目录
安全策略
会话表和状态检测
servermap
用户认证
NAT
选路
可靠性
在接口和路由配置完成的基础上直接增加安全策略,设置允许和拒绝的动作,如果允许通过后续还需要进行内容检测,相较于acl更精确
五元组:源ip、目标ip、源端口、目标端口、传输层协议
会话表和状态检测
会话表是基于流的包交换,只有首包需要检测,后续核对hash直接传,提高效率
状态检测就是检测是否符合协议规范对后续报文的定义,就是检测是否是同一个协议,再决定传输或者不传,避免客户端的端口全开启等着收包。
数据通过防火墙流程:如果是首包,匹配不上会话表且路由可达,就判断是否创建会话表,如果不是首包还不可达就直接丢弃。
servermap
ftp-
网络传输协议-c/s架构(客户端/服务端)21用于控制链接端口,20用于数据传输。认证阶段都是客户端向服务端21发tcp建立链接,主动模式是客户端通过随机端口给服务器发包,然后服务器通过20建立连接,被动模式是服务器告知客户端一个随机端口等客户端连接。这种协议也叫多通道协议
。
随机端口:
计算公式:8x256+2=2050
tfpt-简单文件传输协议。
这两个的区别是tcp/udp的区别;有认证/无认证;对文件的可操作性高/仅上传下载。
ASPF是针对应用层的包过滤,抓取多通道协议的协商端口,将结果记录在server-map中,相当于开辟一个隐形通道。
上网行为管理三要素是用户、行为、流量。
用户认证包括上网(三层认证,所有的跨网段通信,全网包括二层和三层)、入网(二层设备接入,例如网线接入交换机或者连接wifi)、接入(远程接入,vpn)。
认证方式包括本地认证(用户信息在防火墙上,整个认证过程都在防火墙上执行)、服务器认证
(对接第三方服务器,防火墙将用户信息传递给服务器,之后,服务器将认证结果返回,防火墙执行对应的动作即可)、单点登录 (和第三方服务器认证类似)。
认证策略包括Portal
(仅需要流量触发对应的服务时,弹出窗口,输入用户名和密码进行认证)、免认证(需要在IP/MAC双向绑定的情况下使用)、匿名认证(登录者不需要输入用户名和密码,直接使用IP地址作为其身份进行登录)。
NAT
nat包括静态(1对1,多用于服务器映射)、动态(多对多)和napt(一对多(easyip),多对多)、服务器映射。
在防火墙组网环境下分类分成源nat(基于源IP地址进行转化,内网用户访问公网)、目标nat(基于目标地址进行转化,外网用户访问内网服务器)、双向nat(同时具备前两者功能)。
源nat在安全策略之后执行,目标nat在安全策略之前执行(安全策略的目标地址是nat转换后的地址,所以需要先转换地址才能走过这个安全策略)
配置nat地址池的时候配置黑洞路由可以避免出现环路(地址池中的地址和出接口地址不在同一个网段
动态nat+server-map:在动态nat触发访问流量后会生成两条server-
map的记录,其中一条是反向记录。反向记录存在时,相当于是一条静态NAT记录,外网的任意地址,在安全策略放通的情况
下,可以访问到内网的设备;基于端口的NAT转换,是不会生成server-map表的。
三元组nat:在p2p(peer to peer)情况下端口转换的时候会导致使用五元组的客户端无法直接访问。利用三元组(去除源、目标端口)可以正常通信
选路
选路包括:就近选路、策略路由(策略主要先匹配流量,再执行动作。策略路由可以从多维度去匹配流量,之后,执行的动作就是定义其转发的出接口和下一跳)、智能选路(带宽、质量、权重负载分担、优先级主备备份)、DNS透明代理
(配合就近选路)
可靠性
做冗余!因为状态检测机制,也就是会话表是临时的,所以要依靠双机热备技术(目前防火墙的双机热备技术仅支持两台设备,两台设备同时运行,在一台设备出现故障的情况下,另一台设备可以立即替代原设备。)来同步会话表
主备分别称为Active和Standby。
vrrp:
备份组之间是相互独立的,当一台设备上出现多个VRRP组时,他们之间的状态无法同步。
然后有VGMP(VRRP Group Management
Protocol)这个协议就是将一台设备上的多个VRRP组看成一个组,之后统一进行管理,统一切换的协议。以此来保证VRRP组状态的一致性。
HRP(Huawei Redundancy
Protocol)传输备份配置信息和状态信息。前提是两台设备之间必须专门连一根用于备份的线路,这跟线路我们称为心跳线(广义上,任何两台设备之间的链路都可以叫做心跳线)心跳线的接口必须是一个三层接口,需要配置对应的IP地址。这条备份数据的链路不受路由策略限制(直连场景。非直连场景依然需要配置安全策略。);HRP协议本身算是VGMP协议的一部分,HRP的心跳线也会传递心跳报文,用于检测对端是否处于工作状态。这个周期时间默认1s,逻辑和vrrp一样,只有主设备会周期发送,备设备仅监听即可,如果在三个周期内都没有收到HRP的心跳报文,则将认定原主设备故障,则将进行失效判断,认定自身Active。(VGMP的报文也是通过这条心跳线发送的)
。
备份方式包括自动备份(默认开启,但是有10s左右延迟同步)、手工备份(看立即手工配置)、快速备份(在负载均衡场景下,两台设备都需要处于工作状态,为了避免因为状态信息同步不及时而导致业务流量中断。快速备份可以实时同步状态信息,但是不同步配置信息)。
场景:主故障,主备切换。主恢复后有两种情况,没有开启抢占原主设备仍保持备份,开启抢占就切换回来。
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
