iT邦幫忙

2021 iThome 鐵人賽

DAY 7
0
IT管理

專責踩雷系統工程師系列 第 7

day7 來管理 firewall 吧 (雷)沒人知道答案的問題

  • 分享至 

  • xImage
  •  

來部落格看圖文並茂文章 補覺鳴詩


firewall
跟 switch 一樣,也是存在各種廠牌

好在沒有 switch 那麼多種

他主要的功能就是阻擋不正常流量

而現今的防火牆效能之強

從以前的L4 IP/port 阻擋

到現在 L7 都做得到 (比如說限制應用程式)

而我最早接觸到的防火牆是 juniper 的 SSG

就算拿到今日,其實也是功能強大的防火牆,只是可惜的是後繼沒有再出了

防火牆,可以分透通跟NAT mode 兩種

簡單來說,就是做不做路由

以目前防火牆越來越強的情況下

不做路由是有點可惜的

甚至因為效能越來越強,有些人也提倡把防火牆當作 core switch 使用

進一步把安全性拉高

在管理防火牆時

如何開放適當權限的規則

這會是我在管理防火牆中最困擾的一部份

因為通常系統管理有時也不知道到底該怎麼開放權限

於是就可以依據 log 看到的資訊,將權限做限縮

前面提到 GNS3

我們就以 fortigate 來做示範

規劃
防火牆在上線時

第一步規劃 interface 怎麼使用

若以剛剛提到的,將 fireware 作為 core switch 的話

我們就把每個區段的 gateway 放在防火牆本身

首先先做區域的規劃

大部分會分為 wan、lan、server

你可以選擇建立一個 L2 switch、再用 vlan 切開

或是不同區域對到 1 個或多個 interface

但我們先簡單一些,1個區域對到1個interface

首先

先在 GNS3 中把元件都拉出來

並放一台 linux client 作為 mgmt firewall 用

第一步,設定 FG IP

預設為 DHCP

預設帳密 admin 無密碼
執行指令
config system interface
edit port1
set mode static
set ip 192.168.1.1/24
end
在 linux 開機後

我們設定 IP 192.168.1.200

並連上 FG 開始做 interface 的設定

先進到 interface 設定介面

對 port 編輯

設定 alias、IP、並允許 ping 功能

並重複完成其他介面設定



在 wan 這邊,我本來就有 DHCP

並在 WAN 的介面,我們不開放任何管理功能

在來我們設定政策

來決定封包是否可以通過

在絕大份的防火牆,預設都是全檔的

我們試著全開看看

進到 policy 設定頁面

建議任何 policy 都把 log 全部打開

對於 lan 到 wan ,我們啟動 NAT 功能


接著設定 vpcs 的IP

設定完成後,檢查 PC1(lan) 是可以 ping 到 PC2(server)

相反因為政策設定問題 PC2(server) 無法 ping 到 PC1(lan)

接著再 ping 8.8.8.8 看看

是可以 work

接著我們回去看 log

如果在設定 policy 那部分有將 log 開啟

就可以看到 log 底下使用了那些服務 比如說 ping

藉由長期紀錄,就可以揪出是否有 policy 設定不當的情況

未來要將 policy 做限縮就不會因為管理者自己也不清楚,導致你看我 我看你的困境

而從防火牆的管理,最重要的可以說就是 log

也就是從這時候開始,分析 log 就變成了系統管理者最重要的一環


上一篇
day6 初級系統工程師 (雷)管理眼花撩亂的機房,不是幸福
下一篇
day8 儲存設備 (雷)大家都不一樣呢
系列文
專責踩雷系統工程師11
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言