day7 来管理 firewall 吧 (雷)没人知道答案的问题

来部落格看图文并茂文章 补觉鸣诗

firewall
跟 switch 一样，也是存在各种厂牌

好在没有 switch 那麽多种

他主要的功能就是阻挡不正常流量

而现今的防火墙效能之强

从以前的L4 IP/port 阻挡

到现在 L7 都做得到 (比如说限制应用程序)

而我最早接触到的防火墙是 juniper 的 SSG

就算拿到今日，其实也是功能强大的防火墙，只是可惜的是後继没有再出了

防火墙，可以分透通跟NAT mode 两种

简单来说，就是做不做路由

以目前防火墙越来越强的情况下

不做路由是有点可惜的

甚至因为效能越来越强，有些人也提倡把防火墙当作 core switch 使用

进一步把安全性拉高

在管理防火墙时

如何开放适当权限的规则

这会是我在管理防火墙中最困扰的一部份

因为通常系统管理有时也不知道到底该怎麽开放权限

於是就可以依据 log 看到的资讯，将权限做限缩

前面提到 GNS3

我们就以 fortigate 来做示范

规划
防火墙在上线时

第一步规划 interface 怎麽使用

若以刚刚提到的，将 fireware 作为 core switch 的话

我们就把每个区段的 gateway 放在防火墙本身

首先先做区域的规划

大部分会分为 wan、lan、server

你可以选择建立一个 L2 switch、再用 vlan 切开

或是不同区域对到 1 个或多个 interface

但我们先简单一些，1个区域对到1个interface

首先

先在 GNS3 中把元件都拉出来

并放一台 linux client 作为 mgmt firewall 用

第一步，设定 FG IP

预设为 DHCP

预设帐密 admin 无密码
执行指令
config system interface
edit port1
set mode static
set ip 192.168.1.1/24
end
在 linux 开机後

我们设定 IP 192.168.1.200

并连上 FG 开始做 interface 的设定

先进到 interface 设定介面

对 port 编辑

设定 alias、IP、并允许 ping 功能

并重复完成其他介面设定

在 wan 这边，我本来就有 DHCP

并在 WAN 的介面，我们不开放任何管理功能

在来我们设定政策

来决定封包是否可以通过

在绝大份的防火墙，预设都是全档的

我们试着全开看看

进到 policy 设定页面

建议任何 policy 都把 log 全部打开

对於 lan 到 wan ，我们启动 NAT 功能

接着设定 vpcs 的IP

设定完成後，检查 PC1(lan) 是可以 ping 到 PC2(server)

相反因为政策设定问题 PC2(server) 无法 ping 到 PC1(lan)

接着再 ping 8.8.8.8 看看

是可以 work

接着我们回去看 log

如果在设定 policy 那部分有将 log 开启

就可以看到 log 底下使用了那些服务 比如说 ping

藉由长期纪录，就可以揪出是否有 policy 设定不当的情况

未来要将 policy 做限缩就不会因为管理者自己也不清楚，导致你看我 我看你的困境

而从防火墙的管理，最重要的可以说就是 log

也就是从这时候开始，分析 log 就变成了系统管理者最重要的一环