如果能远程管理防火墙,那么我们坐在家里就可以轻松完成工作,而不需要跑到公司或机房去了。为什么远程登录不了?其实远程登录防火墙,是要满足以下几个条件的。
首先防火墙要直接接入宽带,如果是用路由器或光猫拨号上网,防火墙的Wan口是内网网段的,那是无法远程的。宽带接口是固定IP的,那没有问题。
Wan口是PPPoE拨号的,只要得到的是公网IP地址,也没有问题,但是现在有很多ADSL拨号宽带,得到的是内网网段地址,这也是无法远程访问的。例如深圳移动ADSL宽带,拨号后得到的是172.48网段的内网地址。
而通过百度查找IP,得到的却是120.229网段的公网地址,这种拨号得到的IP地址与实际公网IP不符合的情况,电信也有的,有的电信得到的是100.64的内网地址。解决的办法就是和运营商协商,拨号后直接得到可以远程访问的公网地址。
远程访问第一条件是Wan口必须是公网IP。那么第二个条件是什么呢?必须要有默认路由,那么有的人会说了,ADSL拨号上网自动生成默认路由,固定IP上网,手动建立默认路由,这都是必须的步骤呀,怎么会没有默认路由而上网呢?这还真的有,有的人直接建立策略路由,用策略路由上网,由于策略路由指定了源IP。因此我们远程访问防火墙的时候,哎。。。来都来了,可是回不去了。
第二条件是必须有默认路由,那第条三个条件是什么?是Wan接口必须开启相应的访问协议。通常我们用浏览器登录防火墙,那么就必须启动HTTPS协议,如果我们用SSH以命令的方式远程登录,就必须启用SSH协议。
第三个条件是必须启用相应的协议。还有第四有条件吗?有的,那就是HTTPS的端口号,默认是443,在内网访问防火墙的时候用 https://192.168.1.99,就可以直接登录防火墙,但是有的人在满足了上面三个条件后,用公网地址仍然是不能访问,那是为什么呢?原因是因为政策的原因,部分宽带443端口被运营商封了,需要申请登记注册才能开通。为了减少不必要的麻烦,我们可以修改防火墙上的HTTPS的端口号,例如将443改成8443。这样就可以用新的端口号远程登录防火墙了。
总结一下远程登录防火墙的必备条件:
● 宽带接口必须是公网IP
● 必须要有默认路由
● 宽带接口必须启用相应协议,例如HTTPS
● 公网IP某些端口不能使用的情况下,更改防火墙端口号,例如443改成8443