iT邦幫忙

0

如何處理動態IP的變化,讓老防火牆的ACL規則能允許特定網站可被員工瀏覽?

公司的政策是辦公室個人電腦是無法連上外部Internet的,所以預設防火牆是outbound全檔,再依照特定的需求,可能允許少部分的同事可以用他們的電腦連特定的網站。例如:找人才的網站。

但問題來了,現在越來越多的網站,可能架在Public Cloud上,或是藉由CDN來傳遞網站內容,這些網站的IP是動態的,今天可能是2.2.2.2,明天可能就3.3.3.3,或可能上午一個IP下午就換了,之類的。

公司的firewall是CISCO PIX系列的,目前利用IP range的allow方式無法因應這樣情境,因此同事就會抱怨連連,因為今天可以通,明天就不通了,然後又得很頻繁的調整ACL rule。

需求:

  1. 有什麼建議的方式可以解決這樣的問題呢? 有廠商建議利用URL filtering來協同處理,不知道說,若只單純利用firewall ACL rule有辦法解決嗎?
  2. 新一代的防火牆是否有已有因應這種動態IP的解決上述問題的方式呢? 像是CICSO ASA 5525-X、Fortinet FortiGate 100E/200E之類的...

謝謝各位大大。

0
runan5678
iT邦新手 2 級 ‧ 2018-09-21 11:25:06
  1. ACL Rule 如果只能設定IP答案會是No
  2. 關鍵字會是NGFW,不過基本上會是應用URL Filtring的功能

不花錢的方案我只想到自建proxy,透過proxy做URL Filtering,例如:squid

yenct iT邦新手 5 級 ‧ 2018-09-21 16:09:46 檢舉

謝謝大大,我會朝這個方向研究一下。

跑得快 iT邦新手 5 級 ‧ 2018-09-21 16:14:07 檢舉

SQUID是蠻不錯的選擇

runan5678 iT邦新手 2 級 ‧ 2018-09-21 16:30:32 檢舉

其實這個問題我比較傾向NGFW的解決方案,proxy主要是為了節省頻寬的耗用,但現在都是https居多..為了url filtering得功能多擺個要維護的設備,並不一定好就是。花點時間測試,選個適合公司的方案吧

0
ks1217
iT邦新手 1 級 ‧ 2018-09-21 11:37:17

應該是用FQDN的方式來開放網址才是正確的吧,
例如開放 104.com 這樣就行了,

ACL是指定User端那個IP可以連上防火牆而已, 不會管對外.

看更多先前的回應...收起先前的回應...
yenct iT邦新手 5 級 ‧ 2018-09-21 15:24:32 檢舉

CISCO PIX的設定似乎無法用FQDN來開放。。。@@"

ks1217 iT邦新手 1 級 ‧ 2018-09-21 15:54:52 檢舉

那就麻煩了, 基本上大型網站不可能只有一兩個IP Range...也許你可以先新增一台Proxy Server,所有對外服務只有他可以, 內部User就只能設定使用 proxy 連外網, 說不定可以解決你的問題.

ks1217 iT邦新手 1 級 ‧ 2018-09-21 15:56:02 檢舉

另外一提, 我司使用Fortigate 100系列, 已可有FQDN.

yenct iT邦新手 5 級 ‧ 2018-09-21 16:13:29 檢舉

請問大大,Forinet的FortiGate NGFW之類的防火牆,是不是每年又得花一些license費用在那些防毒病毒碼定期更新上呢? 或是沙箱或其他分析偵測之類的授權,這每年的花費高嗎?

ks1217 iT邦新手 1 級 ‧ 2018-09-21 17:49:03 檢舉

Hi Sir, 當然嘍~ 使用者付費, 不過資安部分確實可以提升一大段喔.
如果你只是想要FQDN功能, 你也可以買國產的有支援的防火牆來做第一層防火牆,

0
mytiny
iT邦大師 1 級 ‧ 2018-09-21 12:08:22

樓主用傳統Layer4等級的防火牆想管Layer7等級的網路
只怕不是很合適,況且網路設備也不是還能用就好
科技日新月異,不懂有些老闆為何還存著能用就好的觀念

以下是小弟個人的作法,如果不成熟還請樓主見諒
想要單純用URL filter的功能,要看防火牆是否支援FQND
不過,有些防火牆的FQND不支援Wildcard放入防火牆政策
(會需要用點設定技巧克服)
但是,除此之外並不能全部解決樓主的需求
還有一個重點在於如何確定使用者身分:如下2方法
AD帳號:可能被借用或盜用,增強用FSSO
IP或MAC:容易被偽造,增強用Device identification
因此在Fortigate的設計理念裡
需要同時動用IP限制,FSSO,及設備認證(BYOD)

如果到第七層的控制部分
僅採用URL filter會發現設定仍需技巧
不然除了很麻煩外,還會增加Firewall的負擔
請加強可以配合採用DNS Filter功能
以及應用程式控制(例如關掉QUIC)
也能提高準確度及更細緻的管控

由於貴司人數不多,可以更快導入"安全織網"
可以在內網的任何連接處做好資安防護與辨識
對於類似台X電事故可以預作防範
受篇幅所限,以上為小弟個人淺見
如有不足再告知補充

yenct iT邦新手 5 級 ‧ 2018-09-21 16:09:08 檢舉

大大您提到痛點了。。。只是無奈,畢竟公司小,資管只是支援/守城的角色居多。我們只能在現有設備中想一些workaround的方式來處理遇到的問題;當然同時也找適當機會能說服老闆願意掏錢更新設備跟上現在的技術,只是後者通常需要不少時間與高不確定性。

我要發表回答

立即登入回答