分析web客户端访问服务端,正常的流量所需要走的地方。
比如10.1.1.1 是一台web服务器
正常需要打开 所有地址到10.1.1.1的访问
但是这远远不够
如果web服务器里面的前端页面包含了去到其他内网主机的链接,这就会对业务的正常工作造成故障。
所以弄清楚这个业务数据流的办法就是,用爬虫去完成所有页面的url链接地址,分析完成并且放行这些地址。
基于交换机接口的访问控制
要考虑多种情况的流量,而且很影响正常的办公,策略经常调整
vs
基于vlan接口的访问控制
只需要考虑来自该vlan的流量,不会有其他情况出现
需要统计公共服务器,以及用ntopng去分析去往服务器的流量
NAT导致的还是其他原因?
有一个很奇葩的情况就是,服务器到防火墙有直接的TCP连接,我之前就吃过很多亏,
在对服务器网络进行访问控制的时候,必须要放行 服务器 到 防火墙的访问权限,web服务器的工作才正常。目前尚不清楚原因。
2017年2月24日,我似乎找到了,二次NAT是导致服务器到防火墙的tcp连接的主要原因,但是这未经证实,接下来要研究的是二次NAT的原理以及导致的特别现象
二次nat原理我找了半天,没有找到思科文档对它的详细解释,最后通过了RFC 2663找到了
二次nat原理的详细介绍(这里有一篇简单的翻译):
两次NAT是NAT的一个变种,它同时修改源和目的地址。这与前面的传统NAT和双向NAT(BiDirectional)都不同,前面的两种NAT只翻译源或者目的地址(端口)。
不得不说,有些时候原理的东西去看看RFC更适合,而不是思科文档。
2017年3月6日
找到二次NAT的应用场景
原因: 当需要去回流的时候需启用回流允许命令
same-security-traffic permit intra-interface
内网主机去访问防火墙外网接口地址的时候需要使用二次NAT
ASA防火墙tcp连接标志
ASA防火墙可以通过下面命令去看到自己跟其他人的连接
show conn protocol tcp all | in 172.16.1.253
没有评论:
发表评论