实验篇(7，阿里P8架构师网络安全大厂面试题总结

通过公网IP，远程登录深圳总部防火墙。

 映射前的准备工作

大多数人一上来就开始进行映射操作，一旦不通就慌了手脚，不知道如何处理。其实，在映射之前，应该先确认防火墙到服务器之间，是否连通正常。

选择菜单【网络】-【接口】，确认一下连接服务器的防火墙接口IP，这里是10.10.10.1，等一下要以这个IP为源，去Ping服务器的IP。

点击右上角的【>_】命令标，进入命令输入窗口。

通常我们会用Ping命令测试设备之间的物理连接。Ping命令在防火墙上也可以执行。执行Ping命令之前，需要定义源IP。

输入命令execute ping-options source 10.10.10.1，表示从DMZ接口起Ping，【注意】定义的源IP地址，必须是防火墙的接口IP，不能其它IP。

输入命令execute ping 10.10.10.254，从防火墙的DMZ口Ping服务器的IP，前面环境设置中，我们已经开放了服务器的Ping，这里显示Ping通信息，表示防火墙到服务器之间是物理连通的。

虽然我们知道服务器没有关机，也没有断线，可以连通，但是，不能保证我们要访问的远程桌面是不是OK的，这里需要再确认一下，输入命令execute telnet 10.10.10.254 3389，显示Connected to 10.10.10.254， 表示端口连接成功。

看到了成功的案例，我们再看看失败的案例，这里我们定义了一个想象的源IP，即使接下来的Ping命令没有错，服务器也工作正常，仍然会报Ping不通。所以，切记，要定义防火墙接口上存上的IP。

那有人要抬杠了，那我定义内网或无线接口，而不是DMZ接口，会不会通的呢？这就要看是不是有访问策略允许了，前面我们建立了无线访问DMZ的策略，而没有建立内网接口访问DMZ的策略，所以定义无线接口IP可以Ping通，定义内网接口IP就不会Ping通。明白了吧。

再看Telnet测试，如果服务器不在线，远程桌面功能关闭了，或者端口输入错误，都不会出现Connected提示。

 映射服务器到公网IP

当我们确认防火墙到服务器之间的连接都是正常之后，就可以配置防火墙，将服务器的内网IP，映射到公网IP上了。

首先我们需要创建公网IP和内网IP一一对应的虚拟IP。选择菜单【策略&对象】-【虚拟IP】，点击【新建】。

为了让大家知道什么是对的，什么是错的，我们先建立一个标准配置，后期我们再来改成经常会弄错的配置。

虚拟IP的名称其实很重要，很多人就随手一敲，等过后就经常想不起来到底是映射那哪个IP哪个端口。这里建议虚拟IP名称加入服务器IP和端口号。

接口选项很多人会填成内网接口，连接服务器的接口。这里应该填的是宽带接口，特别是有多条宽带的时候，千万不能选择错误。

端口转发很重要，为了安全起见，只有指定的端口可以映射到公网上。

如果需要映射多台服务器，或者一台服务器的多个端口，就需要象这样建立多个虚拟IP。为了管理方便，可以创建虚拟IP组，按服务器分类。

创建虚拟IP后，下一个操作就是创建允许访问的策略。选择菜单【策略&对象】-【防火墙策略】，点击【新建】。

注意这个流入接口和流出接口，很多人会搞错。因为是允许从公网访问防火墙内部的服务器，所以流入接口应该是宽带接口。如果有多条宽带，接口要和虚拟IP里设定的公网IP对应上。

如果对远程访问地址有要求，也可以加上，例如，只允许管理员从家里的宽带远程访问公司防火墙。这里我们不做限制，源地址选择all。

目标地址，也是80%的人会选择错误，直接选择服务器的IP地址了。这里要选择的是我们刚刚建立的虚拟IP地址。

通常服务选项都是选择all，但是为了缩小被攻击的空间，我们还是建议在服务选项里选择指定的服号，即端口号。防火墙内部有创建常用的服务。

最后这个NAT选项，在大多数情况一下是不用启用的。只有在某些特殊情况下需要启用。例如，DMZ口是10.10.10.1，下面连接一台三层交换机，三层交换机划了多个VLAN，其中服务器IP网段，和DMZ口不是一个网段。这种情况下，就需要启用NAT了。点击【确认】，策略创建完成，下一步，就是看看是否能远程登录服务器的桌面了。

刚才的防火墙配置，都是管理员在家里，通过远程访问公司防火墙操作的。现在再打开远程桌面连接，输入公司防火墙公网IP。点击【连接】。

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-LUTMw6VM-1712624501187)]