网络安全背景
网络空间安全是指对网络空间中信息和信息系统的保护,是一个由信息基础设施组成的互相依赖的网络。美国在2003年提出了网络空间的概念,我国官方文件将网络空间定义为第五大人类活动领域,继海、陆、空、天之后的领域。
通信保密阶段
网络安全发展历程可以分为通信保密阶段、计算机安全阶段、信息系统安全和网络空间安全。APT(高级持续性威胁)攻击是一种特殊的网络威胁,具有持续性和高度的针对性。
网络空间安全防御措施
代理防火墙:设定目标IP的代理阈值和丢包阈值。
首包丢包
SYN cookie
恶意程序特性:非法性、隐蔽性、潜伏性、可触发性、表现性、破坏性、传染性、针对性、变异性、不可预见性。
普通病毒、木马病毒、蠕虫病毒
防火墙
防火墙的主要职责是控制和防护,根据安全策略抓取流量并做出相应的动作。防火墙的分类包括吞吐量、防火墙的发展史等。
防火墙的工作模式
透明模式
旁路模式
混合模式
安全策略
安全策略是传统的包过滤防火墙的改进,采用五元组匹配流量,可以进行访问控制和内容检测。
会话表和状态检测
会话表记录基于五元组的数据流特征,用于提高转发效率。
状态检测主要检测协议逻辑上的后续报文,仅允许逻辑上的第一个报文通过后创建会话表。
ASPF(Application Layer Stateful Packet Filter)
ASPF是应用层状态包过滤器,用于检测和防范FTP等协议的攻击。
FTP(File Transfer Protocol)
FTP是文件传输协议,具有C/S架构,有主动模式和被动模式。
1 .FTP(文件传输协议):
典型的C/S架构。
包括控制进程和数据传输进程。
使用两个端口:20(数据)和21(控制)。
两种工作模式:主动模式和被动模式。
主动模式涉及客户端为数据传输打开一个随机端口。
被动模式涉及服务器为数据传输打开一个随机端口。
2 .TFTP(简单文件传输协议):
简单的文件传输协议。
无认证。
命令集有限,相对于FTP而言。
3 .ASPF(应用层会话包过滤):
用于应用层的包过滤。
用来抓取多通道协议中协商端口的关键数据包。
默认FTP协议开启了ASPF。
4 .用户认证:
防火墙管理员登录认证,检验身份的合法性,划分权限。
用户认证是上网行为管理的一部分。
分类:
上网用户认证(三层认证)。
入网用户认证(二层认证)。
接入用户认证(远程接入,如VPN)。
5 .认证方式:
本地认证、服务器认证、单点登录。
认证域决定认证的方式和组织结构。
6 .认证策略:
Portal认证,免认证,匿名认证等。
认证域和上网方式之间的关系。
不同认证域之间为或的关系。
7 .防火墙的NAT(网络地址转换):
静态NAT,动态NAT,NAPT(多对一)。
源NAT,目标NAT,双向NAT。
8 .NAT类型:
五元组NAT,三元组NAT。
黑洞路由配置。
高级NAT。
防火墙智能选路与备份技术
1 .智能选路:
就近选路:
通过对应运营商的链路访问服务器,提高通信效率,避免绕路。
策略路由 (PBR):
基于流量匹配和执行动作,提供灵活性,相对于传统路由更多样化。
DSCP优先级:
通过设定数据包中的优先级,差异化保证流量的通过。
动作:
转发、转发到其他虚拟系统(VRF)、不做策略路由、监控等。
2 .备份技术:
双机热备:
两台设备同时运行,一台出现故障时另一台立即替代。
VRRP (虚拟路由器冗余协议):
主备备份,主设备故障时备设备接管。
VGMP (VRRP Group Management Protocol):
统一管理多个VRRP组,确保状态一致性。
HRP (Huawei Redundancy Protocol):
华为私有协议,备份配置和状态信息。
心跳线用于检测设备状态,周期性发送心跳报文。
备份方式:
自动备份(实时备份配置信息,延迟同步状态信息)。
手工备份(手动触发,即时同步配置和状态信息)。
快速备份(仅在负载分担模式下使用,实时同步状态信息,不同步配置信息)。
3 .备份场景分析:
主备形成、接口故障切换、主设备故障切换、负载分担等场景分析。
4 .负载分担:
基于链路带宽的负载分担,按比例分配流量。
基于链路质量的负载分担,考虑丢包率、时延、延时抖动。
基于链路权重的负载分担,手工分配权重。
基于链路优先级的主备备份,按优先级进行切换。
DNS透明代理需开启就近选路。
5 .可靠性与监控:
防火墙和路由器双机备份技术。
HRP协议的配置信息和状态信息备份。
各种备份方式和场景的详细过程分析。