我们目前有一个SonicWall防火墙,在Facebook和Bebo这样的阻塞社交网站方面做得相当不错。 我们遇到的问题是有时我们需要暂时禁用防火墙阻止列表,以便我们可以在Facebook上更新公司的页面。 每当我们这样做的时候,在工作时间里都会看到一大堆用户login到他们的Facebook页面。 所以我们需要一种在防火墙closures时阻止访问的方法。 为了争辩,我们有两个用户组 – “pipe理”和“标准用户”。 “标准用户”将无法访问Facebook,但“pipe理”用户将有权访问。 也许像一个主机文件redirect非pipe理用户。 这可能可以通过组策略实施,该策略将调用bat文件来复制主机文件,具体取决于用户是否pipe理。 我很想听听有关Windows / AD环境下最佳做法的build议。 是的,我知道我们在这里做的是用IT解决人力资源问题。 但这是pipe理层需要的方式,而且我们有很多半自治的分支机构,我们没有太多的日常联系,所以自动执行这个方法是最好的方法。
我的路由知识有点生疏。 我有一个像这样连接的光纤互联网连接: 受pipe理的交换机也通过ISP的方框为透明LAN服务分配VLANS。 我认为这个问题多半是无关紧要的,所以我把它从图表中排除了。 我有两个/ 29个子网(使用来自RFC5735的示例地址): 192.0.2.144/29(.144-151) – 主要的。 我们的网关是192.0.2.145,防火墙的主地址是192.0.2.146。 203.0.113.88/29(.88-.95) – 第二个子网,没有网关,并由ISP路由到第一个(我认为,这是我感到困惑的部分)。 防火墙具有添加到其WAN接口的两个子网的所有可用IP地址,并且对各种服务器执行NAT。 现在我想在自己的防火墙之外添加一个独立的防火墙networking,并且需要自己的公有IP地址,如下所示: 我现在还没有使用203.0.113.94,所以我打算从现有的防火墙上的附加地址中删除它,并把它交给新的防火墙…但是这样行不通? 它的子网上没有网关。 或者我可以重新排列东西,并给它192.0.2.144/29地址之一。 这会正常工作,让两个networking正常工作? 有一个更好的方法吗? 我可以将新的防火墙附加到现有的防火墙,如果它仍然可以得到一个真正的公共IP,而不是NAT – 但我不知道是否有任何方式与守卫防火墙做到这一点。 这可能需要进一步的子网划分,而且我已经几乎没有IP地址了。 新的networking将成为我们的testing实验室(所以我终于可以停止testing生产中的东西!)。 我不希望两个networking能够互相对话,因为它们将具有相同的内部子网和生产机器的克隆。 我需要新的防火墙有一个公共IP地址,没有任何NAT。
我一直在build立规则集来检测和阻止DNS放大攻击。 我卡住了,希望能在这里find帮助。 我会在这里发布我所拥有的(bash脚本,涉及DNS的部分): IPTABLES='/sbin/iptables -v' SERVERIP=abcd echo '################ Previously initiated and accepted exchanges bypass rule checking #' $IPTABLES –append INPUT -m state –state ESTABLISHED,RELATED –jump ACCEPT echo '################################################ Allow unlimited outbound traffic #' $IPTABLES –append OUTPUT -m state –state NEW,ESTABLISHED,RELATED –jump ACCEPT echo '################################################################## Rules for DNS #' # DIG ANY ISC.ORG attack preventer. # […]
