网络安全(2)

防火墙的主要职责在于：控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作。

防火墙分类：

按物理特性划分：软件防火墙，硬件防火墙

按性能划分：百兆级防火墙，干兆级防火墙

按防火墙结构划分：单一主机防火墙，路由集成防火墙，分布式防火墙

按防火墙技术划分：包过滤防火墙，应用代理防火墙，状态监测防火墙

传统防火墙（包过滤防火墙）一一个严格的规则表
判断信息：数据包的源P地址、目的P地址、协议类型、源端口、目的端口（五元组）
工作范围：网络层、传输层(3-4层)
和路由器的区别：
普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径
防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否”。
技术应用：包过滤技术
优势：对于小型站点容易实现，处理速度快，价格便宜
劣势：规则表很快会变得庞大复杂难运维，只能基于五元组

1,，很多安全风险集中在应用层的，所以，仅关注三四层的数据无法做到完全隔离安全风险
2,逐包进行包过滤检测，将导致防火墙的转发效率过低，成为网络中的瓶颈。
在ACL列表中，华为体系下，末尾是没有隐含规则的，即如果匹配不到ACL列表，则认为ACL列
表不存在，之前可以通过，则还可以通过；但是，在防火墙的安全策略中，为了保证安全，末
尾会隐含一条拒绝所有的规侧，即只要没有放通的流量，都是不能通过的。

传统防火墙（应用代理防火墙）一每个应用添加代理
判断信息：所有应用层的信息包
工作范围：应用层(7层)
和包过滤防火墙的区别：
包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。
应用代理防火墙工作7层，检查所有的应用层信息包，每个应用需要添加对应的代理服务。
技术应用：应用代理技术
优势：检查了应用层的数据
劣势：检测效率低，配置运维难度极高，可伸缩性差

1,因为需要防火墙进行先一步安全识别，所以，转发效率会降低（原来的三层握手就会变成
6次握手）
2,可伸缩性差：每一种应用程序需要代理的话，都需要开发对应对应的代理功能，如果没有
开发，则无法进行代理。

传统防火墙（状态检测防火墙）一首次检查建立会话表
判断信息：P地址、端口号、TCP标记
工作范围：数据链路层、网络层、传输层(24层)
和包过滤防火墙的区别：
包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。
是包过滤防火墙的升级版，一次检查建立会话表，后期直接按会话表放行。
技术应用：状态检测技术
优势：主要检查3-4层能够保证效率，对TCP防御较好
劣势：应用层控制较弱，不检查数据区

入侵检测系统(IDS)—网络摄像头
部署方式：旁路部署，可多点部署
工作范围：2-7层
工作特点：根据部署位置监控到的流量进行攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头
目的：传统防火墙只能基于规则执行“是”或“否”的策略，DS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。

IDS ---一种侧重于风险管理的安全机制---滞后性

入侵防御系统(IPS)—抵御2-7层已知威胁
部署方式：串联部署
工作范围：2-7层
工作特点：根据已知的安全威胁生成对应的过滤器（规则），对于识别为流量的阻断，对于未识别的放通
目的：DS只能对网络环境进行检测，但却无法进行防御，PS主要是针对已知威胁进行防御

防病毒网关(AV)一基于网络侧识别病毒文件
判断信息：数据包
工作范围：2-7层
目的：防止病毒文件通过外网络进入到内网环境

Web应用防火墙(WAF)一专门用来保护web应用
判断信息：http协议数据的request和response
工作范围：应用层(7层)
目的：防止基于应用层的攻击影响Web应用系统
主要技术原理：
①代理服务：会话双向代理，用户与服务器不产生直接链接，对于DDOS攻击可以抑制
②特征识别：通过正则表达式的特征库进行特征识别
③算法识别：针对攻击方式进行模式化识别，如SQL注入、DDOS、XSS等

统一威胁管理(UTM)—多合一安全网关
包含功能：FW、IDS、IPS、AV
工作范围：2-7层(但是不具备web应用防护能力)
目的：将多种安全问题通过一台设备解决
优点：功能多合一有效降低了硬件成本、人力成本、时间成本
缺点：模块串联检测效率低，性能消耗大

