网络安全--防御保护02

最新推荐文章于 2024-05-20 17:20:00 发布
最新推荐文章于 2024-05-20 17:20:00 发布
阅读量1.3k 收藏 26
点赞数 18
分类专栏: 网络安全-防御 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68976043/article/details/135790021
版权

第二天重要的一个点是区域这个概念

防火墙的主要职责在于控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作

防火墙的分类:

单一主机防火墙:专门有设备作为防火墙

路由集成:核心设备,可流量转发

分布式防火墙:部署多个

吞吐量 --- 防火墙同一时间处理的数据量

防火墙发展历史:

说白了就是ACL

五元组是用来标识一条数据流的(协议类型是网络层)

缺点:

1.很多安全风险集中在应用层,所以仅关注三四层的数据无法做到完全隔离安全风险

2.逐包进行包过滤检测,将导致防火墙的转发效率过低,成为网络中的瓶颈

在ACL列表中,华为体系下,末尾是没有隐含规则的,即就是如果匹配不到ACL列表,则认为ACl列表不存在,之前可以通过,则还可以通过;但是在防火墙的安全策略中,为了保证安全,末尾会隐含一条拒绝所有的规则,即就是只要没有放通的流量,都是不能通过的

1.因为需要防火墙进行先一步安全识别,所以,转发效率会降低(原来的三次握手会变成六次握手)

2.可伸缩性差:每一种应用程序需要代理的话,都需要开发对应的代理功能,如果没有开发,则无法代理

“会话包技术” ---首包检测

入侵检测设备为独立的设备(检测日志的)

IDS---一种侧重于风险管理的安全机制---滞后性

旁路部署为电路思想中的并联部署

旁路:不影响本来的情况

针对主题为流量

针对主体为文件

因为众多的专用设备导致企业在部署安全防护时,需要同时部署大量的设备进行防护,则设备维护成本大大提高,所有设备都需要对流量进行检测,所以,效率很低

UTM中,各功能模块是串联工作的,所以检测效率并没有得到提升,但是因为集成在一台设备中,所以维护成本得到了降低

改进点核心:相较于之前UTM中各模块的串联部署变为了并联部署,仅需要一次检测,所有功能板块都可以做出相应的处理,大大提高了工作效率

多点部署:范围问题,性能问题

防火墙的其他功能

网络环境支持:三层交换机特点---像路由器也像交换机

二层口:只能解封装二层不能配ip

三层口:能配ip

防火墙的控制

带内管理---通过网络环境对设备进行控制---telnetsshweb---登录设备和被登录设备需要联通

带外管理---console线连接,mini usb线(备用)

华为防火墙的MGMT接口也就是G0/0/0接口默认出厂时,默认配置有ip地址192.168.0.1/24,并且该接口默认开启了DHCPWeb登录的功能,方便进行web管理

防火墙管理员

用户权限等级

本地认证 --- 用户信息存储在防火墙上,登录时防火墙根据输入的用户名和密码进行判断,如果通过认证,则成功登录

服务器认证 ---  和第三方的认证服务器对接,登录时,防火墙将登录信息发送给第三方服务器之后由第三方服务器来进行验证,通过则反馈给防火墙,防火墙放行。

一般适用于企业本身使用第三方服务器来存储用户信息,则用户信息不需要重复创建。

服务器/本地认证---优先使用服务器认证,如果服务器认证失败,则也不进行本地认证。只有在服务器对接不上的时候,才用本地认证

信任主机:添加一个ip或一个网段,则其含义是只有在该地址或者地址段内可以登录管理设备---最多可以添加10个信任主机

防火墙的组网

物理接口

二层口---不能配IP

普通的二层口

接口对---”透明网线“(深信服)---可以将两个接口绑定成为接口对,如果流量从一个接口进入,则必定从另一个接口出去,不需要查看MAC地址表。---其实一个接口也可以做接口对,从该接口进再从该接口出

