Deep Insight – Tippek és trükkök Firewall termékekhez

További kérdései vannak? Kérelem beküldése

Ebben a cikkben szeretnénk áttekintést nyújtani számtalan különféle bevált gyakorlati tippről, rövidebb mélyebb merülésekről a hibakeresés, elemzés és egyéb érdekes megjegyzésekről a Firewall termékeinkkel kapcsolatban, hogy a legtöbbet hozhassa ki belőlük.

 

A parancssori felület

Ha esetleg nem tudná, eszközeink rendelkeznek egy parancssori interfésszel, amelyet SSH-n vagy konzolkábellel érhet el: Hozzáférés a Zyxel eszköz parancssori interfészéhez (SSH a puTTY-n keresztül és a konzol a TeraTerm-en keresztül)

 

De tudta, hogy a CLI-t a webböngészőből is elérheti? Kattintson a webkonzol ikonra az USG FLEX menü jobb sarkában:
mceclip0.png

mceclip1.png

 

Nem megy át VPN-forgalom? (Alhálózatok és protokollok)

Ez egy gyors tipp a VPN-en gyakran előforduló problémára: Sok ügyfelünk arról számol be nekünk, hogy a VPN-alagút, legyen az Site-To-Site vagy Client-To-Site, tökéletesen csatlakozik, de nincs forgalom átjönni – miért van ez így? Ennek gyakran két különböző oka van

  1. Az alhálózatok rosszul vannak beállítva
  2. Az internetszolgáltató blokkolja a protokollokat

#1 - Az alhálózatok rosszul vannak beállítva

Képzelje el, hogy van két webhelye, amelyeket szeretne összekapcsolni, és mindkét webhelynek ugyanaz az IP-tartománya, tegyük fel, hogy a 192.168.1.X, az alábbiak szerint:

mceclip2.png

Az ügyfelek gyakran arról számolnak be, hogy a VPN valóban csatlakozik és felépül, de nem kapnak forgalmat a VPN-en keresztül, így nem tudnak csatlakozni a számítógépről a szerverre – mi történik itt?

A helyzet az, hogy amikor létrehozunk egy felületet az USG-n, létrehozunk egy közvetlen útvonalat . A közvetlen útvonal forrásfüggetlenül a megfelelő interfészre helyezi a forgalmat, amely egy olyan IP-címre akar menni, amely megfelel az egyik tűzfal-interfész-alhálózatnak. Más szavakkal: ha a LAN1 az USG #1-en van 192.168.1.1-gyel, amikor el akarjuk érni a 192.168.1.200-at (a kiszolgáló IP-címe), akkor az átjárónk elérésekor mindig visszaküldjük az USG #1 LAN1 alhálózatába a közvetlen útvonal. Így néz ki:

mceclip4.png

A szabályt a következőképpen olvashatod: "A forrás megtekintése nélkül, ha a cél egyezik a LAN1 interfészével, csak tolja ki a LAN1-re", így a PC és a szerver közötti kapcsolat soha nem éri el a negyedik útválasztási blokkot "Site-2 -Site VPN", és így soha nem dolgozhatja fel az útválasztási algoritmus, hogy bekerüljön a VPN-be. Ennek világos tanulsága a következő: ügyeljen arra, hogy soha ne legyenek átfedő alhálózatok!

És ha igen, akkor nézze meg ezt az oktatóanyagot: A SNAT beállítása VPN-alagútban

 

2# - Az internetszolgáltató blokkolja a protokollokat

Lehetséges, hogy a VPN-csatlakozás, de a forgalom hiányának oka egyszerűen az, hogy az internetszolgáltató nem portokat, hanem protokollokat blokkol. Így a VPN létre tud hozni az 500-as UDP, 4500 UDP és/vagy 1701 UDP porton keresztül, amelyek felelősek a kézfogás cseréjéért, hogy összekapcsolják az alagutat egymással, de a VPN alagút adatainak beágyazására használt protokoll, az ESP - más néven protokoll. 50 - blokkolva van. Ha nem érintett, akkor a parancssorból megtudhatja: enter

packet-trace interface wan1 ip-proto esp

és indítsa el a VPN-kapcsolatot (Tipp: ügyeljen arra, hogy ne legyen megnyitva további alagút, és ne futhasson forgalom az alagúton keresztül, amit a klienstől elvár. Ezután indítson ping-et a távoli LAN-átjáró IP-címére. Ha azt látja, hogy kimennek a csomagok, de Ha nem tér vissza a WAN interfészhez, ez elég szilárd jele annak, hogy az internetszolgáltató valami rosszat csinál – ebben az esetben lépjen kapcsolatba velük.

 

A névadás számít! Rendezze jól tárgyait!

Az önálló USG FLEX/ATP/VPN sorozatunk nagyszerű menüstruktúrát és elrendezést kínál. Eszközeink egyik legfontosabb előnye a hihetetlen rugalmasság, amellyel a beállításokat az Ön igényei szerint módosíthatja. Ennek azonban meg kell fizetni az árat – meg kell szervezni a névadást!

