我跟李老师 @Whyyoutouzhele 做了一期有关防火墙与白名单的节目,有同学私信李老师问目标地址白名单的事,我想还是在这里再发推说的清楚一些。
我们的互联网访问,都是从 源地址IP -到- 目标地址IP :使用端口(0~65536)跑具体应用。防火墙确实可以限定互联网访问的目标地址,比如做DNS的白名单(IP白名单不太可能,因为IP的分配使用也是变化的,这个更新维护极为复杂,设置不好那网路基本没法用)能够做这个操作的网络设备很多,华为的接入网关,深信服的流量监控设备,都可以轻松实施该策略。但采用这个策略需要动态维护白名单库,不是说不行,而是为了保证网络的基础可用性,该策略调整会极其浪费资源,而且针对不同的用户群体使用的的白名单也一定不同。因此,采用这种防火墙策略通常是为了减少被安全部门监管的成本,图省事。多用在小区宽带,酒店宽带,和公共接入服务的宽带出口上。那么假设说你家里的小区不幸位列其中,确实实施了目标地址白名单策略,那该怎么办呢?解决方案是这样的。
首先这种策略不可能广泛实施,否则中国的互联网实质上是出于半瘫痪的状态,那么就一定会有没有实施白名单地区的用户网络。在这一基础前提下,解决方案是:首先在没有实施白名单地区的网络中,建设第一跳转节点,然后再通过架设的梯子访问外网。就私信中提问的用户,他在家里可以挂梯子,但出差以后的某个地点梯子就用不了,这种情况下,可以在家中建立一个企业vpn服务器,然后采用诸如ipsec的方式,先连入家庭内网,这就等同于你的网络状态已经是在家的状态,再挂vpn梯子翻墙出去。当然,作为专门为中国翻墙用户提供服务的服务商来说,可以利用用户的家庭网络进行可用性探测,并建立一套类似于Tor洋葱网络结构一样的第一层接入网,然后再从加密协议翻墙到境外节点,提供翻墙服务。
因此目标地址白名单,也并非那么可怕,还是有很多技术可以使用的。这就看大家在实战中怎么去操作了。
我还是那个观点,用技术手段进行的限制,也一定能用技术手段进行突破。但这都不如你润出来后,直接获得信息自由来的畅快。
BTW,我尽量不使用技术属于解答问题,这样大家都能看的懂。
