![](https://img-blog.csdnimg.cn/20201014180756724.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
CSSN
文章平均质量分 52
Mllllk
只想做自己想做的,学自己想学的
展开
-
华为URPF
概述对于传统的网络转发设备来说,主要依靠的就是路由表,只要有路由就转发,如果没有就不转发。可以说对于要转发的报文,网络转发设备是无条件的完全信任,这就导致了IP欺骗的问题,这也是诸多内网IP欺骗的来源,列如在一个局域网的内部,可以在某台主机上面使用流量制造工具进行虚假流量的制造,这些流量的目的可能就是对当前网络进行扰乱。像IP-MAC的绑定也可以防范IP欺骗以及ARP欺骗,IP-MAC绑定技术主要是人为设置的IP-MAC的映射关系,于是在报文转发或者arp记录学习的过程中就会对映射关系进行检查,原创 2022-04-21 08:46:44 · 655 阅读 · 0 评论 -
常见畸形包
1、IP欺骗2、IP分片错误报文fraggle特意制造该分片但是不分片的报文,不该分片但是却设置了相关分片信息的报文3、Teardrop:Teardrop的攻击原理是:攻击者A给受害者B发送一些分片IP报文,并且故意将“13位分片偏移”字段设置成错误的值(既可与上一分片数据重叠,也可错开),B在组合这种含有重叠偏移的伪造分片报文时,会导致系统崩溃4、smurf:制造ICMP的目的IP地址设置为目的主机所在网段的广播,源地址为目的主机的地址,所以这就导致目的主机会收到网段主机的ICMP flood的攻原创 2022-04-20 20:55:54 · 2907 阅读 · 0 评论 -
DNS Reply Flood防御原理
介绍DNS Reply flood攻击和防御原理。DNS Reply Flood是指攻击者在一定条件下将大量伪造的DNS应答包发送给某个DNS服务器或主机,从而消耗服务器的处理性能。FW基于目的地址对DNS回应报文速率进行统计,当DNS回应报文速率超过阈值时,启动源认证。当FW收到DNS Reply报文时,构造携带新的Query ID和源端口的DNS Request探测报文。当FW再次收到对端发出的DNS Reply报文时,检查DNS Reply报文中的Query ID和源端口与DNS Req.原创 2022-04-20 18:27:22 · 1318 阅读 · 0 评论 -
DNS request Flood防范
1、通知客户端使用TCP的方式DNS是可以通过TCP的方式进行DNS查询的,如果DNS服务器在响应报文中回应需要使用TCP的报文进行查询,那么正常的客户端会使用进行TCP方式的DNS查询,如果是虚假客户端则不会响应。以这种方式与TCP的源认证类似,当客户端正常响应了服务器的回应使用TCP方式进行DNS查询,那么防火墙就会将该源IP记录到白名单中,后续的DNS查询将不会对其进行DNS防范2、DNS重定向的方式DNS重定向的方式去判断客户端的真实性,当客户端发送DNS请求的时候,会向客户端发原创 2022-04-20 16:34:35 · 2469 阅读 · 0 评论 -
ICMP Flood防范
ICMP Flood防御原理介绍ICMP flood的攻击和防御原理攻击者短时间内发送大量的ICMP报文到被攻击目标,导致依靠会话转发的网络设备会话耗尽引起网络瘫痪,如果采用超大报文攻击也会导致网络链路拥塞。比如ping命令上面就有某个选项可以调整ICMP报文的发送大小,最大时65500B,在一些普通的主机上都没有对这个大ICMP包进行防范,所以如果没有对ICMP的大小进行限制那么毫无疑问将会产生十分严重的后果。所以一般来说,如果我们在网络上使用ping命令去制造一些大的ICMP报文希望某些网站的服原创 2022-04-20 16:17:35 · 1509 阅读 · 0 评论 -
SYN FLOOD攻击防范
概述说起SYN FLOOD的攻击主要的攻击原理就是让服务器创建多个半连接由此来使得服务器的资源被消耗殆尽。下面是华为防火墙的三个主要防护手段:1、TCP代理TCP代理的核心思想就是代表服务器去建立TCP的半连接,与防火墙充当SSL的解密中间人类似,它主要是充当一个TCP的中间人的角色,当有TCP连接的时候先和FW进行TCP的三次握手,若客户端可以正常的完成三次握手,那么FW就代替客户端与内部服务器进行TCP的三次握手,其实整个流程下来总共完成了两次的TCP握手,于是后续的关于该TCP会话原创 2022-04-20 15:20:12 · 5297 阅读 · 0 评论 -
华为SSL流量安全解析
概述针对早期的安全设备来说,若客户端与服务器之间使用的是https,那么任何数据都已经变为加密数据了,如果没有进行特殊处理,对报文内容进行解密,那么无论是防火墙上的任何相关的安全内容的功能可能都不会去生效,比如反病毒,针对华为的防火墙来说,他的反病毒主要是依靠识别支持的协议,并从流量中提取特征在病毒库中进行特征匹配之后才会进行相关的安全内容的检查,二对于华为防火墙内置的IPS来说,几乎也是大同小异也是靠收集来的巨大的签名特征库去对相关的流量进行审查。但是若数据被SSL层加密了,那么就可以说是无计可施..原创 2022-04-20 13:37:48 · 1344 阅读 · 0 评论 -
