中國同事上不了某個網站常常一通電話打來說網路壞了
但從來不會懷疑是網路長城防火牆搞鬼
畢竟他們接受的教育讓他們認為黨是對的
不會質疑、也不可能了解黨不想給他們看什麼資訊
中國防火牆能做到的事,公司的網管其實也可以做到
就看公司政策、或是資訊人員怎麼設定
防火牆的作用就是阻止未經許可的連線,允許合規的連線
防火牆預設Wan to Lan是全部禁止,Lan to Wan是全部開放
因此Lan to Wan的規則是要小心設定的
研討會中聽到很多中小企業買了防火牆後沒有做細部設定導致被駭客入侵的案例
或是沒有續約,沒有更新韌體,導致駭客從漏洞入侵也有所聞
因此做為第一道防線的防火牆務必要好好管理
而現在的NGFW如果玩得好
真的可以和長城防火牆一樣嚴格
現在就來以NGFW說明如何做到和長城防火牆一樣阻擋可疑網站
如此就能對想在公司壞壞的同仁說
阻止方式一:IP黑名單
我們以Fortigate來說明,在LAN to WAN的政策設定禁止進入某個IP
就可以阻擋同仁上到與該網頁相關的IP
例如,我們如果知道google的IP並加以禁止,同仁也就無法上google
在流量表中也可以看到阻擋了多少相關流量
阻止方式二:內容審查
例如禁止瀏覽含有某色色網站字元的內容
使用Fortigate的可以使用網頁內容過濾:Technical Note: How to enable Keyword Blocking using Content Filter
但這種方式在Fortigate過濾成功率很低
禁IP還是比較好的方法
阻止方式三:DNS劫持
DNS劫持是中國防火牆最常用的手法
我們輸入網址後,網址會傳送到ISP的DNS解析
從下圖可以看到,電腦出去後會先經過DNS服務器解析到某色色網站的IP位址
用Shodan查一下就知道該網站的主機商、有開的服務是什麼:https://www.shodan.io/host/185.88.181.10
有些網站是虛擬IP,例如公司官網的代管
例如下面某公司官網IP就會連到遠振的cpanel
某色色網站用的是實體IP
封鎖後就不能色色
如果公司自架DNS
可以對DNS暫存進行竄改,不讓DNS導向被管制的網站
也可攔截公司內發送到外部網站的DNS請求
以上幾種方法是公司內我們可以做的手段
下面第四個方法是中國的究極大法
阻止方式四:沒有備案的網站直接撤掉
在中國的網站必需進行備案才可以讓大家連上
沒有備案的網站,公安可以請負責人限期改善
或是乾脆直接把負責人抓走
我們公司在中國的網站就曾被提醒需要在首頁放上審查字號
以上就是針對封鎖網站所做的介紹
以及施作方法
供同業參考