大型企业的边界拓扑http://www.freeimagehosting.net/uploads/d24ede3b2f.png 假设你有一个小型互联网存在的企业,其forms是DNS服务器,networking服务器和VPN服务器,都在DMZ上(在这种情况下,一对不可见的交换机直接连接到防火墙) 。 企业networking内部也有2万个节点,分布在很多build筑物上,有很多路由器和vlan等。 企业充满了非常重要,非常忙碌的人们,他们喜欢能够毫不拖延地到Facebook上来, DMZ具有静态对称NAT,其他人都可以从为此而预留的池中共享出站IP地址。 边界是一对相互连接的路由器,防火墙通过一对千兆以太网交换机,通过城域以太网连接到ISP,并通过城域以太网连接到ISP。 边界路由器通过eBGP与ISP交换路由,通过iBGP交换路由。 内部networking具有到networking中任意点的多种路由,并使用dynamic路由协议来pipe理故障转移和路由分配。 防火墙通过数据中心的一对路由器连接到企业核心。 我的问题是这样的: 静态路由或dynamic路由协议? 静态路由: 每组设备都有静态路由,并使用一些机制(如VRRP或HSRP)来pipe理L2 < – > L3故障切换。 防火墙将指向企业默认路由的边界路由器的虚拟地址,内部路由器将指向防火墙的虚拟地址作为默认路由,防火墙将指向内部路由器的虚拟地址为10.0 .0.0 / 8。 dynamic路由: 在防火墙和边界路由器之间使用iBGP,在防火墙和内部路由器之间使用OSPF / EIGRP。 我看到人们比静态路由模型更经常使用静态路由模型。 我的问题是 – 为什么? 这种拓扑的最佳实践是什么? 或者这只是一个宗教问题?
首先,我明白在数据中心级别上有DDoS防护更好。 但是,我们的区议会还没有准备好提供高质量的保护。 所以我们考虑使用一些外部的DDoS保护服务。 我GOOGLE了几个,像(对不起,不能发布多个链接): http://blockdos.net/ http://www.armoraid.com/ http://www.blacklotus.net/ http://ddosprotection.com/ http://www.level3.com/index.cfm?pageID = 555 总的想法是,你正在改变DNS指向DDoS保护服务。 他们为您过滤stream量,然后将其redirect到您的后端。 所以,它增加了一些小的时间开销,但让你的网站在DDoS下仍然活着。 但在网站上写东西真的很容易。 我的问题是:有没有人有这样的服务经验? 它真的帮助反对DDoS?
我们有一个小型的商务办公室,但由于PCI合规性,我们需要把这个分成两个互联网(一个“兼容”,一个用于其他设备)。 我们目前有一个Draytek调制解调器/湾负载平衡器也具有防火墙,但这是非常基本的,不支持每个VLAN的单独的安全策略。 因此,我刚刚购买了一台ASA 5505,想要设置一些指标: 虚拟局域网: 外面(draytek) InsidePci(我们的安全区域,包含一个Windows域控制器/ dhcp / etc) 里面(只是一个普通的networking,只有互联网接入,没有连接到VLAN 我的问题: 目前一切都在一个子网192.168.2.x. draytek有一个静态的IP,其他的都是从我们的Windows DHCP服务器分配一个IP。 由于这个windows服务器将在'insidepci'networking内,我打算让这个vlan继续使用它,并且使用来自ASA的DHCP的常规“内部”networking。 那可能吗? 我是否需要将draytek放在它自己的子网上(因此只需要draytek就是192.168.3.x),因为看起来我不能在相同的范围内将IP分配给两个不同的VLAN。 从看在线指南之一,似乎我需要一个内部路由器? 我没有意识到这一点,我希望我可以只分配一个开关到'内部'VLAN和一个单独的开关到'insidepci'的VLAN? 这些VLAN之间不需要通信,但都需要能够访问“外部”(draytek网关)
