防御保护-防火墙

已于 2024-01-24 22:45:51 修改
阅读量1.1k 收藏 26
点赞数 38
分类专栏: 防御保护 文章标签: 网络 服务器 运维
于 2024-01-23 19:13:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72210904/article/details/135740853
版权

1.防火墙的主要职责:

控制和防护--安全策略(本质ACL)--防火墙可以根据安全策略来抓取流量之后做出相应的动作   2-4层

2.防火墙分类:

吞吐量:防火墙同一时间处理的数据量

3.防火墙的发展历程

包过滤防火墙

应用代理防护墙:

状态检测防火墙

UTM统一威胁管理

它是一种多合一安全网关  2-7层   串行处理机制   深度检查技术(检查流)

        在UTM中各功能模块是串联工作,所以检测效率并没有得到提升,但是集成在一台设备上,维护成本极大降低。

下一代防火墙(NGFW)

它是升级版UTM--并行处理机制

改进点核心:相较于之前的UTM中各个模块串联部署,变为并行部署,仅需要一次测试,所有流量都可以做出对应的处理。大大提高了工作效率

4.病毒防护系统 

入侵检测系统(IDS)

网络摄像头---旁路检测--侧重流量

入侵防御系统(IPS)

串联部署---侧重流量

防病毒网关(AV)

--基于网络测识别病毒文件---侧重文件---2-7层

web应用防火墙(WAF)

--专门用来保护web应用--7层

5.防火墙的其他功能:

防火墙的控制:

        带内管理:通过网络环境对设备进行控制---telent,ssh,web--登陆设备和被登录设备间网络联通

        带外管理:console线,mini usb 线

6.防火墙的一些概念 

华为防火墙MGMT接口(G0/0/0)出厂时默认配置的有IP地址:192.168.0.1/24,并且该接口默认开启了DHCP和web登录的功能,方便进行web管理

默认账号admin/密码Admin@123

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit --- 开启管理口web登录服务

本地认证:

用户信息存储在防火墙上,登陆时,防火墙根据输入的用户名和密码进行判断,如果通过验证,则成功登陆

服务器认证:

和第三方的服务器对接,登陆时防火墙将登录信息发送给第三方服务器,之后由第三方服务器进行验证,通过则反馈给防火墙 ,防火墙放行。

一般适用于企业本身使用第三方服务器来存储用户信息,则用户信息不需要重复创建。

服务器/本地认证

优先使用服务器认证,如果服务器认证失败,则也不进行本地认证。只有在服务器对接不上的时候,采用本地认证

信任主机 

可以添加一个地址或者网段,则其含义是只有在该地址活着地址段内,可以登录管理设备,最多可以添加10条信息。 

防火墙的组网

物理接口二层口 --- 不能配IP

普通的二层口 接口对 --- “透明网线” 

         可以将两个接口绑定成为接口对,如果流量从一个接口进入,则 必定从另一个接口出              去,不需要查看MAC地址表 ,其实一个接口也可以做接口对,从该 接口进再从该接口出

旁路检测接口 --- 主要用于防火墙的旁路部署,用于接收镜像口的流量。

三层口 --- 可以配IP

 虚拟接口 :换回接口 子接口 链路聚合 隧道接口 vlan接口 

 扩展接口:插板卡

Bypass --- 4个千兆口其实是两队bypass口。如果设备故障,则两个接口直通,保证流量不中 断。 虚拟系统 --- VRF技术,相当于逻辑上将一台设备分割为多台设备,

虚拟系统 --- VRF技术,相当于逻辑上将一台设备分割为多台设备,平行工作,互不影响。需 要通过接口区分虚拟系统的范围。

管理口和其余物理接口默认不在同一个虚拟系统中。

ping优先级高于安全策略

        不同的虚拟空间之间通信使用的虚拟接口,只需要配置IP地址即可。新创建一个虚拟系统会自动生成一个虚拟的接口。 

安全区域

Trust--一般企业内网会被规划在这个区域中

UNtrust---一般公网区域被规划在这个区域中

        我们将一个接口规划到某一个区域,代表该接口所连接的所有网络都被规划到该区域

Local--指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的

        凡是设备响应并处理的报文均可以是由local区接受。我们无法修改local区域的配置,并且我们接口划入该区域。接口本身属于该区域

DMZ--非军事化管理区域--这个区域主要是为内网的服务器所设定的区域,这些服务器本身在内网但是需要对外提供服务,他们相当于处于内网和外网之间的区域,所以,这个区域 就代表是严格管理和松散管理区域之间的部分管理区域。

