目录
防火墙
1.1防火墙的定义
1.2路由器、防火墙、交换机三者之间的关系
1.3防火墙安全区域
1.4报文在安全区域之间流动的方向
1.5 安全区域的配置
1.6防火墙的检查和会话机制
1.6.1状态检测
1.6.2会话机制
1.7基础防火墙两个实验复现
1.7.1实现三层:Trust区域访问Untrust区域
1.7.2实现二层:Unrust区域访问Untrust区域
1.7.3 Trust区域 Untrust区域以及MDZ区域之间数据报文的流向路径实验
防火墙
1.1防火墙的定义
防火墙主要一个网络免受另一个网络的攻击和入侵行为。防火墙灵活应用于网络边界、子网隔离等位置。例如:企业网络出口、大型网络内部子网隔离、数据中心边界。
1.2路由器、防火墙、交换机三者之间的关系
路由器 用来连接不同的网络设备,通过路由协议保证互联网互通,确保将数据报文转发到目的地;
交换机 用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发数据报文;
防火墙 主要部署在网络的边界,对进出网络的访问行为进行控制,安全防护是其核心特性。
路由器与交换机的本质是 转发 ,防火墙的本质是 控制
1.3防火墙安全区域
防火墙主要部署在网络边界起到隔离的作用,那么防火墙如何区分不同网络,这就要引入一个重要的概念:安全区域(一个或多个接口的集合,防火墙通过接口来划分网络、表示数据报文的流动路线)当数据报文在不同的安全区域之间流动时才会受到控制。
注意:在华为防火墙上,一个接口只能加入到一个安全区域中。
华为防火墙上已经默认提供了三个安全区域: Trust区域 (该区域的受信任度高,通常用来定义内部用户的网络;安全级别85)
Untrust区域 (该区域不受信任的网络,通常用来定义外网等不安全的网络;安全级别5)
DMZ区域 (该区域的受信任程度为中等,通常用来定义内部服务器所在的网络;安全级别50)
在网络数量较少、环境简单的场合下,使用默认提供的安全区域就可以满足划分网络的需求;如下图所示:
当然,在网络数量较多的场合,还可以根据需要创建新的安全区域。
由上图也可看出不同网络的用户互相访问数据报文时在发防火墙上所走的路线;例如:内部网络访问外网时,报文在防护墙上的路线是从Trust区域到Untrust区域;当外部网络访问内部服务器时,报文在防火墙上是路线是从Untrust区域到DMZ区域。
除了不同网络之间流动的报文之外,还存在某个网络到达防火墙本身的报文,以及防火墙本身发出的报文。防火墙上提供的Local区域,代表防火墙本身。凡是由防火墙主动发出报文就认为是从Local区域中发出,凡是需要防火墙响应并且处理的报文认为是由Local区域接收。
1.4报文在安全区域之间流动的方向
在华为防火墙上,每个安全区域都必须有一个安全级别,该安全级别是唯一的,用1~100是数字表示,数字越大,代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:Local区域的安全级别是100,Trust区域的安全级别是85,DMZ区域的安全级别是50,Untrust区域的安全级别是5。级别确定之后,安全区域就被分成了三六九等,高低有别。报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向
(Inbound) ,报文从由高级别的安全区域向低级别的安全区域流动时为出方向 (Outbound)
。如下图图标明了Local区域、Trust区域、DMZ区域和Untrust区域间的方向。
1.5 安全区域的配置
安全区域的配置主要包括创建安全区域以及将接口加入安全区域,下面给出了创建一个新的安全区域test,然后将接口GE0/0/1加入该安全区域的过程。接口GE0/0/1可以工作在三层模式也可以工作在二层模式。配置命令非常简单,唯一需要注意的是,新创建的安全区域是没有安全级别的,我们必须为其设置安全级别,然后才能将接口加入安全区域。当然,鉴于安全级别的唯一性,设置的安全级别不能和已经存在的安全区域的级别相同。
[FW]firewall zone name test //创建安全区域test
[FW-zone-test]set priority 10 //将安全级别设置为10
[FW-zone-test]add interface GigabitEthernet 0/0/1 //将接口GE0/0/1加入安全区域
1.6防火墙的检查和会话机制
1.6.1状态检测
首先我们还是需要在防火墙上设定安全策略,允许PC访问Web服务器的报文通过。当报文到达防火墙后,防火墙允许报文通过,同时还会针对PC访问Web服务器的这个行为建立会话,会话中包含PC发出的报文信息如地址和端口等。当Web服务器回应给PC的报文到达防火墙后,防火墙会把报文中的信息与会话中的信息进行比对。如果发现报文中的信息与会话中的信息相匹配,并且该报文符合HTTP协议规范的规定,则认为这个报文属于PC访问Web服务器行为的后续回应报文,直接允许这个报文通过,如下图所示:
1.6.2会话机制
会话是通信双方建立的连接在防火墙上的具体体现,代表两者的连接状态,一条会话就表示通信双方的一个连接。防火墙上多条会话的集合就叫作会话表,先看一个标准的会话表项。
http VPN:public-->public 192.168.0.1:2049-->172.16.0.1:80
重点介绍这个表项中的关键字段:
http表示协议(此处显示的是应用层协议)
192.168.0.1表示源地址;
2049表示源端口;
172.16.0.1表示目的地址;
80表示目的端口。
其实通过会话表项中的“–>”符号就可以直观区分,符号前面的是源,符号后面的是目的。源地址、源端口、目的地址、目的端口和协议这5个元素是会话的重要信息,我们将这5个元素称之为“五元组”。只要这5个元素相同的报文即可认为属于同一条流,在防火墙上通过这5个元素就可以唯一确定一条连接。
1.7基础防火墙两个实验复现
1.7.1实现三层:Trust区域访问Untrust区域
1.7.2实现二层:Unrust区域访问Untrust区域
实现三层:Trust区域访问Untrust区域
1.对cLoud进行基本配置:
2.对防火墙的管理接口以及区域接口进行配置
3.添加区域报文流向策略
Trust区域----Untrust区域
4.测试:
实现二层:Unrust区域访问Untrust区域
二层:Unrust区域访问Untrust区域测试:
1.7.3 Trust区域 Untrust区域以及MDZ区域之间数据报文的流向路径实验
防火墙的基本配置:
<USG6000V1>sys
[USG6000V1]interface g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.10.101 255.255.255.0
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
Untrust区域的配置:
路由配置:
[ISP]dis ip int brief Interface IP Address/Mask PhysicalProtocol
GigabitEthernet0/0/0 100.1.1.2/24 up up
GigabitEthernet0/0/1 200.1.1.1/24 up up
在防火墙上给G1/0/0配上管理IP
在G1/0/0接口上配置路由:
测试:untrust区域到防火墙的连通性
Trust区域配置
对Trust区域内网的交换机进行配置:
[SW1]vlan 20
[SW1]vlan 30
[SW1]interface Vlanif 30
[SW1-Vlanif30]ip address 10.1.3.1 24
[SW1]interface Vlanif 20
[SW1-Vlanif30]ip address 10.1.3.1 24
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 20
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 30
给防火墙G1/0/1接口配置管理IP
配置一条到达10.1.3.0/24网段的路由
测试内网PC到防火墙的连通性:
MDZ区域的配置
对交换机进行链路聚合配置:
[MDZ]interface Eth-Trunk 1
[MDZ-Eth-Trunk1]trunkport GigabitEthernet 0/0/1
[MDZ-Eth-Trunk1]trunkport GigabitEthernet 0/0/2
[MDZ-Eth-Trunk1]port link-type trunk
[MDZ-Eth-Trunk1]port trunk allow-pass vlan 10 to 11
[MDZ]vlan 10
[MDZ]vlan 11
[MDZ]interface GigabitEthernet 0/0/4
[MDZ-GigabitEthernet0/0/4]port link-type access
[MDZ-GigabitEthernet0/0/4]port default vlan 10
[MDZ]interface GigabitEthernet 0/0/3
[MDZ-GigabitEthernet0/0/3]port link-type access
[MDZ-GigabitEthernet0/0/3]port default vlan 11
在防火墙上进行接口聚合的配置:
配置连个vlan接口:
配置防火墙策略:
Trust区域访问Untrust区域
待补充…
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫一扫
6万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
