是否可以判断我的网络路径上是否存在防火墙?

网络工程 局域网 防火墙 故障排除
2022-02-15 21:43:19

如果我坐在主机的命令行并且有目的地的 IP 和端口,有没有办法判断网络路径是否涉及防火墙,或者它是否正在被某种规则集评估?我认为没有办法说出来,因为未丢弃的网络路径(防火墙规则集允许)看起来与不涉及防火墙评估的网络路径完全相同,但希望确认这一点。

也许更一般地说,当我的网络上有多个 VLAN 时,是否总是(在某种程度上)涉及防火墙,或者是否可以在 VLAN 之间的流量路由(具有不同的网关 IP 地址)而不经过防火墙规则评估?

我正在尝试确定当我们失去连接时让我们的 InfoSec 团队多早参与故障排除工作 - 在某些情况下,我们正在跨越 VLAN 边界,但两个不同的 VLAN 可以相互开放访问(允许所有流量)。这是否必须由防火墙(和规则集)配置,或者是否可以将交换机配置为考虑此流量打开(在没有防火墙的情况下穿越 VLAN)?

谢谢!

1个回答

流量可以通过路由器在 VLAN 之间路由,不需要防火墙(无论如何,它最终实际上是一个具有一些过滤功能的路由器)。

无法确定您是否在网络路径上穿过防火墙或其他过滤机制。您能做的最好的事情是尝试检测防火墙存在的副作用,通常更多是因为它的高级安全功能而不是它的规则集。例如,如果您在任一端捕获流量,并且绝对 TCP 序列号不匹配,则您可能在两者之间有防火墙,正在重写它们。或者,如果您有一个以 TCP RST 结束的会话,并且该数据包没有到达另一端,那么它可能被防火墙丢弃了。在各种 TCP/IP 标头中还可以看到其他影响,但它们通常非常微妙,并且比 FW 存在的明确迹象更多的是线索。

其它你可能感兴趣的问题
上一篇VxLAN 可选外层 802.1Q 用途? 下一篇iBGP 与 eBGP 与 ISP 的对等互连