下一代防火墙(NGFW)—升级版的UTM
包含功能：FW、IDS、IPS、AV、WAF
工作范围：2-7层
和UTM的区别：
与UTM相比增加的web应用防护功能：
UTM是串行处理机制，NGFW是并行处理机制；
NGFW的性能更强，管理更高效

防火墙的控制
带内管理--通过网络环境对设备进行控制--telnet,,ssh,web--登录设备和被登
录设备之间网络需要联通

防火墙的管理员

本地认证--用户信息存储在防火墙上，登录时，防火墙根据输入的用户名和密码进行
判断，如果通过验证，则成功登录。
服务器认证--和第三方的认证服务器对接，登录时，防火墙将登录信息发送给第三方
服务器，之后由第三方服务器来进行验证，通过则反馈给防火墙，防火墙放行。
一般适用于企业本身使用第三方服务器来存储用户信息，则用户信息不需要重复创
建。
服务器/本地认证--优先使用服务器认证，如果服务器认证失败，则也不进行本地认
证。只有在服务器对接不上的时候，采用本地认证

防火墙的组网
    物理接口
        二层口--不能配IP
            普通的二层口
            接口对-·“透明网线”--可以将两个接口绑定成为接口对，如果流量从一个接口进入，则
            必定从另一个接口出去，不需要查看MAC地址表。--其实一个接口也可以做接口对，从该
            接口进再从该接口出
            旁路检测接口-~主要用于防火墙的旁路部署，用于接收镜像口的流量。
        三层口-可以配IP

虚拟接口
    换回接口
    子接口
    链路聚合
    隧道接口

Bypass--4个千兆口其实是两队oypassl口。如果设备故障，则两个接口直通，保证流量不中
断。
虚拟系统--VRF技术，相当于逻辑上将一台设备分割为多台设备，平行工作，互不影响。需
要通过接口区分虚拟系统的范围。
管理口和其余物理接口默认不在同一个虚拟系统中。

安全区域
Trust-一般企业内网会被规划在trust区域中
Untrust--一般公网区域被规划在untrust[区域中
我们将一个接口规划到某一个区域，则代表该接口所连接的所有网络都被规划到该区
域。
Local--指设备本身。凡是由设备构造并主动发出的报文均可以认为是从Iocl区域发出的，
凡是需要设备响应并处理的报文均可以认为是由Locall区接受。我们无法修改local[区的配置，
并且我们无法将接口划入该区域。接口本身属于该区域。
Dz--非军事化管理区域--这个区域主要是为内网的服务器所设定的区域。这些服务器本
身在内网，但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以，这个区域
就代表是严格管理和松散管理区域之间的部分管理区域。
优先级--1-100--越大越优--流量从优先级高的区域到优先级低的区域--出方向
(outbound)，流量从优先级低的区域到高的区域--入方向(inbound)

安全策略
传统的包过滤防火墙--其本质为ACL列表，根据数据报中的特征进行过滤，之后对比规制，
执行动作。
五元组--源P,目标P,源端口，目标端口，协议

安全策略-相较于ACL的改进之处在于，首先，可以在更细的颗粒度下匹配流量，另一方面
是可以完成内容安全的检测。

安全策略--1，访问控制（允许和拒绝）2,内容检测--如果允许通过，则可以进行内容检测

防火墙的状态检测和会话表
基于流的流量检测--即设备仅对流量的第一个数据包进行过滤，并将结果作为这一条数据流
的“特征”记录下来(记录在本地的“会话表”)，之后，该数据流后续的报文都将基于这个
特征来进行转发，而不再去匹配安全策略。这样做的目的是为了提高转发效率。

当web服务器给PC进行回报时，来到防火墙上，防火墙会将报文中的信息和会话表的信
息进行性比对，如果，发现报文中的信息与会话表中的信息相匹配，并且，符合协议规
范对后续报文的定义，则认为该数据包属于P℃，可以允许该数据包通过。

