防火牆政策尋找連線符合允許和拒絕的規則



我們防火牆就兩個區域,一個是LAN,一個是DMZ。
我們想要達到的目的為:

LAN TO DMZ:WIN7可以存取PRIVATE_WEB和PUBLIC_WEB。
LAN TO DMZ:XP只能存取PUBLIC_WEB。

如果是新建的防火牆,每個人大概五分鐘可以設定完成,可惜的是大部份的防火牆都不是新建的而是接前手或是廠商的,那原本的設定規則一但累積下去,在沒有定期整理的情況下,一、兩百條是家常便飯。



我們這台是XP,但是可以存取PRIVATE_WEB,表示設定和安全規範已經產生了落差。



原本防火牆就有設定好這五條,你當然可以說,我用邏輯判斷第四條設定有問題,但是如果有一百多條呢?你這時候很難判斷,或是需要花費大量的時間,所以我們需要靠機器輔助,就是他到底是哪一條允許才可以存取資源的,記住防火牆預設是正向表列,就是最後一條一定是隱藏的拒絕全部。




我們進LOG看到原來是ID5政策允許的,這時候在去判斷邏輯就方便多了。



雖然ID3已經設定XP不能存取PRIVATE_WEB,但因為防火牆政策是採取TOP-DOWN的判斷方式,先進先出,所以我們在ID5政策已經允許XP的HTTP連線的,你之後在拒絕永遠不可能符合到這條條件,這是防火牆設定順序錯誤,我們把ID3和ID5政策對調順序。




改完設定之後果然XP不能存取PRIVATE_WEB,理由是違反ID3政策。

結論:
如果防火牆政策少的時候可以透過肉眼邏輯判斷問題,但是一多的時候就很難判斷,因此從LOG來看說是哪一條允許或拒絕的才是比較正確並且節省時間的做法,而且防火牆也要定期去檢視政策,會不會已經有不合乎安全規範但還是設定在上面,比方說廠商要連近來看所以暫時開放,但使用完後卻沒有拿掉政策之類的。

留言

這個網誌中的熱門文章

FortiGate 網路基本設定

Windows AD 架設

電腦的路由表設定