来部落格看图文并茂文章 补觉鸣诗
firewall
跟 switch 一样,也是存在各种厂牌
好在没有 switch 那麽多种
他主要的功能就是阻挡不正常流量
而现今的防火墙效能之强
从以前的L4 IP/port 阻挡
到现在 L7 都做得到 (比如说限制应用程序)
而我最早接触到的防火墙是 juniper 的 SSG
就算拿到今日,其实也是功能强大的防火墙,只是可惜的是後继没有再出了
防火墙,可以分透通跟NAT mode 两种
简单来说,就是做不做路由
以目前防火墙越来越强的情况下
不做路由是有点可惜的
甚至因为效能越来越强,有些人也提倡把防火墙当作 core switch 使用
进一步把安全性拉高
在管理防火墙时
如何开放适当权限的规则
这会是我在管理防火墙中最困扰的一部份
因为通常系统管理有时也不知道到底该怎麽开放权限
於是就可以依据 log 看到的资讯,将权限做限缩
前面提到 GNS3
我们就以 fortigate 来做示范
规划
防火墙在上线时
第一步规划 interface 怎麽使用
若以刚刚提到的,将 fireware 作为 core switch 的话
我们就把每个区段的 gateway 放在防火墙本身
首先先做区域的规划
大部分会分为 wan、lan、server
你可以选择建立一个 L2 switch、再用 vlan 切开
或是不同区域对到 1 个或多个 interface
但我们先简单一些,1个区域对到1个interface
首先
先在 GNS3 中把元件都拉出来
并放一台 linux client 作为 mgmt firewall 用
第一步,设定 FG IP
预设为 DHCP
预设帐密 admin 无密码
执行指令
config system interface
edit port1
set mode static
set ip 192.168.1.1/24
end
在 linux 开机後
我们设定 IP 192.168.1.200
并连上 FG 开始做 interface 的设定
先进到 interface 设定介面
对 port 编辑
设定 alias、IP、并允许 ping 功能
并重复完成其他介面设定
在 wan 这边,我本来就有 DHCP
并在 WAN 的介面,我们不开放任何管理功能
在来我们设定政策
来决定封包是否可以通过
在绝大份的防火墙,预设都是全档的
我们试着全开看看
进到 policy 设定页面
建议任何 policy 都把 log 全部打开
对於 lan 到 wan ,我们启动 NAT 功能
接着设定 vpcs 的IP
设定完成後,检查 PC1(lan) 是可以 ping 到 PC2(server)
相反因为政策设定问题 PC2(server) 无法 ping 到 PC1(lan)
接着再 ping 8.8.8.8 看看
是可以 work
接着我们回去看 log
如果在设定 policy 那部分有将 log 开启
就可以看到 log 底下使用了那些服务 比如说 ping
藉由长期纪录,就可以揪出是否有 policy 设定不当的情况
未来要将 policy 做限缩就不会因为管理者自己也不清楚,导致你看我 我看你的困境
而从防火墙的管理,最重要的可以说就是 log
也就是从这时候开始,分析 log 就变成了系统管理者最重要的一环
在多文字档中搜寻关键字 第一层for回圈使用了os.walk()递回取得路径下的所有档案 第二层fo...
接下来的东西越来越复杂了,不知道要怎麽打才会让人比较好理解,希望大家可以给我点建议ಥ-ಥ,有错还请严...
昨天已经有完成了在本地端新增了专案资料夹,於是我们开始新增 index.html 让我们的首页出生吧...
找到股价站上 20 周线只是第一步,不是一站上就会开始飙升,我还会搭配价位突破「箱型区间」,这个突破...
前言 昨天聊到了 TP 告知 main Thread 任务完成的方法。今天说说 TP 本身在运行甚麽...