Most, mivel számos egyéni megközelítés létezik a megvalósításra, egyszerűen megmutatjuk, hogyan csinálják ezt néhány kollégánk. Egy kis példa bemutatásához először navigáljon ide

Configuration > Object > Service

és nyomja meg a "Hozzáadás" gombot új bejegyzés létrehozásához:
mceclip5.png

Mivel egy szolgáltatás nevének betűvel kell kezdődnie, de többnyire a spektrumon kívüli szolgáltatásokat definiáljuk, kezdhetjük valami általános névvel: "Port", majd a Port számmal. Végül hozzáadhatjuk a protokollt is, mivel előfordulhat, hogy egy másik időpontban a megfelelő UDP Port-et egy másik alkalmazás használja.

Ha szeretné, a rendszert úgy is bővítheti, hogy egy rövid kulcsszót ad hozzá a szolgáltatás lényegéhez:
mceclip6.png

 

Hasonló megközelítést javasolunk minden más objektumhoz, különösen a címekhez – ügyeljen arra, hogy rendszerezze és megértse a felépített rendszert, és karbantartsa azt a következetesség érdekében.

 

Firmware frissítések – soha ne változtasson futó rendszeren!

Ami első olvasásra úgy tűnhet, mint az ajánlás, hogy maradjon a jelenlegi firmware-nél (nem az!), az egy szójáték, de hadd magyarázzuk tovább. Biztonsági tűzfalaink két rendszerindítási/firmware partícióval rendelkeznek:
mceclip7.png

Minden partíciónak megvan a saját adatbázisa, amely szintén két konfigurációs adatbázisból áll – ezt fontos tudni, mert ha új firmware-t szeretne alkalmazni, érdemes lehet a készenléti partíción beállítani a firmware-t. történik valami, visszagurulhatok a Futáshoz, és újra rendben leszek." - sok ügyfelünk pontosan így gondolja. De van benne egy tévedés: minden alkalommal, amikor módosítja a partíciót, az aktuális konfigurációt valóban megpróbálják áthozni és alkalmazni a másik partícióra. Ez a legtöbb esetben jól jöhet. Ha azonban valamilyen probléma észlelhető a jelenlegi konfigurációval – ami akkor fordulhat elő, ha egy nagyon régi firmware-ről a legújabbra frissít anélkül, hogy közben bármiféle lépést tenne –, akkor előfordulhat, hogy az USG hibaüzenetet okoz, újraindítja magát, és újra megpróbálja a folyamatot. . Azonban, hogy ne essen egy örök bootloop-ba, 3 próbálkozás után az eszköz visszaáll a rendszer-alapértelmezett konfigurációra!

Ha most olyan helyzetben van, hogy több 100 kilométeren keresztül távolról csatlakozik az USG-hez, és a készülék ilyen módon összeomlott, jobb, ha valaki a helyszínen tud segíteni, vagy felkészült egy hosszú útra a helyszínen.

Sokkal jobban jársz, ha felülírod a futó partíciót , mivel csak akkor lehet probléma, ha valami nem várt (például kihelyezési hiba vagy hasonló) történik – a legtöbb esetben a firmware frissítése a már eléggé jól működik. friss firmware a futó partíción.

 

Készítsen biztonsági másolatot konfigurációjáról – azonnal! Nem, nem másolja át az útválasztóra, hanem mentse el a számítógépére!

Egy másik komoly ajánlás: Készítsen rendszeresen biztonsági másolatot a konfigurációs fájlról. Ezenkívül ne csak magán az eszközön készítsen biztonsági másolatot (ami már jó lépés a helyes irányba), hanem töltse le a számítógépre

Maintenance > File Manager > Configuration File

és válassza ki a startup-config.conf fájlt, és nyomja meg a Letöltés gombot:

mceclip9.png

Most megtalálhatja a letöltött .conf fájlt, amely a Notepad vagy a Notepad++ segítségével nyitható meg:

mceclip10.png

Az ilyen jellegű rendszeres szinkronizálás segít drasztikusan csökkenteni az állásidőt, amikor valóban szükség van rá – egy problémahelyzetben.

 

Sok más tippet és trükköt kell hozzáadni a jövőben, de ez jó kiindulópontot ad néhány remélhetőleg hasznos információhoz.

NYILATKOZAT:

Tisztelt Ügyfelünk! Kérjük, vegye figyelembe, hogy gépi fordítást használunk a cikkek az Ön nyelvén való biztosításához. Nem minden szöveg fordítható le pontosan. Ha kérdései vagy eltérései vannak a lefordított változatban szereplő információk pontosságával kapcsolatban, kérjük, tekintse át az eredeti cikket itt: Eredeti verzió

A szakasz cikkei

Hasznos volt ez a cikk?
4/3 szavazó hasznosnak találta ezt
Megosztás

Hozzászólások

0 hozzászólás

Hozzászólások írásához jelentkezzen be.