V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Xyg12133617
V2EX  ›  问与答

公司防火墙流量监控问题?

  •  
  •   Xyg12133617 · 15 天前 · 1930 次点击
    之前在海外负责过一段时间 IT 运维,当初买了飞塔的防火墙,跟着部署上线了一段时间,国内之前用的深信服,现在应该用了飞塔防火墙。

    问题:防火墙流量能否检测到 ip 的具体请求?印象是当初进了飞塔的防火墙管理界面可以看到某个 ip 的流量走向,但是忘记了是否能看到具体请求地址。

    现在公司又在搞优化,就怕把摸鱼拿来当借口。
    25 条回复    2024-12-11 15:54:49 +08:00
    luoyide2010
        1
    luoyide2010  
       15 天前
    没用过飞塔,凭经验,了解你访问的域名是小意思,你们内部要是有国产的审计设备还能分析得更详细。
    Xyg12133617
        2
    Xyg12133617  
    OP
       15 天前
    @luoyide2010 公司也不是什么大的互联网公司,只是传统制造业。年底审计也只是审一下设备什么的。现在就是不知道这防火墙能看到多么细致的流量。。。
    cat9life
        3
    cat9life  
       15 天前
    飞塔或者其它防火墙,如果不能看到 ip 的流向才是很奇葩的行为吧?无非就是有没有更直观的报表而已。
    jiale2V
        4
    jiale2V  
       15 天前
    我也害怕,天天用公司电脑摸鱼..
    daxin945
        5
    daxin945  
       15 天前
    我印象里 一般防火墙的日志好像就是 访问 ip 、nat 后 ip 、请求目标 ip 、拦截和放行之类的,有的能看网络协议
    当然那种所谓下一代防火墙的话,花活就多了
    xixixicat
        6
    xixixicat  
       15 天前
    用全局梯子
    xR13zp0h67njQr2S
        7
    xR13zp0h67njQr2S  
       15 天前
    https 只能看见请求地址,也就是域名+端口,其余的看不到
    yinmin
        8
    yinmin  
       15 天前 via iPhone
    ssh 在本地 127.0.0.1 建一个 socks5 ,浏览器用这个 socks5 上网,网络监控行为是 ssh 与服务器通信,看不出摸鱼
    Xyg12133617
        9
    Xyg12133617  
    OP
       15 天前
    @xixixicat 全局梯子卡的很。。。
    Metre
        10
    Metre  
       15 天前
    可以 包括访问的应用,网页的使用时长
    Xyg12133617
        11
    Xyg12133617  
    OP
       15 天前
    @78786381 如果我请求 b 站的某个地址,具体地址(具体某个视频)是能看出来的对吗?
    xR13zp0h67njQr2S
        12
    xR13zp0h67njQr2S  
       15 天前   ❤️ 1
    @Xyg12133617 #11 看不出来,但是如果有防火墙,正常来说管理员会 ban 掉所有的视频网站,b 站直接打不开
    Xyg12133617
        13
    Xyg12133617  
    OP
       15 天前
    @78786381 #12 好的,那就行。其实不怕视频站拉黑名单,就怕上网行为底裤看穿
    dingdaxian
        14
    dingdaxian  
       15 天前
    只有防火墙的话看不到那么细的,但是如果有上网行为管理那就啥都能看见了,还能拉排行榜
    xz410236056
        15
    xz410236056  
       15 天前
    @Xyg12133617 #9 搞个国内中转啊
    zgzhang
        16
    zgzhang  
       15 天前
    防火墙只能看到五元组,因为 https 加密连接后,url 也是加密的,但是因为 SNI 的存在,可以看到域名,AC 设备可以看到全部流量的原因是本地有可信证书,通过中间人劫持可以看到全部流量,解法就是搞个类似梯子的东西,默认全部走梯子
    stonesirsir
        17
    stonesirsir  
       15 天前
    @yinmin 这样网络请求全部走服务器吗?
    ip7x12v5
        18
    ip7x12v5  
       15 天前
    如果公司只买防火墙,没有维护,多半么有 syslog 服务器,不用担心,防护墙一般都是走在 4 层,顶多看看源端 IP ,目的端 IP ,源端端口,目的端端口,TCP 协议等等五元组信息,除非有上网行为,不然不用过度担心
    yinmin
        19
    yinmin  
       15 天前 via iPhone
    @stonesirsir #17 是的
    ButcherHu
        20
    ButcherHu  
       15 天前
    如果不装证书的话还好,dns 用 doh 或者 dot ,他只能看见你链接 ip.
    lynan
        21
    lynan  
       15 天前 via iPad
    @78786381 公司电脑都会装根证书,能看到
    SalonRaven
        22
    SalonRaven  
       15 天前
    看不到的,能看到的叫上网行为管理,不是防火墙啦,而且建议在公司摸鱼用自己流量比较好,工作电脑一律只办公,私人事情私人电脑处理
    stonesirsir
        23
    stonesirsir  
       15 天前
    域名,连接时间,ip 没得跑了
    xR13zp0h67njQr2S
        24
    xR13zp0h67njQr2S  
       15 天前
    @lynan 装了根证书那是可以看到的,但是规模不大的公司一般不会有这个吧
    lynan
        25
    lynan  
       15 天前 via iPad
    @78786381 那就不清楚了,有的软件也集成安装根证书的功能,例如 飞连
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1024 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 20:32 · PVG 04:32 · LAX 12:32 · JFK 15:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.