1,会话表--会话表本身也是基于元组来区分流量，会话表在比对时，会通过计算
HASH来比较五元组。因为HASH定长，所以，可以基于硬件进行处理，提高转发效
率。
因为会话表中的记录只有在流量经过触发时才有意义，所以，如果记录长时间不被触
发，则应该删除掉。即会话表中的记录应该存在老化时间。如果会话表中的记录被删除
掉之后，相同五元组的流量再通过防火墙，则应该由其首包重新匹配安全策略，创建会
话表，如果无法创建会话表，则将丢弃该数据流的数据。
如果会话表的老化时间过长：会造成系统资源的浪费，同时，有可能导致新的会话表项
无法正常建立
如果会话表的老化时间过短：会导致一些需要长时间首发一次的报文连接被系统强行中
断，影响业务的转发。
不同协议的会话表老化时间是不同

状态检测技术
状态检测主要检测协议逻辑上的后续报文，以及仅允许逻辑上的第一个报文通过后创建
会话表。可以选择开启或者关闭该功能。

FTP协议是一个典型的C/S架构的协议
Tftp--简单文件传输协议
1,FTP相较于Tftp存在认证动作
2,FTP相较于Tftp拥有一套完整的命令集

FTP工作过程中存在两个进程，一个是控制进程，另一个是数据的传输进程，所以，需要使
两个端口号20,21
并且，FTP还存在两种不同的工作模式--主动模式，被动模式

主动模式

被动模式

ASPF--针对应用层的包过滤·-~用来抓取多通道协议中协商端口的关键数据包，之后，将端
口算出，将结果记录在sever-map表中，相当于开辟了一条隐形的通道。

防火墙的用户认证
防火墙管理员登录认证--检验身份的合法性，划分身份权限
用户认证·上网行为管理的一部分
用户，行为，流量--上网行为管理三要素
用户认证的分类
上网用户认证-三层认证--所有的跨网段的通信都可以属于上网行为。正对这些行
为，我们希望将行为和产生行为的人进行绑定，所以，需要进行上网用户认证。
入网用户认证--二层认证--我们的设备在接入网络中，比如插入交换机或者接入wfi
后，需要进行认证才能正常使用网络。
接入用户认证--远程接入-VPN--主要是校验身份的合法性的

认证方式
本地认证-~用户信息在防火墙上，整个认证过程都在防火墙上执行
服务器认证--对接第三方服务器，防火墙将用户信息传递给服务器，之后，服务器将
认证结果返回，防火墙执行对应的动作即可
单点登录--和第三方服务器认证类似。

登录名--作为登录凭证使用，一个认证域下不能重复
显示名--显示名不能用来登录，只用来区分和标识不同的用户。如果使用登录名区分，则也
可以不用写显示名。显示名可以重复。
账号过期时间-~可以设定一个时间点到期，但是，如果到期前账号已登录，到期后，防火墙
不会强制下线该用户。
允许多人同时使用该账号登录
私有用户-一仅允许一个人使用，第二个人使用时，将顶替到原先的登绿
公有用户--允许多个人同时使用一个账户
IP/MAC绑定--用户和设备进行绑定(IP地址/MAC地址)
单向绑定--该用户只能在这个P或者这个MAC或者这个P/MAC下登录，但是，其他
用户可以在该设备下登录
双向绑定--该用户只能在绑定设备下登录，并且该绑定设备也仅允许该用户登录。
安全组和用户组的区别--都可以被策略调用，但是，用户组在调用策略后，所有用户组成员
以及子用户组都会生效，而安全组仅组成员生效，子安全组不生效。

认证策略

Portal--这是一种常见的认证方式。我们一般见到的网页认证就是portali认证。我们做上网
认证，仅需要流量触发对应的服务时，弹出窗口，输入用户名和密码进行认证。
免认证-需要在P/MAC双向绑定的情况下使用，则对应用户在对应设备上登录时，就可以
选择免认证，不做认证。
匿名认证~和免认证的思路相似，认证动作越透明越好，选择匿名认证，则登录者不需要输
入用户名和密码，直接使用P地址作为其身份进行登录。

