防火墙受攻击的发现
在11月5号那天,登陆usg 2210防火墙设备上发现了很多页登录失败的日志,论坛说这是黑客暴力破解防火墙一种方式,我查登陆的ip发现,大多都是外国的地址。
短短几个小时,攻击日志就有40多页,在被攻击的这段时间,防火墙的cpu有时忽高忽低,网络有波动,当天有同事反应,处于局域网的某台数据服务器掉线多次,个别用户的网络质量不好,我觉得可能与此有关吧。
先看防火墙日志截图
初尝IP黑名单无效
最初,通过添加ip黑名单的方式来拦截对方,可发现不管用,对方的ip会变动,对方应该是使用的是伪装、冒充的ip,当我将一个ip拉黑后,不过3分钟,对方就会变更IP,卷土重来,这个办法显然不管用。
下图是防火墙IP黑名单位置和截图
一计不行,我只得另寻别处啦。
毫无头绪的查,因为白天还有许多工作要完成,一直拖,最终呢,下午的时候,在交流群里,询问了类似的糟糕情况,很快就有回复,再群内热聊了起来。
防火墙被攻击的原因
经过多人参与讨论后,找出了防火墙症结所在,原因就是防火墙开启了公网管理地址及端口号,在公网可以通过https://222.24.164.33:8443访问登陆。华为防火墙设备外网默认端口号:8443,而未作修改的端口确实容易被黑客所扫描,就容易受到暴力破解的攻击。
外访问防火墙登陆界面截图:
最终解决办法:
因为外网能通过https://222.24.164.33:8443地址来进行访问,那么所谓爆破,也是基于此吧,既然原因已找到,那就可以解决啦,关闭防火墙外网管理。
操作步骤:
1.进入防火墙web管理界面
2.在网络面板–接口处
3.点击路由条目,如下图多条路由,需要修改有通往公网的路由
打开路由信息,将https 等取消勾选,我这边只保留了ping功能。(除了内网的管理地址,其它的都被我取消了)
防火墙修改之后之后,攻击戛然而止,咦!又发现了小问题,对方似乎不想放弃,既然防火墙无法攻击,对方又选择攻击ipsec vpn,不过呢,尝试了3次,对方放弃了,显然,vpn是经过严格加密的,不那么好破解。
建议大家,尽量也别开启外网web管理,或者是修改管理端口,顺便要对管理员账户的密码设置复杂性高的,鄙人防火墙密码就是字符数字字母等加起来23位左右。
或许这种破解难度是极高,但是,耐不住对方不停骚扰呀。