优先级 --- 1 - 100 --- 越大越优 --- 流量从优先级高的区域到优先级低的区域 --- 出方向(outbound)  流量从优先级低的区域到高的区域 --- 入方向 (inbound)

路由模式----接口三层

透明模式---接口二层

旁路模式

管理:方便管理防火墙---三层

混合模式

坚持@success
关注
  • 38
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
D盾防火墙- 版本 v2.1.7.2 d-safe-2.1.7.2-0107,主动防御保护软件,以内外保护的方式防止网站
03-01
专为IIS设计的一个主动防御保护软件,以内外保护的方式 防止网站和服务器给入侵,在正常运行各类网站的情 况下,越少的功能,服务器越安全的理念而设计! 限制了常见的入侵方法,让服务器更安全! 支持系统:win2003/win2008/win2012/win2016/win2019/win2022 PHP支持:FastCGI/ISAPI (版本:5.x至7.x) 1.针对aspx的样本加入了新的识别。 2.针对上传 doc格式文件提示“上传格式不符” 的修正。 3.工具“HTTPS安全”,把 TLS 1.1 和 TLS 1.0 设置为默认不选中,一般用IIS,可以不用老版本的协议。如使用了早期的MSSQL的用户,需要把TLS1.1和TLS1.0选上,请用户按自己的情况做选择。 4.针对phpstudy安装的mysql加了了降权功能上的识别,能使用D盾的数据库降权功能进行降权操作。 5.修正一些小BUG。
网络安全---NS-CH12-防火墙.pptx
06-09
网络安全 CH12—防火墙 1 网络安全---NS-CH12-防火墙全文共70页,当前为第1页。 2 目录(CONTENTS) 防火墙的基本原理 001 防火墙技术 010 防火墙的配置方案 011 WAF 100 网络安全---NS-CH12-防火墙全文共70页,当前为第2页。 防火墙(firewall)是位于两个(或多个)网络间实施网间访问控制的组件的集合 满足以下条件: 内网和外网的所有网络数据流必须经过防火墙 只有符合安全策略的数据流才能通过防火墙 防火墙自身对渗透(penetration)是免疫的 例如,在企业网络与Internet之间加一道防护 3 防火墙的基本原理 网络安全---NS-CH12-防火墙全文共70页,当前为第3页。 防火墙通常是单独的计算机、路由器或专有硬件设备,充当访问网络的唯一入口点 只有来自授权主机的连接请求才会被处理,其他连接请求被丢弃 主要用于保护内部网络免受外部不安全网络的侵害 防火墙也可用于Intranet各部门网络之间(内部防火墙) 财务部与教务部之间 4 防火墙的基本原理 网络安全---NS-CH12-防火墙全文共70页,当前为第4页。 Internet 1. 企业内部网 2. 部门子网 3. 分公司网络 5 防火墙示意图 网络安全---NS-CH12-防火墙全文共70页,当前为第5页。 防火墙实现数据流控制通过预先设定安全规则来实现 安全规则由匹配条件和处理方式两部分组成: 如果满足某种条件,将执行某种动作 规则根据组织的访问控制策略来制订 大多数防火墙规则中的处理方式包括: Accept:允许数据包或信息通过 Reject:拒绝数据包或信息通过,并且通知信息源该信息被禁止 Drop:直接将数据包或信息丢弃,不通知信息源 6 防火墙的基本原理 网络安全---NS-CH12-防火墙全文共70页,当前为第6页。 防火墙常采用以下两种基本策略之一: "默认允许"原则:没有明确禁止的都是允许的 主要由Reject或Drop规则组成 信息逐条与规则匹配,一旦匹配就会被防火墙丢弃或禁止,如果不能与任何规则匹配,则通过防火墙 "默认拒绝"原则:没有明确允许的都是禁止的 主要由Accept规则构成 信息逐条与规则匹配,只要与其中一条匹配,则允许通过;如果不能与任何规则匹配则信息不能通过防火墙 7 防火墙的基本策略 网络安全---NS-CH12-防火墙全文共70页,当前为第7页。 按照使用对象可分为: 个人防火墙:一般以软件服务的形式实现,为个人计算机提供简单的防火墙功能。可能会随操作系统附带,价格较低 企业防火墙:隔离本地网络与外界网络的一道防御系统。可以使企业内部网与Internet或与其他外部网络互相隔离、限制网络互访来保护内部网络。