■江西 張亮

搭建營銷場景需要兩臺服務(wù)器，作為數(shù)據(jù)存儲與后臺維護使用，營銷人員與維護人員能夠遠程登錄到該服務(wù)器?？紤]到筆者單位存在一條互聯(lián)網(wǎng)線路，平時主要提供給機關(guān)人員使用帶寬達到100MB,綜合成本等各種因素，最終選擇使用該條互聯(lián)網(wǎng)線路，供該公司遠程訪問存放在單位中心機房內(nèi)部的服務(wù)器，但考慮的安全因素，只提供該公司訪問兩臺服務(wù)器的權(quán)限，其余服務(wù)及權(quán)限均關(guān)閉。

互聯(lián)網(wǎng)遠程訪問配置準備及要求

通過互聯(lián)網(wǎng)遠程訪問指定的內(nèi)部服務(wù)器，需要采用固定地址分配上網(wǎng)的方式，不能采用PPPOE 撥號動態(tài)分配的方式設(shè)置上網(wǎng)，因筆者單位以前使用的是PPPOE賬戶撥號上網(wǎng)的方式，與電信運營商溝通后，更換成固定地址上網(wǎng)的方式，電信運營商為單位分配了一個固定地址111.75.54.172，網(wǎng)關(guān)：111.75.54.1 掩碼:255.255.255.0。

兩臺服務(wù)器分別為192.168.0.92JF_SERVER 繳費交易服務(wù)器，192.168.0.93 SH_SERVER某公司管理服務(wù)器。

其中192.168.0.92 繳費交易服務(wù)器端口443 映射到111.75.54.172的8090端口，管理服務(wù)器192.168.0.93 SH_SERVER 端口443 映射到111.75.54.172 的9090 端口,固定IP 上網(wǎng)以及服務(wù)器地址端口映射由防火墻設(shè)置完成，滿足訪問需求同時增加外網(wǎng)訪問安全。

本例中采用東軟防火墻（型號為：NetEye V3.2 FW5200）。

設(shè)置固定IP地址互聯(lián)網(wǎng)上網(wǎng)

互聯(lián)網(wǎng)訪問內(nèi)部服務(wù)器，需要采用固定IP 地址訪問方式，如果原來為固定地址則不需要更改，筆者所在分行為PPPOE 上網(wǎng)方式，向運營商申請變更為固定地址上網(wǎng)方式，固定IP 地址上網(wǎng)方式設(shè)置通過登錄東軟防火墻設(shè)置（型號為：NetEye V3.2 FW5200），具體過程如下。

1.登錄東軟防火墻網(wǎng)關(guān)訪問地址為：https://192.168.0.100/輸入用戶名及密碼。

2.登錄后選擇配置→接口，選擇需要更改上網(wǎng)方式的端口eth2（原PPPOE 上網(wǎng)撥號端口）。

3.設(shè)置端口固定IP 地址。編輯eth2 端口，模式選擇三層,獲取IP 地址方式選擇靜態(tài)IP,IP 地址列表輸入運營商分配地址及掩碼，如這里輸入117.75.54.172掩碼長度24，狀態(tài)選擇啟用。

4.設(shè)置缺省路由表。選擇配置→路由→缺省路由表，目的地址any 出口選擇eth2，填寫運營商分配的網(wǎng)關(guān)地址，這里為111.75.54.1，掩碼為24.

5.源地址映射。內(nèi)部地 址 段 為：192.168.0.1-192.168.0.254 訪問互聯(lián)網(wǎng)還需要將該源地址映射成eth2，將內(nèi)部至外部映射。選擇配置→地址轉(zhuǎn)換→源地址轉(zhuǎn)換，編輯原規(guī)則in to out,轉(zhuǎn)換后IP 地址端口修改為eth2，出口改為eth2.互聯(lián)網(wǎng)就能夠采用固定地址上網(wǎng)方式正常上網(wǎng)了。

設(shè)置服務(wù)器訪問端口映射配置

首先設(shè)置服務(wù)器內(nèi)部IP 地址，一般設(shè)置為192.168.0.* 網(wǎng)段，確定內(nèi)部服務(wù)器需要開放的服務(wù)端口。本例中設(shè)置JF_SERVE繳費交易服務(wù)器IP 地址為192.168.0.92，設(shè)置SH_SERVER 公司管理服務(wù)器IP地址為192.168.0.93。兩臺服務(wù)器均開放的端口為443 端口，443 端口即為https 服務(wù)。設(shè)定兩臺服務(wù)器外部訪問目的訪問地址111.75.54.172，端口分別對應(yīng)8090,9090。具體映射列表為：111.75.54.172：8090 → 192.168.0.92 443 ;111.75.54.172 ：9090 →192.168.0.93 443。設(shè)定目的地址轉(zhuǎn)換列表后，還需增加一條由外到內(nèi)的訪問策略，允許外部任意地址訪問兩臺服務(wù)器的443 端口服務(wù)，即HTTPS 服務(wù)。設(shè)置完畢后，外部人員即可輸入映射的外部地址及端口訪問內(nèi)部的服務(wù)器了。具體設(shè)置過程如下：

1.防火墻目的地址轉(zhuǎn)換設(shè)置。選擇配置→地址轉(zhuǎn)換→目的地址轉(zhuǎn)換。逐個輸入兩個服務(wù)器的名稱、目的地址、目的端口、轉(zhuǎn)換后IP 地址、轉(zhuǎn)換后端口。本例中目的地址輸入運營商分配的固定IP 地址，自定義的兩個目的端口8090,9090（注：一般自定義端口需要大于1024，防止與系統(tǒng)端口發(fā)生沖突），轉(zhuǎn)換后的地址為服務(wù)器內(nèi)部實際地址本例為192.168.0.92，192.168.0.93，轉(zhuǎn)換后的端口為443（HTTPS),選擇啟用即可。

2.防火墻訪問策略設(shè)置做完目的地址轉(zhuǎn)換后，還需要對內(nèi)部服務(wù)器的增加訪問策略，訪問策略主要是針對服務(wù)器具體開放的端口服務(wù)，以及能夠允許訪問的地址列表。本例中因內(nèi)部采用HTTPS 訪問的方式，對外開放的端口為443，對訪問的地址沒有要求限制，因而只需要增加一條從外部到內(nèi)部的訪問策略即可。本例東軟防火墻的設(shè)置方式為：配置→策略→訪問策略，增加一條名稱為out to in 的策略，源安全域選擇OUT,目的安全域選擇IN，添加兩個訪問地址：192.168.0.92-192.168.0.93，增加允許對象服務(wù)為HTTPS。

互聯(lián)遠程服務(wù)器訪問方式

完成了固定IP 地址設(shè)置及源地址目的地址映射后等系列操作后，可以通過外部互聯(lián)網(wǎng)登錄驗證測試，訪問方式為在瀏覽器欄輸入地址：http://111.75.54.172:80 90 或http://111.75.54.17 2:9090 分別訪問對應(yīng)的內(nèi)部服務(wù)器。