微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 防火墙 » 建议在防火墙规则中加入VPN连接的规则!  

作者:
标题: 建议在防火墙规则中加入VPN连接的规则!
kudoshichi
新手上路





积分 18
发帖 16
注册 2008-1-23
#1  建议在防火墙规则中加入VPN连接的规则!

装了微点快一个月了,觉得很不错,不过一直有个问题在困绕着我,那就是,微点除了在防火墙设置中使用“规则包(一)”外(开放网络,不对进出数据包做任何限制。),其它的规则包均连接不了VPN。
本人一起以来都在使用“规则包(五)”,今天必须要连接到公司的VPN上提交点东西,无奈只好先将防火墙设置为“规则包(一)”,提交完东西后再改回来,但总不能老是改来改去吧,而且这样也不太安全,所以就只好自己动手了,但一时间又无从下手,于是就到论坛里来看看,之后看到至顶贴上的“如何自己设计规则包? ”终于找到解决的办法了。那就是在规则包加上一条新规则将VPN服务器的端口1723开出来(修正一下是将“连接到VPN服务1723端口的数据”),让防火墙通过就可以了!
但老实说,对于一般不太懂这类问题的朋友来说应该算是蛮难的吧,所以还是希望在默认的规则包中自带上这一条规则吧

以下是偶自己设置的规则的抓图,提供给各位用需要使用VPN的朋友们吧!

[ Last edited by kudoshichi on 2008-1-24 at 01:07 ]

附件 1: VPN.jpg (2008-1-23 01:37, 38.76 K,下载次数: 37)


※ ※ ※ 本文纯属【kudoshichi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-23 01:37
查看资料  发短消息  QQ   编辑帖子
曙光
版主

版主



积分 1421
发帖 1420
注册 2005-11-1
#2  

谢谢楼主,建议已上报微点!

※ ※ ※ 本文纯属【曙光】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

技服电话:0591-87569401、87516430、87539717
东方微点“反病毒技术交流”群:
       ·QQ群:630086 或 1471553 或 16998902
   
2008-1-23 07:03
查看资料  发短消息   编辑帖子
images
银牌会员





积分 1429
发帖 1376
注册 2007-11-17
#3  

不建议添加,如果默认开放1723端口的话,会给自己系统带来安全隐患;
如需要VPN的话,还是自己设置固定的远程IP地址,这样安全性较高。

※ ※ ※ 本文纯属【images】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

All accepted English
For a slim figure, share your food with the hungry. 给images发短消息
2008-1-23 09:45
查看资料  发短消息   编辑帖子
kudoshichi
新手上路





积分 18
发帖 16
注册 2008-1-23
#4  



  Quote:
Originally posted by images at 2008-1-23 09:45:
不建议添加,如果默认开放1723端口的话,会给自己系统带来安全隐患;
如需要VPN的话,还是自己设置固定的远程IP地址,这样安全性较高。

有点不明白,这个规则不是叫你在自己的机子上将1723端口开出来,而是让防火墙让连接到VPN端口的数据通过而已,怎么会有安全隐患呢?我算是新手,请朋友解释一下吧!!

※ ※ ※ 本文纯属【kudoshichi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-24 01:00
查看资料  发短消息  QQ   编辑帖子
images
银牌会员





积分 1429
发帖 1376
注册 2007-11-17
#5  

记得有种攻击方法叫做“跳板”,原理就是利用防火墙不限制从内部网络到外部网络的连接,那么,一些内部用户可能形成一个直接通往Internet的连接,从而绕过防火墙,造成一个潜在的后门(backdoor).恶意的外部用户直接连接到内部用户的机器上,以这个内部用户的机器为跳板,发起绕过防火墙的不受限制的攻击。
我的理解也是来源于这里,楼上设置防火墙规则的初衷是放行VPN,但是大家都知道VPN是针对不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,也称“虚拟专用网络”。由于采用特殊的加密的通讯协议,所以满足了安全、稳定的需求。但是这个你要远程的VPN的IP地址是预先设置的固定的,而你的规则中确是“远程地址所有地址”(可能出于不同用户VPN的IP地址不同考虑);
但在防火墙看来确是存在隐患的策略。传统防火墙是基于包过滤技术的,最安全的规则是只允许信任的数据包通过,其它数据包全部拦截。如果想要放行vpn的话,也应该是规则中设置允许固定远程vpn的 ip地址的1723端口数据包通过,因为只有你要访问的vpn的ip的数据包才是你信任的。
不知道这个解释是否清楚,可能我多虑了吧!
呵呵。

※ ※ ※ 本文纯属【images】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

All accepted English
For a slim figure, share your food with the hungry. 给images发短消息
2008-1-24 10:07
查看资料  发短消息   编辑帖子
kudoshichi
新手上路





积分 18
发帖 16
注册 2008-1-23
#6  



  Quote:
Originally posted by images at 2008-1-24 10:07:
记得有种攻击方法叫做“跳板”,原理就是利用防火墙不限制从内部网络到外部网络的连接,那么,一些内部用户可能形成一个直接通往Internet的连接,从而绕过防火墙,造成一个潜在的后门(backdoor).恶意的外部用户 ...

1.首先大多的VPN登陆都是采用类似于PPPoE的拨号用帐号和密码进行接入来登陆的,只要进行VPN接入也是唯一性的,不会存在于一个VPN接入同时连接多个VPN服务器!!
而在朋友你所说的“跳板”作用,在没有进行VPN登陆的时候无论是从VPN服务器到本机还是从本机到VPN服务器都是无效的,如果你说出于开放了这个端口会导致远端其它VPN用户通过服务器跳到本机来进行对外网的其它主机进行攻击,那我可以说这是不可能的!为什么?大家可能都知道,进行了VPN连接以后,进出本机的数据都是通过VPN连接进行交换的,而不是在本机的外网连接!


2.我现在发现的时,防火墙现在是直接不让发送到远程VPN服务器1723端口的数据发送出去,而导致800错误!!从而连接不了VPN服务器!所以才要让防火墙允许发送到远程VPN服务器1723端口数据通过。这样才能进行VPN连接与登陆!!

※ ※ ※ 本文纯属【kudoshichi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-24 14:24
查看资料  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号