实现形式:软件、硬件 8 防火墙的分类 网络安全---NS-CH12-防火墙全文共70页,当前为第8页。 从技术上,防火墙可以分为: 包过滤防火墙(Packet Filtering) 静态包过滤防火墙 动态包过滤防火墙(状态检测防火墙) 代理技术 应用层代理(应用网关,代理服务器) 电路级网关 混和型防火墙 9 防火墙的分类 网络安全---NS-CH12-防火墙全文共70页,当前为第9页。 包过滤防火墙:工作在网络层和传输层。设定访问控制列表ACL(Access Control List),检查所有通过的数据包,并按照给定的规则进行访问控制和过滤 如果防火墙设定某一IP地址的站点为不宜访问,那么来自这个地址的所有信息都会被防火墙屏蔽掉 可在路由器中实现:许多路由器产品都可以实现包过滤功能,如Cisco、华为、H3C、DEC、IBM、锐捷等路由器产品 10 包过滤防火墙 华为 AR3200-S商业旗舰级系列企业路由器 网络安全---NS-CH12-防火墙全文共70页,当前为第10页。 包过滤防火墙的操作方式: 对包过滤装置的端口设置包过滤规则 数据包到达过滤端口时,对数据包头部进行分析。大多数包过滤装置只检查IP、TCP/UDP头部字段 包过滤规则按一定的顺序存储。当包到达时,按过滤规则的存储顺序对包进行检查 如果一条规则禁止接收包,则不允许该数据包通过 如果一条规则允许接收包,则允许该数据包通过 如果一个数据包不满足任何规则,则该包被阻塞或允许通过,(由防火墙默认规则决定) Remark:规则顺序非常重要——否则有可能将本要拒绝的数据包通过 11 包过滤防火墙 网络安全---NS-CH12-防火墙全文共70页,当前为第11页。 包过滤技术的发展: 第一代:静态包过滤防火墙 只在OSI模型的网络层工作,能够准许或阻止IP地址和端口等 一个纯静态包过滤防火墙根据如下信息过滤: 源IP地址、目标IP地址 源端口、目标端口 包类型:ICMP/EGP/TCP/UDP TC
防御保护-防火墙综合实验
m0_64998040的博客
02-19 167
FW1FW2。
防御保护---防火墙组网
zhoutong2323的博客
01-24 1083
一.防火墙概述。
防御保护---防火墙的病毒防御
zhoutong2323的博客
02-21 1100
防火墙的防病毒网关(AV)是一种网络安全设备,用于检测和阻止恶意软件(如病毒、蠕虫、木马等)进入或传播到网络系统中。传统防病毒网关需要缓存文件再再进行特征库的比对完成检测;因此需要占用设备资源可能造成转发延迟,遇到一些大型文件可能存在无法缓存的问题从而无法进行防病毒造成安全风险。代理扫描和流扫描的区别代理扫描 :文件需要全部缓存来完成更多的高级操作(如解压,脱壳等)从而实现高检测率但是会导致效率较低,占用资源较大。流扫描 :基于文件片段进行扫描效率较高,但是测率有限。
防御保护--防火墙的双机热备
m0_72210904的博客
01-29 1100
一开始,我们FW1将 两个VRRP组都拉入VGMP_ACTIVE组中,因为ACTIVE组的状态时active,所以,里面 两个vrrp组的状态也是active(VGMP组的状态决定了VRRP组的状态),FW2同理。原主设备在接受到对方的应答报文之 后,因为将其VGMP组状态切换,所以,同时将其内部的VRRP组状态由原来的active状 态切换为standby状态(注意,故障接口依旧保持init的状态。但是,因为这里启用VGMP在,则VRRP 切换状态将由VGMP接管,VRRP的机制名存实亡。
防御保护----防火墙NAT综合实验
Tmg3202915143的博客
02-03 294
一.在FW1防火墙新建NAT策略,使得办公区的设备通过电信和移动的链路访问ISP。
防御保护---防火墙状态检测
zhoutong2323的博客
01-29 911
FTP(文件传输协议)是一个用于在计算机网络上进行文件传输的协议。它是一种基于客户端-服务器架构的标准协议(C/S架构),用于在计算机之间传输文件。FTP 协议使用两个端口来进行传输:一个用于控制进程(21端口),另一个用于数据连接进程(20端口)。控制连接主要用于发送命令和接收服务器的响应,而数据连接则用于实际的文件传输。主动模式和被动模式。在主动模式下,客户端向服务器发送连接请求,并在数据传输时监听一个随机端口。在被动模式下,服务器会在被请求时打开一个随机的高端口,并将其告知客户端。
防御保护---防火墙的NAT转换
zhoutong2323的博客
01-30 843
