网络安全防御笔记

防火墙的主要职责在于:控制和防护 --- 安全策略 --- 防火墙可以根据安全策略来抓取流量之 后做出对应的动作。

1,很多安全风险集中在应用层的,所以,仅关注三四层的数据无法做到完全隔离安全风险

2,逐包进行包过滤检测,将导致防火墙的转发效率过低,成为网络中的瓶颈。 在ACL列表中,华为体系下,末尾是没有隐含规则的,即如果匹配不到ACL列表,则认为ACL列 表不存在,之前可以通过,则还可以通过;但是,在防火墙的安全策略中,为了保证安全,末 尾会隐含一条拒绝所有的规则,即只要没有放通的流量,都是不能通过的。

3,因为需要防火墙进行先一步安全识别,所以,转发效率会降低(原来的三层握手就会变成 6次握手)

4,可伸缩性差:每一种应用程序需要代理的话,都需要开发对应对应的代理功能,如果没有 开发,则无法进行代理。

华为防火墙的MGMT接口(G0/0/0)出厂时默认配置的有IP地址:192.168.0.1/24,并且 该接口默认开启了DHCP和web登录的功能,方便进行web管理。

默认账号:admin,密码:Admin@123

service-manage all permit --- 开启管理口web登录服务

本地认证 --- 用户信息存储在防火墙上,登录时,防火墙根据输入的用户名和密码进行 判断,如果通过验证,则成功登录。 服务器认证 --- 和第三方的认证服务器对接,登录时,防火墙将登录信息发送给第三方 服务器,之后由第三方服务器来进行验证,通过则反馈给防火墙,防火墙放行。

服务器认证 --- 和第三方的认证服务器对接,登录时,防火墙将登录信息发送给第三方 服务器,之后由第三方服务器来进行验证,通过则反馈给防火墙,防火墙放行。 一般适用于企业本身使用第三方服务器来存储用户信息,则用户信息不需要重复创建。

服务器/本地认证 --- 优先使用服务器认证,如果服务器认证失败,则也不进行本地认 证。只有在服务器对接不上的时候,采用本地认证。

安全区域 :

Trust --- 一般企业内网会被规划在trust区域中 Untrust --- 一般公网区域被规划在untrust区域中 我们将一个接口规划到某一个区域,则代表该接口所连接的所有网络都被规划到该区 域。 Local --- 指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的, 凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置, 并且我们无法将接口划入该区域。接口本身属于该区域。 Dmz --- 非军事化管理区域 --- 这个区域主要是为内网的服务器所设定的区域。这些服务器本 身在内网,但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以,这个区域 就代表是严格管理和松散管理区域之间的部分管理区域。

路由模式:

1,接口,区域配置完成

2,内网配置回包路由

3,是否需要配置服务器映射

4,配置内网访问外网的NAT

5,针对内外网的安全策略

安全策略:

传统的包过滤防火墙 --- 其本质为ACL列表,根据数据报中的特征进行过滤,之后对比规制, 执行动作。 五元组 --- 源IP,目标IP,源端口,目标端口,协议

1,访问控制(允许和拒绝) 2,内容检测 --- 如果允许通过,则可以进行内容检测。

防火墙的状态检测和会话表:

基于流的流量检测 --- 即设备仅对流量的第一个数据包进行过滤,并将结果作为这一条数据流 的“特征”记录下来(记录在本地的“会话表”),之后,该数据流后续的报文都将基于这个 特征来进行转发,而不再去匹配安全策略。这样做的目的是为了提高转发效率。

FTP --- 文件传输协议,FTP协议是一个典型的C/S架构的协议

Tftp --- 简单文件传输协议

1,FTP相较于Tftp存在认证动作

2,FTP相较于Tftp拥有一套完整的命令集

FTP工作过程中存在两个进程,一个是控制进程,另一个是数据的传输进程,所以,需要使用 两个端口号20,21 并且,FTP还存在两种不同的工作模式 --- 主动模式,被动模式

像FTP这种使用多个端口号的协议叫做多通道协议(双通道协议)

ASPF --- 针对应用层的包过滤 --- 用来抓取多通道协议中协商端口的关键数据包,之后,将端 口算出,将结果记录在sever-map表中,相当于开辟了一条隐形的通道。

防火墙的用户认证 防火墙管理员登录认证 --- 检验身份的合法性,划分身份权限

用户认证 --- 上网行为管理的一部分:

用户,行为,流量 --- 上网行为管理三要素。

用户认证的分类 :

1,上网用户认证 --- 三层认证 --- 所有的跨网段的通信都可以属于上网行为。正对这些行 为,我们希望将行为和产生行为的人进行绑定,所以,需要进行上网用户认证。

2,入网用户认证 --- 二层认证 --- 我们的设备在接入网络中,比如插入交换机或者接入wifi 后,需要进行认证才能正常使用网络。

3,接入用户认证 --- 远程接入 --- VPN --- 主要是校验身份的合法性的。

认证方式:

本地认证 --- 用户信息在防火墙上,整个认证过程都在防火墙上执行 服务器认证 --- 对接第三方服务器,防火墙将用户信息传递给服务器,之后,服务器将 认证结果返回,防火墙执行对应的动作即可 单点登录 --- 和第三方服务器认证类似。

登录名 --- 作为登录凭证使用,一个认证域下不能重复 显示名 --- 显示名不能用来登录,只用来区分和标识不同的用户。如果使用登录名区分,则也 可以不用写显示名。显示名可以重复。 账号过期时间 --- 可以设定一个时间点到期,但是,如果到期前账号已登录,到期后,防火墙 不会强制下线该用户。

允许多人同时使用该账号登录:

