Я работаю в охранном операционном центре инженера в одной компании. Мы управляем много клиентов FW, прокси, и т. Д. Примером наших ежедневных билетов может быть то, что пользователь не может получить доступ к какому-либо сайту, поэтому мы проверяем прокси клиента, ...
Во время устранения неполадок и, поскольку мы уже управляем всеми устройствами, у нас есть несколько способов симулировать пользователя (например, в нашем примере, явно определить прокси клиента и протестировать).
Однако и, к сожалению, мы не могли симулировать пользователя большую часть времени, поэтому у нас нет другого выхода, кроме как вызвать затронутого пользователя для живого теста (например, в нашем примере, если клиент использует прозрачный прокси-сервер? ... или если у него есть IPS). на своем пути ...)
Поэтому мой вопрос: если я управляю всеми устройствами, есть ли способ имитировать себя так, как будто я нахожусь внутри за зоной доверия FW?!, Поэтому я могу устранять неисправности всех билетов в автономном режиме!
Я думал о следующем:
1- Откройте правило в FW, чтобы разрешить мне доступ внутрь, затем, используя методы маршрутизации на основе политик, я могу пересылать свой трафик, как если бы он был сгенерирован внутри. - Проблема в том, как я могу попросить браузер перенаправить весь http-трафик, например, на FW; если я делаю это через явный прокси, я ничего не сделал, и, к сожалению, я не могу установить маршрут на моем компьютере для определенных портов.
2- Создайте VPN между моим ПК и клиентским ПО и направьте мой http-трафик в VPN. - Проблема в том, что я не уверен, что это можно сделать; Мне нужен VPN-клиент более продвинутый, чем мастер Windows VPN, и мне нужно то же самое на FW.
3 - Между FW и нашим сервером управления уже есть VPN, так что я могу инициировать любой трафик с FW на мой компьютер и сделать как черный ход за FW. - Проблема будет, конечно, я не мог установить, как Ncat в моем FW?
Для меня я бы сказал, что подход 2 является наиболее применимым, например, использование концепции безопасных удаленных пользователей ?! Поэтому я хочу ваши идеи и предложения.
Есть идеи
Ответы:
Это должно быть выполнено с настройками прокси браузера, для определенного порта на клиентском FW. Правила брандмауэра направляют этот трафик на веб-прокси-сервер клиента / программное обеспечение / демон, а НЕ в сеть напрямую. Кроме того, правило должно ограничивать доступ только с IP-адреса вашего офиса, в противном случае клиент FW станет открытым прокси.
На самом деле это, пожалуй, самый простой способ, если FW поддерживает PPTP, который поддерживается многими брандмауэрами. l2tp потребуется больше работ. Это решение зависит от бренда / модели FW на сайте клиента.
В существующей VPN между FW и сервером управления настройте статический маршрут к клиентской сети (через сервер управления), а затем укажите прокси браузера на внутренний IP-адрес клиента FW (веб-прокси).
источник