您现在的位置是:首页 > 文章详情

网页重定向导致防火墙NAT失效问题

日期:2017-05-31点击:424

   某地政府部门A与部门B之间需要建立连接,部门A需要访问部门B的某网站,在部门A与部门B之间使用防火墙进行隔离并使用目的NAT功能。wKioL1kuGCDxD_GjAAA_alf_oCM667.jpg-wh_50

   如图,防火墙左边为部门A,右边为部门B,防火墙由于没有规划互联地址,使用终端网段内一地址作为接口地址,并用此地址作为目的NAT使用。终端访问151接口地址,经过NAT转换后,转为访问部门B服务器。

   防火墙配置完成后,测试PING正常,远程桌面正常,但是WEB访问不通。检查防火墙配置未发现问题,在 部门B网络内访问WEB服务正常。将终端的网关由254改为151后,WEB访问正常,但显示网页的IP地址是B部门服务器的真实地址。

在终端上进行抓包,发现服务器返回的报文内,有重定向的信息,告诉终端访问网页的实际地址。wKiom1kuLkqCQyLmAACZSq8oZFM045.jpg-wh_50

   结果终端不再访问防火墙接口地址,而是直接访问真实地址。核心交换机上并没有此条路由,所以不会通,而将网关指定在防火墙上则不需要路由了,可以访问。此问题无法从网络层面进行解决,只能交给WEB维护人员修改。并不是所有网站都有此种情况,具体何种网站会使用到此技术,本人并不十分了解。大家可以试试,在网页里直接访问www.baidu.com,实际弹出的却是https的页面。

   上述问题,由于防火墙的配置并没有十分严格的做安全策略控制访问,反而帮助了问题的排查定位,否则即使将网关设置为防火墙的接口地址也是不会通的。在实际中,我们还是希望将防火墙的安全策略进行严格配置,只放行需要通过的流量,但为了排错需要,可以临时使用全放行的策略进行排查,在排查完成后一定要关闭此策略。

   最后关于抓包,其实并不是非要把TCP/IP这样的理论书看的多深入才能去看,只要敢于去看,多查查资料,都是可以看出一些东西的。

原文链接:https://blog.51cto.com/648909/1930832
关注公众号

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。

持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。

文章评论

共有0条评论来说两句吧...

文章二维码

扫描即可查看该文章

点击排行

推荐阅读

最新文章