分段和防火墙测试元模型

当防火墙已严重配置或泄漏出口流量过滤策略时，它们可以从逆口，数据exfiltration和其他形式的开发方式中打开网络。为了识别允许出站流量的开放端口，并验证出口过滤策略是否正确阻止流量，可以运行分段和防火墙测试元模型。

元模型对出口目标运行NMAP SYN扫描，以显示从内部主机打开的出站端口。它根据服务器接收的流量标识防火墙中端口的状态。如果服务器接收到流量，则元模型将端口标记为打开。如果防火墙阻止流量，则元模子将端口标记为过滤。元模块根据对连接的响应标记为未过滤或关闭的剩余端口。MetoModule完成运行后，它会生成一份报告，为您提供港口状态分布和未过滤端口的全面。

出口扫描目标

出口目标，egadz.metasploit.com，是由Rapid7托管的服务器，并已设置为所有65,535端口开放。每个端口被配置为响应一个单一的SYN-ACK包。在它的默认配置中，MetaModule使用Nmap默认的1000个最常用端口启动端口扫描;但是，如果需要包含其他端口，可以定义自定义端口范围。

端口状态

分段和防火墙测试元模块使用以下状态对端口进行分类。

开放- 如果允许从网络流出并且EGADZ服务器接收它，则分配一个端口。打开状态表示存在主动接受TCP连接，UDP数据报或SCTP关联的应用程序。
过滤后的—在EGADZ服务器上，如果一个端口在到达目标端口之前丢弃流量，则该端口被分配为过滤状态。它将不会收到来自EGADZ服务器的响应。通常，如果专用的防火墙设备、路由器规则或基于主机的防火墙软件成功地阻止端口发送流量，端口就会处于过滤状态。
关闭—当端口允许流量通过，但没有绑定应用或服务时，端口被分配为关闭状态。一个关闭的端口可以用来确定一个主机是否在一个IP地址上。
unf- 如果允许流量通信到端口，则分配一个端口的流量，但无法确定端口是否打开或关闭。

设置出口测试服务器

防火墙出口测试元模块使用由Rapid7托管的外部服务器来识别来自内部主机的开放出站端口。在某些情况下，您可能需要设置和自己的出口测试服务器。例如，如果您想测试不同端点之间的出口，或者如果您不想将数据发送到Internet上的服务器，您可以设置一个自定义出口测试服务器。

为了帮助您设置自定义出口测试服务器，Metasploit Pro提供了一个可以在Ubuntu 12.04 LTS服务器上运行的脚本。该脚本可以从项目页。

出口测试服务器需求

要设置出口测试服务器，您需要执行以下任务：

使用您喜欢的分发设置Linux机器。
向Linux机器添加两个网络接口或网络适配器。每个网络接口都应该有一个IP地址。

有关在虚拟机上设置网络接口的详细信息，请访问虚拟化软件的文档。

将一个IP地址分配为管理界面。此接口将用于控制出口测试服务器。它应该被分配给eth0接口。
将第二个IP地址分配为出口测试服务器。该接口应分配给ETH1接口。
下载并运行出口测试服务器脚本。

设置自定义出口目标

要设置一个自定义出口目标，你需要一个配置了两个IP地址的Ubuntu 12.04机器。以下接口需要配置两个IP地址:

管理界面- 这通常在ETH0接口上找到，将用于控制出口服务器。
出口服务器—通常在eth1或eth0:1等虚拟接口上发现。这是你将从防火墙和分段测试元模块扫描的IP地址。

使用两个地址设置框后，执行以下步骤：

登录Metasploit Pro web界面。
单击分割目标设置脚本按钮，位于“全局工具”下。

下载过程将自动启动。

如果您的浏览器没有配置为自动下载文件，将出现一个对话框窗口，并提示您保存文件。你需要把文件保存到电脑里。

请按照手册中提供的说明进行操作create-egadz.sh脚本来设置出口目标。
验证您能够使用说明设置出口目标。

设置好出口目标后，就可以运行分割和防火墙测试元模块了。

运行分段和防火墙测试元模型

在项目内部，选择模块> MetaModules。
找到分割和防火墙测试元模块，然后点击发射按钮。

这分割和防火墙测试将出现“配置”窗口。3.从扫描配置选项卡，选择以下扫描目标选项之一:

使用默认出口目标—MetaModule在Metasploit为测试出站流量而设置的出口服务器上运行。
使用自定义出口目标—MetaModule在您为测试出站流量而设置的服务器上运行。可以指定IP或完全限定域名。要了解如何设置自定义出口目标，请访问全球的工具位于项目网页下载分割目标设置脚本。您可以按照脚本中提供的说明创建自定义出口服务器。