我在一家公司担任安全运营中心工程师。我们管理大量客户防火墙、代理等。我们每天收到的票证的一个例子可能是用户无法访问某个网站,因此我们会检查客户代理,...
在我们排除故障的过程中,并且我们已经管理所有设备,我们有一些方法来模拟用户(例如在我们的示例中,明确定义客户的代理并进行测试)。
然而不幸的是,大多数时候我们无法模拟用户,所以我们除了调用受影响的用户进行实时测试之外别无他法(例如在我们的示例中,如果客户使用透明代理?...或者如果他的路径中有 IPS...)
所以我的问题是,如果我管理所有设备,有没有办法模拟我自己,就好像我位于 FW 信任区域后面的内部一样?!,这样我就可以离线排除所有故障!
我在考虑以下事情:
1-在 FW 中打开一条规则以允许我访问内部,然后使用基于策略的路由技术,我可以转发我的流量,就好像它是内部生成的一样。 - 问题是我如何要求浏览器将所有 http 流量重定向到 FW;如果我通过显式代理进行操作,我什么也没做,不幸的是我无法在我的 PC 上为某些端口设置路由。
2- 在我的 PC 和客户 FW 之间创建 VPN,并在 VPN 内部隧道传输我的 http 流量。- 问题是我不确定这是否可以做到这一点;我需要一个比 Windows VPN 向导更高级的 VPN 客户端,并且需要在 FW 上也有相同的客户端。
3- FW 和我们的管理服务器之间已经有 VPN,所以我可以从 FW 向我的电脑发起任何流量,并在 FW 后面创建后门吗?- 问题当然是我无法在我的 FW 中安装像 ncat 这样的程序?
对我来说,我认为方法 2 是最适用的,就像使用安全远程用户的概念一样?!所以我想要您的想法和建议。
有任何想法吗
答案1
这应该可以通过浏览器代理设置来实现,即客户端防火墙上的特定端口。防火墙规则会将该流量路由到客户端站点 Web 代理服务器/软件/守护程序,而不是直接路由到 Web。此外,规则应该仅限制来自您办公室 IP 的访问,否则客户端防火墙将成为开放代理。
实际上,如果 FW 支持 PPTP(许多防火墙设备都支持该功能),这可能是最简单的方法。l2tp 需要做更多工作。此解决方案取决于客户端 FW 的品牌/型号。
利用 FW 和管理服务器之间的现有 VPN,设置到客户端网络的静态路由(通过管理服务器),然后将浏览器代理指向客户端 FW(Web 代理)的内部 IP。