笔者负责教育网络已经有将近十年了,在这十年里深深感受到教育网络的重要。平时教育教学资源和学生信息数据都保管在学校服务器上,一旦处理不当很有可能出现数据被人恶意篡改甚至丢失的严重后果。因此笔者也建议很多学校都通过IP过滤的方法将外网IP对内网资源的访问过滤掉。不过增加过滤的同时诸如学校教师回到家中访问以及相关具备权限的用户访问内网资源也出现了问题。有没有好办法可以兼顾安全和灵活访问两方面呢?答案是肯定的,今天笔者就为各位IT168读者介绍针对服务器巧设置让网络通讯穿越内网不再难。
一、内网可访问与否是个头疼问题:
正如上文所说在外部网络访问学校内网资源权限问题上网络管理员一直很迷惑,在路由交换设备或服务器上设置过滤条目禁止非内网IP访问的话,虽然可以最大限度的避免外网对学校网络的攻击,但是教师和学生在家中将无法自如的使用学校的教学资源。如果不进行任何过滤的话安全问题也会随之而来。
很多网络管理员在这种不能两全的情况下都放弃了安全而选择方便,不针对访问教学资源服务器的地址进行限制和控制,从而带来了学校网络的巨大安全危机。
二、围魏救赵曲线救国解决内网可访问与否问题:
本文介绍的解决内网访问权限问题的思路是通过建立类似映射目录,映射文件的方式实现对可访问资源的控制,总体来说这属于曲线救国的方式。例如我们在学校内部有一个重要的数据存储在A服务器上,我们通过路由交换设备或服务器,防火墙将该服务器的访问设置为总有内网IP才具备权限。这样当学校教师和学生在家时就无法访问此数据。接下来我们再建立另外一个服务器,我们称之为B。在B服务器上同样开启相关服务,不针对IP地址进行设置,学校教师和学生在家时可以访问此服务器。最后我们在B服务器上建立一个到达A服务器的“专有通道”,这个通道的帐户等信息是自动建立的而不需要访问者填写,从某种意义上讲这对于访问用户是透明的。
最终结果就是学校教师和学生在家时通过访问B服务器然后再连接A服务器获取资源,而非法用户或入侵者是无法针对A服务器进行攻击的。从而兼顾了学校安全性以及教师学生使用资源的便利性。同时我们结合时间控制等方法针对B服务器做充足的保护即可确保网络的安全。
原本只容许内网IP访问的A服务器经过我们的曲线救国后我们只要知道正确的入口就可以顺利的利用服务器B转道到A服务器的资源,这就是本文介绍的重点。在实际使用过程中FTP服务,WWW服务以及LAN服务都可以通过此方法实施。
三、实战巧设置FTP服务器让用户访问穿越内网:
下面笔者就从个人实际应用出发为各位IT168读者介绍巧设置FTP服务器让用户访问穿越内网的方法,至于其他服务我们也可以寻求解决方法,由于篇幅关系就不详细说明了。
第一步:首先我们在A服务器上通过FTP发布工具开启FTP服务,在家中可以通过FLASHFXP访问A服务器。这里假设访问用户名为softer。(如图1)
第二步:通过FTP建立工具的IP限制功能我们可以将外部网络的IP全部设置为“拒绝”,而只容许内网IP对该服务器上FTP资源的访问,确定后重新启动FTP服务后该配置即可生效。(如图2)
第三步:被BAN拒绝外网IP后家中计算机就无法顺利的访问目的A服务器了,连接时会出现“访问拒绝”的提示。
第四步:接下来我们在B服务器上用同样方法建立一个FTP,不过这时我们建立另外一个用户,名为pacino。在发布目录设置处选择通过网络建立好的A服务器上对应的资源分区。这步很关键,如果在目录选择中没有看到A服务器的资源分区的话,需要我们在设置FTP之前手工建立对该区的映射,一般来说可以通过net use命令来完成或者直接在图形化界面选择映射网络驱动器。(如图3)
第五步:在B服务器上建立了到A服务器的映射关系后,我们在家中访问B服务器的FTP站点时使用的用户名为pacino,但是在连接时会看到里面的资源都是A服务器的数据。从而实现了外网对内网资源访问的合理控制。(如图4)
除了以上应用外如果我们本身不是网络管理员而内网中又针对某资源进行了过滤禁止外部IP访问的话,我们也同样可以通过此方法将自己内网计算机当作跳板,在外网直接连接自己的内网计算机,然后再访问添加了过滤信息而禁止外部IP访问的服务器资源。
四、总结:
本文介绍的方法只是在两个FTP服务器之间建立了映射,从而很好的控制了外网对内网资源访问的合理控制。实际上这种曲线救国的方法在很多场合都可以使用,笔者希望通过本文可以达到抛砖引玉的效果,相信不少读者在实际中应用的案例所起到的作用会比本文大得多,如果这样的话也希望各位读者可以无私的和我们一起探讨。