防火墙的NAT
静态NAT--一对一
动态NAT--多对多
NAPT--一对多的NAPT--easy ip
--多对多的NAPT
服务器映射
源NAT-基于源IP地址进行转换。我们之前接触过的静态NAT,动态NAT,NAPT都属于源
NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网
目标NAT--基于目标P地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为
了保证公网用户可以访问内部的服务器
双向NAT--同时转换源IP和目标P地址

配置黑洞路由--黑洞路由即空接口路由，在NAT地址池中的地址，建议配置达到这个地址指
向空接口的路由，不然，在特定环境下会出现环路。（主要针对地址池中的地址和出接口地址
不再同一个网段中的场景。）

高级
NAT类型--五元组NAT--针对源IP,目标P,源端口，目标端口，协议这五个参数识别出
的数据流进行端口转换
三元组NAT--针源P,源端口，协议三个参数识别出的数据流进行端口转换

在保留地址中的地址将不被用于转换使用

动态NAT创建完后，触发访问流量后会同时生成两条server-.map的记录，其中一条是反向记
录。反向记录小时前，相当于是一条静态NT记录，外网的任意地址，在安全策略放通的情况
下，是可以访问到内网的设备。
基于端口的NAT转换，是不会生成server-.map表的。

安全区域--值的是需要访问服务器的设备所在的区域。
源NAT在安全策略之后执行，目标NAT在安全策略之前执行（因为自动生成的安全策略的目标
地址是转换后的地址，说明需要先进行转换，再触发安全策略）

双向NAT

多出口NAT
源NAT
第一种：根据出接口，创建多个不同的安全区域，再根据安全区域来做NAT
第二种：出去还是一个区域，选择出接口来进行转换
目标NAT
第一种：也可以分两个不同的区域做服务器映射
第二种：可以只设置一个区域，但是要注意，需要写两条策略分别正对两个接口的地址
池，并且，不能同时勾选允许服务器上网，否则会造成地址冲突。

防火墙的智能选路
就近选路--我们希望在访问不同运营商的服务器是，通过对应运营商的链路。这样可以提高
通信效率，避免绕路。

策略路由-PBR
传统的路由，仅基于数据包中的目标P地址查找路由表。仅关心其目标，所以，在面对
一些特殊的需求时，传统路由存在短板，缺乏灵活性，适用场景比较单一。
策略路由本身也是一种策略，策略主要先匹配流量，再执行动作。策略路由可以从多维
度去匹配流量，之后，执行的动作就是定义其转发的出接口和下一跳。策略路由未尾隐
含一条不做策略的规则，即所有没有匹配上策略路由的流量，都将匹配传统路由表进行
转发。
如果存在多条策略路由，则匹配规则也是自上而下，逐一匹配，如果匹配上了，则按照
对应动作执行，不再向下匹配；

DScP优先级--相当于在数据包中设定其转发的优先级(利用的是IP头部中tos字段)，
之后下游设备会根据优先级来差异化保证流量的通过。
动作：
转发-可以定义其转发的方式
转发其他虚拟系统-VRF
不做策略路由

监控-当策略是单出口时，如果这里写的下一跳和出接口不可达，报文将直接被W丢
弃。为了提高可靠性，我们可以配置针对下一跳的监控，即使下一跳不可达，也可以继
续查找本地路由表，而不是直接丢弃。

基于链路带宽的负载分担会按照多条链路的带宽比例来分配流量。并且，如果配置的过
载保护阈值，则一条链路达到过载保护阈值之后，除了已经创建会话表的流量依然可以
从该接口通过外，该接口将不再参与智能选路，需要新建会话表的流量将从其余链路中
按照比例转发。

会话保持--开启该功能后，流量首次通过智能选路的接口后，会创建会话表，后续命
中会话表的流量都将通过同一个接口来进行转发，选择源P和目的P的效果时，所有相
同源P或者目标P的流量将通过同一个接口转发。-应对于不希望链路频繁切换的场
景。

