网络防御安全知识(第二版)

安全策略

传统的包过滤防火墙 --- 其本质为ACL列表,根据数据报中的特征进行过滤,之后对比规制,

执行动作。

五元组 --- 源IP 目标IP,源端口, 目标端口,协议

安全策略 --- 相较于ACL的改进之处在于,首先,可以在更细的颗粒度下匹配流量,另一方面

是可以完成内容安全的检测。

安全策略 --- 1,访问控制(允许和拒绝)

2, 内容检测 --- 如果允许通过,则可以进行内容检测

需求: DMZ区存在两台服务器,现在要求生产区的设备仅能在办公时间(9:00 - 18:00)

访问,办公区的设备全天都可以访问。

以上部分均为流量匹配条件

每一项之间的关系为“与”关系,如果不进行选择,则默认为any

多选的里面,每一项之间的关系为“或”

防火墙的状态检测和会话表

基于流的流量检测 --- 即设备仅对流量的第一个数据包进行过滤,并将结果作为这一条数据流

的“特征”记录下来(记录在本地的“会话表” 后,该数据流后续的报文都将基于这个

特征来进行转发,而不再去匹配安全策略。这样做的目的是为了提高转发效率。

web服务器给PC进行回报时,来到防火墙上, 防火墙会将报文中的信息和会话表的信

息进行性比对,如果,发现报文中的信息与会话表中的信息相匹配,并且,符合协议规

范对后续报文的定义,则认为该数据包属于PC,可以允许该数据包通过。

1,会话表; 2,状态检测

会话表 --- 会话表本身也是基于5元组来区分流量,会话表在比对时,会通过计算

HASH来比较五元组。因为HASH定长,所以,可以基于硬件进行处理,提高转发效

率。

因为会话表中的记录只有在流量经过触发时才有意义,所以,如果记录长时间不被触

发,则应该删除掉。即会话表中的记录应该存在老化时间。如果会话表中的记录被删除

掉之后,相同五元组的流量再通过防火墙,则应该由其首包重新匹配安全策略,创建会

话表,如果无法创建会话表,则将丢弃该数据流的数据

如果会话表的老化时间过长:会造成系统资源的浪费, 同时,有可能导致新的会话表项

无法正常建立

如果会话表的老化时间过短:会导致一些需要长时间首发一次的报文连接被系统强行中

断,影响业务的转发。

不同协议的会话表老化时间是不同

[USG6000V1]display firewall session table  --- 查看会话表

[USG6000V1]display firewall session table  verbose -- 查看会话表详情

状态检测技术

状态检测主要检测协议逻辑上的后续报文,以及仅允许逻辑上的第一个报文通过后创建

会话表。可以选择开启或者关闭该功能。

数据通过防火墙的流程

ASPF

FTP --- 文件传输协议

FTP协议是一个典型的C/S架构的协议

Tftp --- 简单文件传输协议

1, FTP相较于Tftp存在认证动作

2, FTP相较于Tftp拥有一套完整的命令集

FTP工作过程中存在两个进程,一个是控制进程,另一个是数据的传输进程,所以,需要使用 两个端口号20, 21;并且, FTP还存在两种不同的工作模式 --- 主动模式,被动模式

主动模式

被动模式

192, 168, 1, 1,8, 2 --- 前面是IP地址信息,后面的8, 2代表的是端口号信息,计算方  --- 8 * 256 + 2 = 2050

FTP这种使用多个端口号的协议叫做多通道协议(双通道协议)

ASPF --- 针对应用层的包过滤  --- 用来抓取多通道协议中协商端口的关键数据包,之后,将端 口算出,将结果记录在sever-map表中,相当于开辟了一条隐形的通道。默认FTP协议开启了ASPF

