如何从跟踪路由中隐藏帕洛阿尔托网络防火墙
Symptom
Resolution
从跟踪结果中隐藏接口
跟踪路由的工作方式是通过发送数据包, 逐步增加 ttl 值, 从 ttl 1 开始。
第一个 L3 设备 receiviny 数据包递减 ttl 并丢弃数据包, 因为 ttl 的值为0。同时, L3 设备会将 ICMP 时间超过的消息发送回发件人 (但在此情况下, 会发现一个跃点)。
当源接收到超出时间的消息时, 它会增加 TTL 值, 并且此过程继续进行, 直到接收到目标端口无法访问的消息。
因此, 为了从跟踪结果中隐藏任何接口, 我们必须限制该接口发送 ICMP 超时消息, 这可以通过使用区域保护配置文件来完成。
案例 1: 未配置区域 proctection 配置文件时的跟踪结果
从内部主机执行跟踪路由到 Google DNS 服务器, 您将观察帕洛阿尔托网络防火墙作为第一跃点。
C: \ 用户 \ 管理员 > tracert d 8.8.8。8
8.8.8.8 最多30跃点的跟踪路由
1 1 ms < palo="" alto="" netowks="" firewall="" inside="" interface=""> </>>> 也为内部用户的网关 2 1 毫秒 1 ms 1 毫秒 10.50.241.75 3 5 ms 4 毫秒 103.245.157.17 3 ms 4 10 毫秒4毫秒 14 ms 5 毫秒 182.74.212.225 6 31 ms 5 毫秒6 毫秒268毫秒27 ms 72.14.242.178 8 6 毫秒 13 ms 14 毫秒 72.14.236.57 9 14 ms 6 毫秒 5 66.249.94.189 10<x 9=""> * 17 毫秒22毫秒 8.8.8.8 </x>
跟踪完成。
注意: 管理配置文件仅用于发送到该接口的通信。任何直通通信都不会考虑管理配置文件。此外, 使用安全策略不会隐藏跟踪中的接口。
案例 2: 带区域保护配置文件的跟踪结果
要从跟踪路由中隐藏帕洛阿尔托网络防火墙, 请启用 "禁止 icmp ttl 过期错误", 这会中断 traceroute 功能, (停止发送 ICMP ttl 过期消息)。
由于 TTL 时间超过消息将永远不会使其到源 (应用于使用区域保护的接口), 帕洛阿尔托网络隐藏其身份。
应用区域保护配置文件后跟踪结果:
C: \ 用户 \ 管理员 > tracert d 8.8.8。8
8.8.8.8 最多30跃点的跟踪路由
1 ** 请求超时。 ** 表示防火墙设置不让它暴露其身份。
2 1 ms 1 毫秒 1 ms 10.50.241.75 3 186 毫秒 24 ms
103.245.157.17
4 毫秒4毫秒212毫秒112毫秒20毫秒
5 毫秒 182.74.212.225
240 170 毫秒 247 ms 182.79.243.26
6 233 毫秒 381 160 毫秒 72.14.242.178 7
213 ms 77 毫秒155毫秒72.14.236.57
9 64 ms 52 毫秒 56 ms 66.249.94.189
10 17 毫秒 16 ms 7 8.8.8.8
跟踪完成。
因此, 如果要从跟踪路由中隐藏帕洛阿尔托网络防火墙, 请使用上述方法。