來部落格看圖文並茂文章 補覺鳴詩
firewall
跟 switch 一樣,也是存在各種廠牌
好在沒有 switch 那麼多種
他主要的功能就是阻擋不正常流量
而現今的防火牆效能之強
從以前的L4 IP/port 阻擋
到現在 L7 都做得到 (比如說限制應用程式)
而我最早接觸到的防火牆是 juniper 的 SSG
就算拿到今日,其實也是功能強大的防火牆,只是可惜的是後繼沒有再出了
防火牆,可以分透通跟NAT mode 兩種
簡單來說,就是做不做路由
以目前防火牆越來越強的情況下
不做路由是有點可惜的
甚至因為效能越來越強,有些人也提倡把防火牆當作 core switch 使用
進一步把安全性拉高
在管理防火牆時
如何開放適當權限的規則
這會是我在管理防火牆中最困擾的一部份
因為通常系統管理有時也不知道到底該怎麼開放權限
於是就可以依據 log 看到的資訊,將權限做限縮
前面提到 GNS3
我們就以 fortigate 來做示範
規劃
防火牆在上線時
第一步規劃 interface 怎麼使用
若以剛剛提到的,將 fireware 作為 core switch 的話
我們就把每個區段的 gateway 放在防火牆本身
首先先做區域的規劃
大部分會分為 wan、lan、server
你可以選擇建立一個 L2 switch、再用 vlan 切開
或是不同區域對到 1 個或多個 interface
但我們先簡單一些,1個區域對到1個interface
首先
先在 GNS3 中把元件都拉出來
並放一台 linux client 作為 mgmt firewall 用
第一步,設定 FG IP
預設為 DHCP
預設帳密 admin 無密碼
執行指令
config system interface
edit port1
set mode static
set ip 192.168.1.1/24
end
在 linux 開機後
我們設定 IP 192.168.1.200
並連上 FG 開始做 interface 的設定
先進到 interface 設定介面
對 port 編輯
設定 alias、IP、並允許 ping 功能
並重複完成其他介面設定
在 wan 這邊,我本來就有 DHCP
並在 WAN 的介面,我們不開放任何管理功能
在來我們設定政策
來決定封包是否可以通過
在絕大份的防火牆,預設都是全檔的
我們試著全開看看
進到 policy 設定頁面
建議任何 policy 都把 log 全部打開
對於 lan 到 wan ,我們啟動 NAT 功能
接著設定 vpcs 的IP
設定完成後,檢查 PC1(lan) 是可以 ping 到 PC2(server)
相反因為政策設定問題 PC2(server) 無法 ping 到 PC1(lan)
接著再 ping 8.8.8.8 看看
是可以 work
接著我們回去看 log
如果在設定 policy 那部分有將 log 開啟
就可以看到 log 底下使用了那些服務 比如說 ping
藉由長期紀錄,就可以揪出是否有 policy 設定不當的情況
未來要將 policy 做限縮就不會因為管理者自己也不清楚,導致你看我 我看你的困境
而從防火牆的管理,最重要的可以說就是 log
也就是從這時候開始,分析 log 就變成了系統管理者最重要的一環