防火墙的用户认证

防火墙管理员登录认证 --- 检验身份的合法性,划分身份权限

用户认证 --- 上网行为管理的一部分

用户,行为,流量 --- 上网行为管理三要素

用户认证的分类

上网用户认证 --- 三层认证 --- 所有的跨网段的通信都可以属于上网行为。正对这些行 为,我们希望将行为和产生行为的人进行绑定,所以,需要进行上网用户认证。

入网用户认证 --- 二层认证 --- 我们的设备在接入网络中, 比如插入交换机或者接入wifi 后,需要进行认证才能正常使用网络。

接入用户认证 --- 远程接入 --- VPN --- 主要是校验身份的合法性的

认证方式

本地认证 --- 用户信息在防火墙上,整个认证过程都在防火墙上执行

服务器认证 --- 对接第三方服务器, 防火墙将用户信息传递给服务器,之后,服务器将

认证结果返回, 防火墙执行对应的动作即可

单点登录 --- 和第三方服务器认证类似。

认证域 --- 可以决定认证的方式和组织结构

登录名 --- 作为登录凭证使用,一个认证域下不能重复

显示名 --- 显示名不能用来登录,只用来区分和标识不同的用户。如果使用登录名区分,则也 可以不用写显示名。显示名可以重复。

账号过期时间 --- 可以设定一个时间点到期,但是,如果到期前账号已登录,到期后, 防火墙 不会强制下线该用户。

允许多人同时使用该账号登录

私有用户  --- 仅允许一个人使用,第二个人使用时,将顶替到原先的登录

公有用户 --- 允许多个人同时使用一个账户

IP/MAC绑定 --- 用户和设备进行绑定(IP地址/MAC地址)

单向绑定 --- 该用户只能在这个IP或者这个MAC或者这个IP/MAC下登录,但是,其他 用户可以在该设备下登录

双向绑定 --- 该用户只能在绑定设备下登录,并且该绑定设备也仅允许该用户登录。

安全组和用户组的区别 --- 都可以被策略调用,但是,用户组在调用策略后,所有用户组成员 以及子用户组都会生效,而安全组仅组成员生效,子安全组不生效。

认证策略

Portal --- 这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网 认证,仅需要流量触发对应的服务时,弹出窗口,输入用户名和密码进行认证。

免认证 --- 需要在IP/MAC双向绑定的情况下使用,则对应用户在对应设备上登录时,就可以 选择免认证,不做认证。

匿名认证 --- 和免认证的思路相似,认证动作越透明越好,选择匿名认证,则登录者不需要输 入用户名和密码,直接使用IP地址作为其身份进行登录。

认证域

如果这里的上网方式选择protal认证,则认证策略里面也要选择portal认证。

如果这里的上网方式选择免认证或者单点登录,则认证策略中对应动作为免认证 如果认证策略中选择的是匿名认证,则不触发这里的认证动作。

不同的认证域之间是或的关系

防火墙的NAT

静态NAT --- 一对一

动态NAT --- 多对多

NAPT --- 一对多的NAPT --- easy ip

--- 多对多的NAPT

服务器映射

NAT --- 基于源IP地址进行转换。我们之前接触过的静态NAT,动态NAT NAPT都属于源 NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网

目标NAT --- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目NAT。是为 了保证公网用户可以访问内部的服务器

双向NAT--- 同时转换源IP和目标IP地址

NAT是在安全策略之后执行。

  • 18
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入攻击是一种利用输入的SQL代码进行非法操作的攻击方式。攻击者可以通过在输入框中注入恶意的SQL代码,从而绕过应用程序的认证和授权机制,对数据库进行各种操作,例如删除、修改、插入数据,甚至获取数据库中的敏感信息。 《SQL注入攻击与防御第二版》是一本关于SQL注入攻击的防御和应对策略的书籍。该书介绍了SQL注入攻击的原理、常见的攻击方式、实际案例以及相应的防御措施。 在防御SQL注入攻击时,我们可以采取以下一些措施: 1. 使用参数化查询或预编译语句:这种方式可以防止攻击者通过输入恶意的SQL代码来注入攻击。参数化查询使用占位符来代替输入的变量,预编译语句将SQL查询语句和变量分开进行处理,从而有效防止注入攻击。 2. 对输入进行过滤和验证:在接收用户输入时,可以对输入进行过滤和验证。例如,可以使用正则表达式或编码转换函数来过滤用户输入中的特殊字符,从而防止注入攻击。 3. 最小权限原则:数据库用户应该被赋予最小权限,在应用程序连接数据库时,使用具有最小权限的数据库用户,限制了攻击者对数据库的操作。 4. 定期更新和升级软件:应该及时更新数据库和应用程序的补丁,以修复已知的漏洞,提高系统的安全性。 5. 日志监控和异常检测:及时监控数据库操作日志,发现异常操作并进行相应的处理。可以通过设置数据库的审计功能、使用入侵检测系统等方式进行日志监控和异常检测。 通过了解并遵循上述防御措施,可以增强系统的安全性,有效地防范SQL注入攻击。《SQL注入攻击与防御第二版》这本书将为读者提供更深入的理解和应对策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值