公司遠(yuǎn)程訪問(wèn)存放在單位中心機(jī)房?jī)?nèi)部的服務(wù)器，但考慮的安全因素，只提供該公司訪問(wèn)兩臺(tái)服務(wù)器的權(quán)限，其余服務(wù)及權(quán)限均關(guān)閉。

互聯(lián)網(wǎng)遠(yuǎn)程訪問(wèn)配置準(zhǔn)備及要求

通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程訪問(wèn)指定的內(nèi)部服務(wù)器，需要采用固定地址分配上網(wǎng)的方式，不能采用PPPOE 撥號(hào)動(dòng)態(tài)分配的方式設(shè)置上網(wǎng)，因筆者單位以前使用的是PPPOE賬戶撥號(hào)上網(wǎng)的方式，與電信運(yùn)營(yíng)商溝通后，更換成固定地址上網(wǎng)的方式，電信運(yùn)營(yíng)商為單位分配了一個(gè)固定地址111.75.54.172，網(wǎng)關(guān)：111.75.54.1 掩碼:255.255.255.0。

兩臺(tái)服務(wù)器分別為192.168.0.92JF_SERVER 繳費(fèi)交易服務(wù)器，192.168.0.93 SH_SERVER某公司管理服務(wù)器。

其中192.168.0.92 繳費(fèi)交易服務(wù)器端口443 映射到111.75.54.172的8090端口，管理服務(wù)器192.168.0.93 SH_SERVER 端口443 映射到111.75.54.172 的9090 端口,固定IP 上網(wǎng)以及服務(wù)器地址端口映射由防火墻設(shè)置完成，滿足訪問(wèn)需求同時(shí)增加外網(wǎng)訪問(wèn)安全。

本例中采用東軟防火墻（型號(hào)為：NetEye V3.2 FW5200）。

設(shè)置固定IP地址互聯(lián)網(wǎng)上網(wǎng)

互聯(lián)網(wǎng)訪問(wèn)內(nèi)部服務(wù)器，需要采用固定IP 地址訪問(wèn)方式，如果原來(lái)為固定地址則不需要更改，筆者所在分行為PPPOE 上網(wǎng)方式，向運(yùn)營(yíng)商申請(qǐng)變更為固定地址上網(wǎng)方式，固定IP 地址上網(wǎng)方式設(shè)置通過(guò)登錄東軟防火墻設(shè)置（型號(hào)為：NetEye V3.2 FW5200），具體過(guò)程如下。

1.登錄東軟防火墻網(wǎng)關(guān)訪問(wèn)地址為：https://192.168.0.100/輸入用戶名及密碼。

2.登錄后選擇配置→接口，選擇需要更改上網(wǎng)方式的端口eth2（原PPPOE 上網(wǎng)撥號(hào)端口）。

3.設(shè)置端口固定IP 地址。編輯eth2 端口，模式選擇三層,獲取IP 地址方式選擇靜態(tài)IP,IP 地址列表輸入運(yùn)營(yíng)商分配地址及掩碼，如這里輸入117.75.54.172掩碼長(zhǎng)度24，狀態(tài)選擇啟用。

4.設(shè)置缺省路由表。選擇配置→路由→缺省路由表，目的地址any 出口選擇eth2，填寫(xiě)運(yùn)營(yíng)商分配的網(wǎng)關(guān)地址，這里為111.75.54.1，掩碼為24.

5.源地址映射。內(nèi)部地 址 段 為：192.168.0.1-192.168.0.254 訪問(wèn)互聯(lián)網(wǎng)還需要將該源地址映射成eth2，將內(nèi)部至外部映射。選擇配置→地址轉(zhuǎn)換→源地址轉(zhuǎn)換，編輯原規(guī)則in to out,轉(zhuǎn)換后IP 地址端口修改為eth2，出口改為eth2.互聯(lián)網(wǎng)就能夠采用固定地址上網(wǎng)方式正常上網(wǎng)了。

設(shè)置服務(wù)器訪問(wèn)端口映射配置

首先設(shè)置服務(wù)器內(nèi)部IP 地址，一般設(shè)置為192.168.0.* 網(wǎng)段，確定內(nèi)部服務(wù)器需要開(kāi)放的服務(wù)端口。本例中設(shè)置JF_SERVE繳費(fèi)交易服務(wù)器IP 地址為192.168.0.92，設(shè)置SH_SERVER 公司管理服務(wù)器IP地址為192.168.0.93。兩臺(tái)服務(wù)器均開(kāi)放的端口為443 端口，443 端口即為https 服務(wù)。設(shè)定兩臺(tái)服務(wù)器外部訪問(wèn)目的訪問(wèn)地址111.75.54.172，端口分別對(duì)應(yīng)8090,9090。具體映射列表為：111.75.54.172：8090 → 192.168.0.92 443 ;111.75.54.172 ：9090 →192.168.0.93 443。設(shè)定目的地址轉(zhuǎn)換列表后，還需增加一條由外到內(nèi)的訪問(wèn)策略，允許外部任意地址訪問(wèn)兩臺(tái)服務(wù)器的443 端口服務(wù)，即HTTPS 服務(wù)。設(shè)置完畢后，外部人員即可輸入映射的外部地址及端口訪問(wèn)內(nèi)部的服務(wù)器了。具體設(shè)置過(guò)程如下：

1.防火墻目的地址轉(zhuǎn)換設(shè)置。選擇配置→地址轉(zhuǎn)換→目的地址轉(zhuǎn)換。逐個(gè)輸入兩個(gè)服務(wù)器的名稱、目的地址、目的端口、轉(zhuǎn)換后IP 地址、轉(zhuǎn)換后端口。本例中目的地址輸入運(yùn)營(yíng)商分配的固定IP 地址，自定義的兩個(gè)目的端口8090,9090（注：一般自定義端口需要大于1024，防止與系統(tǒng)端口發(fā)生沖突），轉(zhuǎn)換后的地址為服務(wù)器內(nèi)部實(shí)際地址本例為192.168.0.92，192.168.0.93，轉(zhuǎn)換后的端口為443（HTTPS),選擇啟用即可。

2.防火墻訪問(wèn)策略設(shè)置做完目的地址轉(zhuǎn)換后，還需要對(duì)內(nèi)部服務(wù)器的增加訪問(wèn)策略，訪問(wèn)策略主要是針對(duì)服務(wù)器具體開(kāi)放的端口服務(wù)，以及能夠允許訪問(wèn)的地址列表。本例中因內(nèi)部采用HTTPS 訪問(wèn)的方式，對(duì)外開(kāi)放的端口為443，對(duì)訪問(wèn)的地址沒(méi)有要求限制，因而只需要增加一條從外部到內(nèi)部的訪問(wèn)策略即可。本例東軟防火墻的設(shè)置方式為：配置→策略→訪問(wèn)策略，增加一條名稱為out to in 的策略，源安全域選擇OUT,目的安全域選擇IN，添加兩個(gè)訪問(wèn)地址：192.168.0.92-192.168.0.93，增加允許對(duì)象服務(wù)為HTTPS。

互聯(lián)遠(yuǎn)程服務(wù)器訪問(wèn)方式

完成了固定IP 地址設(shè)置及源地址目的地址映射后等系列操作后，可以通過(guò)外部互聯(lián)網(wǎng)登錄驗(yàn)證測(cè)試，訪問(wèn)方式為在瀏覽器欄輸入地址：http://111.75.54.172:80 90 或http://111.75.54.17 2:9090 分別訪問(wèn)對(duì)應(yīng)的內(nèi)部服務(wù)器。