是否可以将防火墙规则应用于 LAN 到 LAN 数据包?
想象一下以下架构:
为了获得有效的 IP,客户端必须使用 802.1x 针对 pfSense 的 radius 服务器对 PfSense LAN 网络进行身份验证。
此后,Client1 和 Client2 之间发送的所有数据包都将由 PfSense 防火墙管理和过滤。
这种架构可行吗?有什么注意事项吗?
答案1
如果是第 2 层交换机,IP 就不那么重要了,并且存在基于 MAC 地址的流量。除非目的地位于同一网段(对于第 3 层视图,一旦它位于同一子网 - 例如 192.168.0.0/24 - 192.168.0.1 到 192.168.0.254),否则将使用 ARP 协议(如果不知道目的地的 MAC),然后直接使用 MAC 地址和“第 2 层寻址”进行通信。
在这种情况下,“本地”流量(客户端 1 和客户端 2 之间)无法到达 pfSense,因此无法实现这种过滤......
到达 pfSense 的流量(在没有特殊路由的情况下)是“其他”流量,因此子网之外的所有其他流量通常由“默认”路由记录覆盖。
无论如何,交换机上的 802.1x 支持不是“基本”功能,因此如果有这种支持,则很可能也支持 VLAN - 802.1q。在这种情况下,您可以在身份验证后(基于来自 radius 的回复)将客户端分配到单独的 VLAN,因此从逻辑上讲,网络段上将只有一个客户端和 pfSense 接口,或者换句话说,您将在逻辑上分割网络,并且不会有 2 个客户端位于同一个 L2 交换机上。这样,所有流量都必须通过 pfSense 作为默认路由进行路由。在这种情况下,您还可以过滤客户端之间的流量。
缺点是防火墙的负载会更高,并且当客户端之间的流量很大时,吞吐量很可能会降低。
答案2
“第 2 层交换机”实际上就是一个交换机,也就是说,它的唯一任务就是将网络帧从一个网络分支转发到另一个网络分支。但是,随着当今硬件成本的下降,许多称为“交换机”的设备都具有许多附加功能(例如处理 VLAN、使用同一个盒子伪造单独的网络 - 本质上允许您将交换机分成几个单独的网络;使用各种标准过滤流量),甚至可以用作路由器(连接单独的网络,根据需要路由流量)。通常,您得到的“交换机”实际上是一个路由器,它们通常具有智能(硬件方面)来执行流量过滤(即充当防火墙)。
例如,您家里的“接入点”或“电缆调制解调器”盒子实际上是路由器和 WiFi 接入点(将有线网络连接到 WiFi)加上防火墙(至少执行 NAT)。如果你仔细看看,处理 WiFi 是非常复杂的业务(根据国家/地区的不同,有些通道无法使用;需要连接到网络并处理加密流量;当您穿过一栋大楼时,需要从一个接入点移交给另一个接入点;......),而所有这些都是在一张 WiFi 卡中完成的,而如今只需花费几美元。
答案3
我认为 OP 所问的是“是否有办法过滤同一网络内的流量”(因此无需使用网关,在这种情况下,网关非常方便地是防火墙),我非常怀疑他在问什么是路由器、交换机、集线器或防火墙。换句话说,是否有办法强制所有节点流量通过防火墙,以便它可以过滤整个网络。据我所知,目前唯一能够做到这一点的网络管理器是 vmware NSX-T(NSX-V 已停产,但我们仍会提及它们),这意味着您处于虚拟化环境中……这实际上并不是如今 VDI 功能所具有的愚蠢之处,是的,安全性是 VDI 非常强大的方面之一。
但是如果没有这种技术,你就完了,TCP/IP 就是由这种技术构成的,如果你在同一个子网上,你可以访问任何东西而不需要任何许可。处理它。