NAT策略配置完成后需要配置一条安全策略 ,如上图。
D盾查杀工具,D盾-防火墙
02-08
『D盾_防火墙』专为IIS设计的一个主动防御保护软件,以内外保护的方式 防止网站和服务器给入侵,在正常运行各类网站的情 况下,越少的功能,服务器越安全的理念而设计! 限制了常见的入侵方法,让服务器更安全!
D盾防火墙服务器防御工具
04-23
『D盾_防火墙』专为IIS设计的一个主动防御保护软件,以内外保护的方式 防止网站和服务器给入侵,在正常运行各类网站的情 况下,越少的功能,服务器越安全的理念而设计! 限制了常见的入侵方法,让服务器更安全!
skynet-天网防火墙
04-07
天网防火墙个人版是个人电脑使用的网络安全程序,根据管理者设定的安全规则...与以往的版本相比,天网防火墙(个人版)设置了完善的声音报警系统,当出现异常情况的时候,系统会发出预警信号,从而让用户作好防御措施。
防御保护---防火墙的用户认证
zhoutong2323的博客
01-29 740
防火墙用户认证是一种安全措施,用于验证和授权网络用户的身份。它是防火墙的一部分,旨在确保只有经过身份验证的用户才能访问网络资源。防火墙用户认证分类上网用户认证:用户跨网段上网时需要认证。(上网行为管理)入网用户认证:设备接入网络时需要认证(WIFI密码登录验证)接入用户认证:一旦用户的身份验证成功,他们将被允许接入网络,并可以开始使用网络资源。(VPN)用户认证方式分类本地认证:基于防火墙自身的数据进行验证。
Java网络编程(上)
最新发布
qq_34471880的博客
06-01 816
数据在网络的传输, 局域网的概念, 广域网的概念, 网络协议, TCP五层模型, 网络封装 网络分用
冶炼钢铁厂热风炉发酵池煤矸石进回水无线远程温度监测
weixin_46970383的博客
05-30 299
Modbus RTU 标准Modbus-RTU通信协议。Modbus RTU使用二进制格式传输数据,并使用串行通信协议(如RS-232或RS-485)进行数据传输。它通常用于连接不同厂家的可编程逻辑控制器(PLC)、传感器、执行器和其他自动化设备。
note-网络是怎样连接的4 接入网和网络运营商
qq_42783188的博客
05-29 413
在BAS和运营商路由器之间的ADSL/FTTH接入服务商的网络中建立隧道,把用户到BAS的接入网连接起来,形成一条从用户一直到运营商路由器的通道。这些状况不是稳定出现的。一方路由器让相连的运营商的路由器告知路由信息后,就能知道对方路由器连接的所有网络,把这些信息写入自己的路由表中,就能向那些网络发送包了。运营商之间的路由交换是在特定路由器间一对一进行的,运营商可以只将路由信息提供给交了费的运营商,没交费的运营商无法将网络包发送过来。Modem产生的信号是以一定周期振动的波,振动的起始位置不同,波形就不同。
解密网络流量监控:优化IT运维的利器
Johnstons的博客
05-29 341
通过实时监测和分析网络流量,管理员可以及时发现并解决网络问题,确保业务的顺畅进行。作为一名资深网络工程师,我将分享一些关于网络流量监控的重要知识,并探讨如何在IT运维中运用这一工具优化网络性能,确保业务的顺畅进行。网络流量监控是指对网络中的数据流进行实时监测和分析,以了解网络使用情况、性能状况和潜在问题。通过网络流量监控,可以及时发现网络拥塞、异常流量和安全威胁,帮助管理员快速做出反应,保障网络的稳定运行。定期对监控数据进行分析,发现网络性能问题的潜在原因,并采取相应的优化措施,从而持续提升网络性能。
IP协议说明
banchengl的博客
05-28 1262
IP 指网际互连协议, Internet Protocol 的缩写,是 TCP/IP 体系中的网络层协议。设计 IP 的目的是提高网络的可扩展性:一是解决互联网问题,实现大规模、异构网络的互联互通;二是分割顶层网络应用和底层网络技术之间的耦合关系,以利于两者的独立发展。根据端到端的设计原则, IP 只为主机提供一种无连接、不可靠的、尽力而为的数据包传输服务。
天融信TG-4628防火墙
12-19
- 多层次防护:该防火墙支持多种安全功能,包括入侵检测和防御、应用层过滤、反病毒和反垃圾邮件等,可以提供全面的网络安全保护。 - 灵活的策略管理:用户可以根据自己的需求和网络环境,灵活地配置和管理防火墙的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值