在边界防火墙中插入防火墙以允许Windows更新的最佳方法是什么? 据我所知,Windows更新站点托pipe在内容分发networking上,每隔30秒就可能更改IP地址。 如果我用校园网DNS的静态分配来“毒化”我们的校园DNS,那么最终我会指向那些实际上没有托pipe内容的网站。 是否有任何承载更新内容的IP地址保证永不改变? 从更一般的意义上讲,人们如何configuration防火墙来允许访问托pipe在IP地址不断变化的CDN上的资源? 防火墙只是看到/从数据包,并不一定知道什么URL(如果https)的请求,所以防火墙没有一个直接的方式来看到这个数据包是去的赛门铁克病毒定义更新站点而那个人正在看世界杯stream。 而且,在我的情况下,我没有能力在networking上的系统上指定一个特定的configuration。 啊,在大学工作的乐趣…
我们的数据中心有一个pfSense防火墙。 默认情况下,pfSense只存储500K的防火墙过滤日志,这对我们来说只有几个小时。 我怎样才能增加这个? pfSense使用阻塞而不是通常的BSD newsyslog。 我只需要日志来debugging防火墙规则,而不是遵从规则,而且防火墙有100GB的备用磁盘空间,所以我宁愿在防火墙本身上设置日志,而不是build立一个syslog服务器。
在伊朗,我们有一个持续的政府问题。 阻止和操纵各种networking协议。 我正在寻找一个工具,框架或平台来帮助我们分析和报告任何这些活动。 如果框架让我们编写自定义脚本,那将是理想的。 我们需要检测的示例问题是: SSL / TLS阻止 DNS中毒或欺骗 PPTP / IPSec / OpenVPN阻止 减慢某些协议或站点 阻止SPDY,VoIP,OCSP等其他协议 被Facebook,Skype,微信等封锁的网站和服务 在有些政治紧张的时候,https等正常协议甚至被阻止 还可以通过ping或其他testing检查互联网连接质量 我想testing这些活动的一些需要一个客户端/服务器解决scheme是好的。 显然,我更喜欢开放源代码库,因为它可以让我们用新的testing或样本来扩展它的function。
我们的其中一项服务是在英国境内的200名员工专用的外联网。 我们看到来自中国,俄罗斯,乌克兰和尼日利亚的大量login尝试。 我有大量的IP范围,我想阻止。 有成千上万的条目。 (为了这个讨论的目的,我没有兴趣开放一个关于阻止整个国家是非的辩论,这是我的要求 – 我需要完成它。) 我写了一个Powershell脚本,每24小时更新一次列表,并将填充Windows防火墙与规则。 但是,我很担心激活它。 我的问题是,Windows防火墙在以这种方式处理数千个阻止规则方面的效率如何? 比如说,如果我的脚本包含了10000个块规则(甚至是10万个),它会有效地工作还是停下来? 虽然我想尽可能保护我的Web服务器,但我需要确保Web服务器能够快速处理请求。 UPDATE 我决定抓住机会运行PowerShell脚本。 我已经去了一个稍微不同的技术。 我创build了一个规则,而不是创build6700个规则(覆盖数百万个IP),并将所有错误的IP范围推送到所有远程地址部分的母亲。 结果 :完美地工作。 阻挡大部分中国,俄罗斯,台湾,乌克兰和尼日利亚,这是我们入侵黑客攻击最多的地方。 性能没有明显的差异。 我们似乎在没有任何改变的情况下提供相同数量的请求。 一个用于Windows防火墙。 它似乎能够非常有效地处理数千个IP块。 更新2 – 反馈 脚本已经存在了好几天了,所以我想你会很感激一些反馈。 我将脚本设置为每天运行的计划作业,使用新的IP范围更新防火墙,并从CSV文件读入。 这一切都完美,防火墙function非常快。 但有一个警告的字眼:脚本本身需要约。 运行4-5分钟,在这段时间内,CPU占用最大,Web请求极其缓慢。 因此,我build议在晚上或在不期待重负载的维护时段内运行脚本。 对我来说,解决scheme是在每个负载平衡服务器上的不同时间运行脚本,以便在执行过程中不会降低性能。 这是脚本: $csv = Import-Csv -Path 'C:\Scripts\IP Block List.csv' $data = @() $csv | ForEach-Object { $data += $_.From + "-" + $_.To […]