丢包率--FW会发送若干个探测报文(默认5个)，将统计丢包的个数。丢包率等于回
应报文个数除以探测报文个数。丢包率是最重要的评判依据。
时延--应答报文接受时间减去探测报文发送时间。FW会发送若干个探测报文，取平均
时延作为结果进行评判
延时抖动--两次探测报文时延差值的绝对值。FW会发送若干个探测报文，取两两延时
抖动的平均值。

首次探测后会将结果记录在链路质量探测表中，之后，将按照表中的接口来进行选路。
表中的老化时间结束后，将重新探测。

优先级也是由网络管理员针对每一条链路手工分配的。
执行逻辑：
1,接口没有配置过载保护：
优先使用优先级最高的链路转发流量，其他链路不工作。直到优先级最高的链路故
障，则优先级次高的链路开始转发流量。其余链路依旧不工作。
2,接口配置了过载保护：
优先使用优先级最高的链路转发流量，其他链路不工作；如果最高的链路达到或超
过保护阈值，则优先级次高的链路开始工作。

防火墙和路由器在进行可靠性备份时，路由器备份可能仅需要同步路由表中的信息就可以了，
但是，防火墙是基于状态检测的，所以，还需要同步记录状态的会话表等。所以，防火墙需要
使用到双机热备技术。
双机-目前防火墙的双机热备技术仅支持两台设备
热备--两台设备同时运行，在一台设备出现故障的情况下，另一台设备可以立即替代
原设备。
VRRP技术
虚拟路由器冗余协议-“实的不行来虚的”
Initialize--在VRRP中，如果一个接口出现故障之后，则这个接口将进入到该过渡状态
VRRP备份组之间是相互独立的，当一台设备上出现多个VRRP组时，他们之间的状态无法
同步。
VGMP----VRRP Group Management Protocol
华为私有协议--这个协议就是将一台设备上的多个VRRP组看成一个组，之后统一进行
管理，统一切换的协议。以此来保证VRRP组状态的一致性。

HRP-Huawei Redundancy Protocol--华为冗余协议
这是一款华为的私有协议--备份配置信息和状态信息。
HRP备份有一个前提，就是两台设备之间必须专门连一根用于备份的线路，这跟线路我
们称为心跳线(广义上，任何两台设备之间的链路都可以叫做心跳线)
心跳线的接口必须是一个三层接口，需要配置对应的1P地址。这条备份数据的链路不受
路由策略限制(直连场景。非直连场景依然需要配置安全策略。)
HRP协议本身算是VGMP协议的一部分
HP的心跳线也会传递心跳报文，用于检测对端是否处于工作状态。这个周期时间默认
1s,逻辑和vrp一样，只有主设备会周期发送，备设备仅监听即可，如果在三个周期
内，都没有收到HRP的心跳报文，则将认定原主设备故障，则将进行失效判断，认定自
身为主。
VGMP的报文也是通过这条心跳线发送的。
配置信息-策略，对象，网络里面的一些配置都属于配置信息。（接口P地址，路由
之类的不同步，因为这些是需要在双机组建之前配置的）

状态信息--会话表，server-map,黑名单，白名单。。。
·会话表· SeverMap表 黑名单 白名单
·PAT方式端口映射表
·NO-PAT方式地址映射表
·二层转发表(静态MAC备份)
·AAA用户表(缺省用户admin不备份)
。在线用户监控表
·PKI证书，CRL
·IPSect备份
■支持KE、IKEv2安全联盟的备份
■支持隧道的批量备份
■支持隧道和序列号的实时备份

第一种备份方式-自动备份
默认开启自动备份，可以实时备份配置信息。但是，自动备份不能立即同步状态信息。
一般是在主设备上状态生成后一段时间(10s左右)同步到备设备上。
Hrp standby config enable--这个命令可以让备设备上的配置同步到主设备上。
第二种备份方式手工备份
由管理员手工触发，可以立即同步配置信息以及状态信息。
第三种备份方式-快速备份
该模式仅使用在负载分担的工作方式下。
因为负载分担的场景下，两台设备都需要处于工作状态，为了避免因为状态信息同步不
及时，导致业务流量中断，所以，该场景下，默认开启快速备份。
快速备份可以实时同步状态信息。但是，该方式不同步配置信息。