Cara mensimulasikan diri sendiri seolah-olah Anda berada secara internal di belakang zona tepercaya seorang FW

2

Saya bekerja di insinyur pusat operasional keamanan di satu perusahaan. Kami mengelola banyak FW pelanggan, proksi, dll. Contoh tiket harian kami bisa jadi pengguna tidak dapat mengakses beberapa situs, jadi kami memeriksa proksi pelanggan, ...

Selama pemecahan masalah kami dan karena kami sudah mengelola semua perangkat, kami memiliki beberapa cara untuk mensimulasikan pengguna (misalnya dalam contoh kami, menentukan proxy pelanggan secara eksplisit dan menguji).

Namun dan sayangnya Kami tidak dapat mensimulasikan sebagian besar pengguna, jadi kami tidak memiliki cara selain memanggil pengguna yang terkena dampak untuk tes langsung (misalnya dalam contoh kami, jika pelanggan menggunakan proxy transparan? ... atau jika ia memiliki IPS di jalannya ...)

Jadi pertanyaan saya adalah apakah saya mengelola semua perangkat, apakah ada cara untuk mensimulasikan diri saya seolah-olah saya berada secara internal di belakang zona kepercayaan FW?!, Sehingga saya dapat memecahkan masalah semua tiket secara offline!

Saya memikirkan hal berikut:

1- Buka aturan di FW untuk memungkinkan saya mengakses di dalam, kemudian menggunakan teknik routing berdasarkan kebijakan, saya dapat meneruskan lalu lintas saya seolah-olah itu dihasilkan secara internal. - Masalahnya adalah bagaimana saya bisa meminta browser untuk mengalihkan semua lalu lintas http misalnya ke FW; jika saya membuatnya melalui proxy eksplisit saya tidak melakukan apa-apa, dan sayangnya saya tidak dapat menetapkan rute di PC saya untuk port tertentu.

2- Buat VPN antara PC saya dan FW pelanggan, dan tunnel traffic http saya di dalam VPN. - Masalahnya adalah saya tidak yakin apakah ini bisa dilakukan; saya butuh klien VPN yang lebih maju daripada wizard Windows VPN, dan perlu yang sama di FW.

3 - Sudah ada VPN antara FW dan server manajemen kami, jadi dapatkah saya memulai lalu lintas dari FW ke pc saya, dan membuat seperti pintu belakang di belakang FW. - Masalahnya tentu saja saya tidak bisa menginstal seperti ncat di FW saya?

Bagi saya, saya akan mengatakan pendekatan 2 adalah yang paling berlaku, seperti menggunakan konsep pengguna jarak jauh yang aman ?! Jadi saya ingin ide dan saran Anda.

Ada ide

security vpn proxy troubleshooting firewall AOS
sumber
2
Mata kabur dari kurang tidur ... Aku sangat senang aku membaca kembali judul dan mengkonfirmasi bahwa kata ketiga tidak memiliki 't' kedua sebelum datang dengan, haruskah kita mengatakan 'kreatif', jawaban.
Karan

Jawaban:

0

  1. Ini harus dapat dilakukan dengan pengaturan proxy browser, ke port tertentu pada FW klien. Aturan firewall merutekan lalu lintas itu ke server / perangkat lunak / daemon proxy situs web klien, BUKAN ke web secara langsung. Selain itu, aturan tersebut harus membatasi akses hanya dari IP kantor Anda, jika FW klien menjadi proxy terbuka.

  2. Sebenarnya ini mungkin cara termudah jika FW mendukung PPTP, yang didukung oleh banyak perangkat firewall. l2tp akan membutuhkan lebih banyak pekerjaan. Solusi ini tergantung pada merek / model FW di situs klien.

  3. Dengan VPN yang ada antara FW dan server manajemen, atur rute statis ke jaringan klien (melalui server manajemen), lalu arahkan proxy browser ke IP internal FW (proxy web) klien.

John Siu
sumber