需求:客户上线一台蜜罐机器放在网络中,希望别人可以访问它,但它不能访问别人。
(0)
最佳答案
需要配置单向acl,可以采购防火墙解决
(0)
你说的这是两种解决方案?
是的
acl是基于包过滤的,而非基于会话。
比如说,你用 服务器 去ping 蜜罐,出向流量echo-request是允许了,但蜜罐需要回包给服务器:echo-replay,这个回包就会被当作出向流量被acl3000 deny ip source给拒绝掉了。
所以想要实现单向访问,有2中方法:
1.需要明确蜜罐回包给服务器的3元素(源目的IP、端口号),再根据3元素设置出向ACL进行放行,如:
服务器蜜罐,蜜罐回服务器的报文为icmp echo-replay,就增加一条acl规则
ru xx permit icmp source 蜜罐 destination 服务器 icmp-type echo-reply
当然,这种方法需要明确回包的3元素。
2.需要借助防火墙基于会话的安全策略
服务器ping蜜罐,匹配安全策略放行,并记录会话,等蜜罐回包时匹配会话,放行;
蜜罐ping服务器,安全策略拒绝。
(0)
在连接密码的网关处:
1、以蜜罐为目的地址
2、packet-filter调用acl在outbound方向即可
如果这种方式事先不了,只能使用防火墙来隔离
(1)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
是的