旁路检测接口---主要用于防火墙的旁路部署,用于接收防火墙的镜像流量

三层口---可以配IP

虚拟接口

环回接口

子接口

链路聚合

telnet接口

VLAN接口

Bypass --- 4个千兆口其实是两队bypass口(容错机制,内部直通)---如果设备故障,则两个接口直通,保证流量不中断

虚拟系统 --- VRF技术,相当于逻辑上将一台设备分割为多太设备,平行工作,互不影响。需要通过接口区分虚拟系统的范围

管理口和其余物理接口默认不在同一个虚拟接口中

高于安全策略 

接口队默认为truck

不同的虚拟空间之间通信使用的虚拟接口,只需要配置IP地址即可,新创建一个虚拟系统会自动生成一个虚拟的接口

安全区域

Trust --- 一般企业内网会被规划在Trust区域中

Untrust --- 一般公网区域被规划在untrust区域中

我们将一个接口规划到某一个区域,则代表该接口所连接的所有网络都被规划到该区域

Local---指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的,凡是需要设备响应并处理的报文,均可以认为是有Local区接收。我们无法修改Local区的配置,并且我们无法将接口划入该区域。接口本身属于该区域。

Dmz---非军事化管理区域--这个区域主要是为内网的服务器所设定的区域。这些服务器本身在内网,但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以,这个区域就代表的是严格管理和松散管理之间的部分管理区域

优先级--- 1-100 --- 取值是越大越优 ---流量从优先级高的区域到优先级低的区域 --- 出方向(outbound

      流量从优先级低的区域到优先级高的区域 --- 入方向  (inbound)

路由模式---

1,接口,区域配置完成

2,内网配置回包路由

3,是否需要配置服务器映射

4,配置内网访问外网的NAT

5、针对内外网的安全策略

透明模式---

旁路模式---

混合模式---

 