私有用户 --- 仅允许一个人使用,第二个人使用时,将顶替到原先的登录

公有用户 --- 允许多个人同时使用一个账户 IP/MAC绑定 --- 用户和设备进行绑定(IP地址/MAC地址)

单向绑定 --- 该用户只能在这个IP或者这个MAC或者这个IP/MAC下登录,但是,其他 用户可以在该设备下登录

双向绑定 --- 该用户只能在绑定设备下登录,并且该绑定设备也仅允许该用户登录。

安全组和用户组的区别 --- 都可以被策略调用,但是,用户组在调用策略后,所有用户组成员 以及子用户组都会生效,而安全组仅组成员生效,子安全组不生效。

认证策略:

Portal --- 这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网 认证,仅需要流量触发对应的服务时,弹出窗口,输入用户名和密码进行认证。

免认证 --- 需要在IP/MAC双向绑定的情况下使用,则对应用户在对应设备上登录时,就可以 选择免认证,不做认证。

匿名认证 --- 和免认证的思路相似,认证动作越透明越好,选择匿名认证,则登录者不需要输 入用户名和密码,直接使用IP地址作为其身份进行登录。

认证域:

如果这里的上网方式选择protal认证,则认证策略里面也要选择portal认证。

如果这里的上网方式选择免认证或者单点登录,则认证策略中对应动作为免认证

如果认证策略中选择的是匿名认证,则不触发这里的认证动作。

防火墙的NAT:

静态NAT --- 一对一

动态NAT --- 多对多

NAPT --- 一对多的NAPT 

easy ip --- 多对多的NAPT


服务器映射:

源NAT --- 基于源IP地址进行转换。我们之前接触过的静态NAT,动态NAT,NAPT都属于源 NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网。

目标NAT --- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为 了保证公网用户可以访问内部的服务器。

双向NAT --- 同时转换源IP和目标IP地址。

配置黑洞路由 --- 黑洞路由即空接口路由,在NAT地址池中的地址,建议配置达到这个地址指向空接口的路由,不然,在特定环境下会出现环路。(主要针对地址池中的地址和出接口地址 不再同一个网段中的场景。)

NAT类型:

五元组NAT --- 针对源IP,目标IP,源端口,目标端口,协议 这五个参数识别出 的数据流进行端口转换

三元组NAT --- 针源IP,源端口,协议 三个参数识别出的数据流进行端口转换。

动态NAT创建完后,触发访问流量后会同时生成两条server-map的记录,其中一条是反向记 录。反向记录小时前,相当于是一条静态NAT记录,外网的任意地址,在安全策略放通的情况 下,是可以访问到内网的设备。 基于端口的NAT转换,是不会生成server-map表的。

双向nat

多出口NAT
源NAT
第一种:根据出接口,创建多个不同的安全区域,再根据安全区域来做NAT
第二种:出去还是一个区域,选择出接口来进行转换
目标NAT
第一种:也可以分两个不同的区域做服务器映射
第二种:可以只设置一个区域,但是要注意,需要写两条策略分别正对两个接口的地址
池,并且,不能同时勾选允许服务器上网,否则会造成地址冲突。

防火墙的智能选路:

就近选路 --- 我们希望在访问不同运营商的服务器是,通过对应运营商的链路。这样可以提高 通信效率,避免绕路。

策略路由 -- PBR 传统的路由,仅基于数据包中的目标IP地址查找路由表。仅关心其目标,所以,在面对 一些特殊的需求时,传统路由存在短板,缺乏灵活性,适用场景比较单一,如果存在多条策略路由,则匹配规则也是自上而下,逐一匹配,如果匹配上了,则按照 对应动作执行,不再向下匹配;

全局路由策略:

基于链路带宽的负载分担会按照多条链路的带宽比例来分配流量。并且,如果配置的过 载保护阈值,则一条链路达到过载保护阈值之后,除了已经创建会话表的流量依然可以 从该接口通过外,该接口将不再参与智能选路,需要新建会话表的流量将从其余链路中 按照比例转发。

丢包率 --- 防火墙会发送若干个探测报文(默认5个),将统计丢包的个数。丢包率等于回 应报文个数除以探测报文个数。丢包率是最重要的评判依据。 时延 --- 应答报文接受时间减去探测报文发送时间。防火墙会发送若干个探测报文,取平均 时延作为结果进行评判 延时抖动 --- 两次探测报文时延差值的绝对值。防火墙会发送若干个探测报文,取两两延时抖动的平均值。

优先级也是由网络管理员针对每一条链路手工分配的。 执行逻辑:

1,接口没有配置过载保护: 优先使用优先级最高的链路转发流量,其他链路不工作。直到优先级最高的链路故 障,则优先级次高的链路开始转发流量。其余链路依旧不工作。

2,接口配置了过载保护: 优先使用优先级最高的链路转发流量,其他链路不工作;如果最高的链路达到或超 过保护阈值,则优先级次高的链路开始工作。

防火墙和路由器在进行可靠性备份时,路由器备份可能仅需要同步路由表中的信息就可以了,
但是,防火墙是基于状态检测的,所以,还需要同步记录状态的会话表等。所以,防火墙需要
使用到 双机热备技术
双机 --- 目前防火墙的双机热备技术仅支持两台设备
热备 --- 两台设备同时运行,在一台设备出现故障的情况下,另一台设备可以 立即替代
原设备。

VRRP技术: 虚拟路由器冗余协议。在VRRP中,如果一个接口出现故障之后,则这个接口将进入到该过渡状态 VRRP备份组之间是相互独立的,当一台设备上出现多个VRRP组时,他们之间的状态无法同步。

  • 25
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值