防火墙DNS功能在配置防火墙策略中的应用
随着云计算、大数据、AI等新兴技术的兴起,多活数据中心之间互相切换,保证业务100%稳定。许多数据中心都做到了多活,多活之间就导致业务地址可以在多个数据中心之间切换,今天是A地址,明天就是B地址,所以对于防火墙策略有严格限制(目标地址不能是any)的要求来说,虽然可以同时写目标地址是A和B,但是对于应用写入地址,无法随时切换,出现切换后,只能手动修改应用地址用以保证业务。
下面用一个架构图表示以前的窘态。
当内部服务器访问一个公网域名时,当我们访问一个公网地址(举例www.aaa.com)的80端口,我们一般做法,在服务器上配置hosts文件:
x.x.x.x www.aaa.com
然后在防火墙上配置策略
源地址:内部服务器
目标地址:x.x.x.x
服务端口:80
应用填写www.aaa.com,然后防火墙做源地址NAT,将内部服务器私网地址转换为公网地址。
这样做的一个麻烦事情就是,因为www.aaa.com处于外部多个数据中心,当数据中心服务地址切换,从x.x.x.x到y.y.y.y时,上述策略就会失效。没办法只能将策略修改为如下:
y.y.y.y www.aaa.com
然后在防火墙上配置策略
源地址:内部服务器
目标地址:y.y.y.y
服务端口:80
这样的问题时,因为外部数据中心随时切换,谁也不知道啥时候切换,运维小哥很头疼。防火墙可以开any,但是服务器配置hosts文件,只能一个时间解析成一个地址。所以解决上述问题的关键在于,需要根据外部DNS变化,实现对IP地址的动态解析。
当www.aaa.com不再解析为x.x.x.x时,将该域名解析为y.y.y.y
现在通过防火墙DNS中继方式实现内部服务器动态访问外部服务器。数据中心切换时,也不影响业务。
整个拓扑图如下:
即在内部服务器上填写DNS,指向防火墙,举例(8.8.8.8)。同时防火墙策略开通内部服务器访问www.aaa.com的80端口权限。
那问题是,防火墙怎么动态解析www.aaa.com呢。下面以Netscreen防火墙配置来说明这个问题:
1、第一步在防火墙配置DNS,在netscreen下,在Network > DNS > Host,将防火墙DNS指向公网。
2、在内部服务器上,将DNS指向防火墙接口地址(假设:z.z.z.z)
3、防火墙上查看解析情况:
4、在防火墙配置访问策略
注意核心观念是防火墙策略支持DNS作为对象。
Policy > Policy Elements > Addresses > Configuration
配置www.aaa.com作为目标对象的防火墙策略
5、在服务器上检查ping www.aaa.com,用于检查策略。
到目前为止,用DNS中继实现访问任意域名,同时在防火墙策略上又不开通any访问需求的方法已经介绍完毕。
核心观点是:1、防火墙支持DNS,支持DNS作为防火墙策略对象
2、防火墙支持动态解析。
目前很多防火墙支持DNS解析和中继功能。采用防火墙DNS功能,既满足策略功能需求,又满足监管要求和安全要求。
防火墙DNS功能在配置防火墙策略中的应用相关推荐
- 配置网络策略中的 NAP 条件
TechNet 库 Windows Server Windows Server 2008 R2 und Windows Server 2008 按类别提供的 Windows Server 内容 Win ...
- 防火墙 linux 端口,Linux配置防火墙端口 8080端口
1.查看防火墙状态,哪些端口开放了 /etc/init.d/iptables status 2.配置防火墙 vi /etc/sysconfig/iptables ################# ...
- linux防火墙 3306端口,Linux配置防火墙 开启80端口、3306端口的方法
1.编辑防火墙过滤设置 vi /etc/sysconfig/iptables -A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEP ...
- linux 防火墙设置ftp端口,CentOS 配置防火墙操作实例(启、停、开、闭端口)CentOS Linux-FTP/对外开放端口(接口)TomCat相关...
CentOS 配置防火墙操作实例(启.停.开.闭端口): 注:防火墙的基本操作命令: 查询防火墙状态: [root@localhost ~]# service iptables status 停止 ...
- linux防火墙配置80端口,Linux配置防火墙 开启80端口
Linux配置防火墙 开启80端口的方法 命令行输入: vi /etc/sysconfig/iptables 将 -A INPUT -m state --state NEW -m tcp -p tcp ...
- 对linux防火墙规则的优化,Linux防火墙规则优化的研究
摘要: 随着Internet在全球范围内的迅速发展和广泛应用,在给人们的生活带来方便和快捷的同时,也带来了大量的问题,这其中就包括网络信息安全问题.作为常用的处理网络安全问题的工具,防火墙作用就显得尤 ...
- 如何配置天融信NGFW4000防火墙基于长连接的访问策略
a. 假设你已经通过串口初始化了防火墙4000(配置接口IP.GUI 登录权限等),并按照以上拓扑图连接好网络.创建了相关网络对象(如有疑问请参看"防火墙4000 管理配置"和&q ...
- 华为防火墙NAT配置与策略管理
目录 NAT概述 NAT策略与安全策略 NAT处理报文的流程如下: 安全区域介绍 配置开始 区域访问规则 1.设置trust到untrust区域的NAT策略: 2.防火墙控制策略 3.防火墙配置服务器 ...
- 域控服务器怎么统一改策略,使用域组策略及脚本统一配置防火墙
使用域组策略/脚本统一配置防火墙 目前企业内网多为域环境,部分企业应用例如***检测等需要客户端统一开放某一端口比如Ping,如果企业环境较大,客户端数千个逐个设置将是浪费工作效率且不灵活的方案:所以 ...
最新文章
- 递推:Ybtoj: D.4 序列个数
- android action bar 风格,自定义ActionBar风格和样式
- BeginnersBook MongoDB 教程
- 用QEMU构建嵌入式LINUX系统
- C语言之文件读写探究(五):rewind、ftell、fseek(文件指针偏移)
- 基于 MongoDB 动态字段设计的探索 (二) 聚合操作
- 穷人怎么慢慢打破阶层?做到这2点,活出最真实的样子,别表演!
- strong和weak 细节
- 深度揭秘铁路 12306 的架构
- [转]UIViewController内存管理
- 张子轩周剑:3月21日阿里云北京峰会企业IT治理大神
- Java飞机小游戏代码详解
- 《普罗米修斯/异形前传》[BD-RMVB.720p.中英双字][2012年科幻]
- Ethernet设备中网络变压器的作用
- 记录:英文参考文献格式
- 安卓无线打印服务器,安卓 打印服务器
- 实用的配音软件推荐,确定不来看看?
- 教女朋友学会用ESP8266实现wifi杀手——有固件
- 《Adobe Illustrator CS6中文版经典教程(彩色版)》—第1课1.19节查找如何使用Illustrator的资源...
- html网页的登录状态,网页多用户同时保持登录状态 (Chrome插件)