凌晨五点的星
关注
  • 18
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全-防火墙安全加固
A soul tortured by desire
09-01 2457
网络安全-防火墙三面三层防御安全加固
网络安全--安全攻防概述
热门推荐
weixin_43774199的博客
08-18 1万+
目录 一、安全攻防简介 1.1安全攻防介绍 1.2网络安全概述 1.3网络攻击: 1.4安全防御 二、信息安全发展历程 2.1信息安全发展简介 2.2信息安全发展历程 三、信息安全职业发展方向 3.1信息安全职业前景 3.2信息安全职业发展方向 课程目标:这节课我们来介绍安全攻防以及信息安全的职业发展历程,去了解什么是安全攻防以及安全攻防的基本概念,攻击和防御的由来。 任务目标:通过对这节课的学习,能够对安全攻防有进一步的了解和认识,掌握安全攻防基本概念,了解信息安全的发展历程和职
信息安全-网络安全主动防御技术与应用(二)
我的个人博客
09-10 2415
网络攻击陷阱技术与应用、入侵容忍及系统生存技术与应用、隐私保护技术与应用、网络安全前沿技术发展动向
信息安全-网络安全主动防御技术与应用(一)
我的个人博客
09-09 3544
入侵阻断技术与应用、软件白名单技术与应用、网络流量清洗技术与应用、可信计算技术与应用、数字水印技术与应用
信息安全工程师笔记-网络安全主动防御技术与应用
IT1995的博客
09-21 1567
入侵防御系统(IPS) 入侵防御系统(Intrusion Prevention System)是一种主动的、积极的入侵防范及阻止系统(防火墙是被动的),它部署在网络的进出口处,当检测到攻击企图后,自动地将攻击包丢掉或采取措施将攻击源阻断。 IPS与IDS(Intrustion Detection System)的区别 部署方式不同: ①IDS产品在网络中是旁路式工作; ②IPS产品在网络中是串接式工作。 串接式工作保证所有网络数据都经过IPS设备,IPS检测数据流中的恶意代码,核对.
防御保护--VPN
m0_72210904的博客
02-24 1885
VPN --- 虚拟专用网 --- 一般指依靠ISP或者其他NSP,也可以是企业自身,提供的一条虚拟网 络专线。这个虚拟的专线是逻辑上的,而不是物理上的,所以称为虚拟专用网。总结:VPN诞生的原因1,物理网络不适用,成本太高,并且如果位置不固定,则无法构 建物理专线2,公网安全无法保证 由于VPN的诞生,导致网络部署的灵活性大大提升。
网络安全--风险评估
songbai220
12-13 2692
风险评估 what is 对各方面风险进行辨识和分析的过程,是依据国际/国家有关信息安全技术标准,评估信息系统的脆弱性、面临的威胁以及脆弱性被威胁利用的可能性,和利用后对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性锁产生的实际负面影响,并以此识别信息系统的安全风险过程 信息安全风险评估 分析确定风险的过程 信息安全建设的起点和基础 信息安全建设和管理的科学方法 实际上是在倡导一种适度安全 信息化的重要经验 why to do 充分反应当前的安全现状 提供信息安全防御机制的建议 很好的同等
安全防御 --- 防火墙
weixin_62443409的博客
03-17 2519
每个安全区域都有自己的优先级,用1-100的数字表示,数字越大,则代表该区域内的网络越可信。报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。报文在两个方向上流动时,将会触发不同的安全检查。
网络安全笔记-TCP/IP
L120305q的博客
09-18 1万+
网络安全笔记-TCP/IP
安全防御 --- SSL VPN
weixin_62443409的博客
07-01 1万+
有浏览器的设备就可以使用SSL,进而使用SSL VPN。无需担心客户端问题,所以SSL VPN也称为无客户端VPN。SSL VPN在client to lan场景下特别有优势。
网络安全 - 等级保护2.0.zip
07-20
等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流...
# 网络安全教程-.md
04-02
网络安全是指保护计算机网络系统不受未经授权的访问、破坏、更改或泄露的威胁和行为。随着互联网的普及和信息化程度的提高,网络安全问题日益突出。本教程将介绍网络安全的基本概念、常见威胁、防御技术和实践经验。
消除网络单点安全故障-北电分层防御
03-04
采用分层防御方法保护安全是北电统一安全服务框架的关键属性。这种方法为企业和政府客户提供多种实施安全架构解决方案的选项,最有效的满足他们特有的网络和业务安全需求。
HCIE-security认证课件
04-09
模块一信息安全管理.pptx 模块一信息安全防范与趋势.pptx...模块四云数据中心网络安全技术.pptx 模块四华为云安全架构设计.pptx 模块五日志管理.pptx 模块五第四章态势感知技术CIS.pptx 模块五华为HiSec解决方案.pptx等
青藤云-大型企业纵深防御安全解决方案-5
07-18
从国家层面的《网络安全法》, 到行业内的《2021年电力安全监管重点任务》 《交通运输行业信息 系统安全等级保护基本要求》等,相关监管部门推出一系列政策标准,要求加强大型企业安全能力建设。 青藤自适应安全...
web安全之登录框渗透骚姿势,新思路
qq_47289634的博客
05-10 581
越权漏洞的挖掘大部分是通过对比两个用户的请求包以及响应包,来观察不同之处,有的时候替换一下响应包就直接越权,其中特别要关注的是uid,这里在挖掘逻辑漏洞和越权漏洞时建议使用burp中的compare模块进行两个数据包的比对,非常直观。width=500&height=100导致可以随意更改大小,配合脚本批量请求,很容易就会把带宽占满,造成dos攻击。不管漏洞挖掘还是挖SRC,登录框都是重点关注对象,什么漏洞都有可能出现,登录框也是框,见框就插就对了,说不定会有奇效。看到登录框,输入信息后,抓包。
Upstream最新发布2024年汽车网络安全报告-百度网盘下载
最新发布
qq_18209847的博客
05-20 137
Levy总结道:“在负责保护车队、电动汽车充电站和基础设施的网络安全利益相关者中,对汽车网络安全的重要性日益增加。特别是在GenAI日益普及的情况下,其降低了黑帽子行为者的进入门槛,使他们能够比以往更快、更有效地进行大规模攻击。这份报告的第六版着重介绍了汽车网络安全的拐点:从实验性的黑客攻击发展到规模庞大的攻击,并产生了怎样的影响。另外今年的报告还提供了关于网络攻击的财务影响的独到见解,它提供了一个可操作的框架,用于在现实场景中衡量网络攻击的货币影响。
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 360
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全的编程语言和框架,减少漏洞的产生。
【linux系统学习教程 Day03】网络安全之Linux系统学习教程,用户和用户组管理,创建用户,删除用户,创建组,删除组....
m0_67844671的博客
05-17 680
【linux系统学习教程 Day03】网络安全之Linux系统学习教程,用户和用户组管理,创建用户,删除用户,创建组,删除组....
mce-821网络安全
07-15
它可以通过入侵检测系统(IDS)和入侵防御系统(IPS)等技术来实现网络安全防护。 4. 安全审计与日志管理:MCE-821可以记录和管理网络中的操作日志,方便对网络安全事件进行分析和溯源。这样可以帮助企业及时发现并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值