华为DNS过滤
上图是URL过滤以及DNS过滤的两个流程图, 其实都差不多,主要是URL的涉及到的东西比较多。比如外部恶意URL引入,白名单嵌入。但是大体上其实都是类似的,先从本地的预置库中读取,然后当有相关流量触发了DNS的检查那么就进行DNS的匹对,如果查不到就查询远端服务器,URL过滤使用的远端服务器和DNS过滤使用的远端服务器是一样的。它们的配置也差不多, 主要区别在下面:在URL中还涉及了URL缓存,URL缓存中有几种区别信誉URL以及恶意URL还有预置库中的URL,但是在配置中并没有体现出来..原创 2022-04-19 19:26:55 · 1445 阅读 · 1 评论 -
华为URL思绪总结
首先是加密流量过滤,这个功能的主要作用就是为了让https的URL也可以经过防火墙的过滤,恶意流量URL检测的勾选代表着当防火墙上预置地URL库中如果没有办法查询到相对应的URL的时候,它就会去远程地查询相对应的服务器,当然远程服务器的相关参数肯定是要进行确定的。URL的来源主要有两个,但是最终我们都是要将URL导入到防火墙的缓存之后才能去使用,首先第一个来源就是本地预先设置的URL库,这个在对象-->URL分类中就可以看见到,然后第二个来源就是URL的远程服务器,我们在系统--->URL分..原创 2022-04-19 09:20:40 · 1402 阅读 · 1 评论 -
华为入侵检测思绪总结
IPS的实现机制1、IP分片的重组以及TCP流的重组,防止因为分片对导致防火墙的逃脱2、协议识别和协议解析,通过对报文的协议类型以及报文的上层内容识别,深入提取报文的特征3、特征匹配,当防火墙识别了报文的上层的协议类型以及相关的内容,就会进行报文的特征匹配只有匹配到了相关的IPS特征库之后才会进行下一步的处理所以从上面可以看出IPS的实现机制主要是依靠分片和流的重组以及上层协议的识别,相关的不良内容的识别主要依靠的是防火墙内部的IPS特征库4、当匹配到了相对应的特征之后就会进行相对应的处原创 2022-04-18 21:59:41 · 989 阅读 · 0 评论 -
华为防火墙反病毒(个人思绪总结)
首先华为的防火墙主要支持一些应用层的传输协议,其次再应用层之上有诸多的应用软件使用这些协议,如果http,FTP等。当判断其是支持的协议之后,会再判断相关的流来源是否在白名单之中,如果在白名单之中,那么就意味着可以逃避防火墙的病毒检查。然后没有匹配上白名单的流量会进行病毒特征库的检查,病毒特征库在系统--->升级中心中可以去进行导入和升级,一般防火墙联网之后会去sec.huawei.com的网站去进行病毒特征库的下载,当进入防火墙的流量匹配上了病毒特征库,那么第一件事会判断该病毒是否是病毒例外,...原创 2022-04-18 18:47:39 · 1727 阅读 · 0 评论 -
华为内容安全反病毒总结
本篇内容主要根据上面的图以及它的配置界面进行分析1、因为这块反病毒最后是要与安全策略进行绑定的,所以当流量进入后会进行应用的识别,因为华为的防火墙是有协议的限制,如下图所示:协议支持后会进行白名单的匹配,白名单的匹配的限制是根据IP地址以及url,命令的格式如下图所示:如果不在白名单里面的话,那么就代表这个协议防火墙是支持的,而且也不在白名单里面,那么从这里就是开始病毒检测真正开始的地方...原创 2022-04-18 14:25:32 · 787 阅读 · 0 评论 -
华为防火墙邮件过滤
如上图所示:邮件的过滤主要分为邮件内容的过滤以及垃圾邮件的过滤邮件内容过滤邮件内容过滤主要过滤的参数是,是否是匿名邮件,以及在发送邮件以及接收邮件的时候,邮件的发送者和接收者的地址,发送者和接收者的地址组的创建通过下面这个图的视图下去创建:邮件地址可以是www@qq.com这样的,也可以是IP地址同时还可以制定邮件中附加的个数,防止过多的附加导致的邮件臃肿。垃圾邮件过滤垃圾邮件过滤中,可以设置白名单和黑名单去进行放行和限制,邮件内容过滤就是更细一点的控...原创 2022-04-23 20:06:13 · 1394 阅读 · 0 评论 -
华为防火墙内容过滤
概述内容过滤顾名思义,它的过滤限制主要是根据在网络上进行相关内容传输的时候,去根据传输内容中的关键字进行匹配,如果匹配到了,那么就进行过滤新建内容过滤规则应用类型文件共享类型文件类型单词过滤单词过滤指的是精确匹配,没有勾选就是粗略匹配动作方向以及普通的告警和阻断我就不说了。什么是按权重累计阈值按权重累计阈值要和上图中的关键字组结合在一起,关键字组是人为事先定义好的用于字符匹配的关键字组,当有内容匹配到关键字组的时候...原创 2022-04-17 11:47:32 · 1201 阅读 · 0 评论 -
华为防火墙文件过滤
1、完成相关功能的授权文件过滤功能是包含在内容安全里面的一个子功能,所以我们首先需要在系统--->License中确定内容安全组合是被授权的。2、进行相关功能组件的导入进入上图的 视图下,点击在线升级或者本地升级,将相关的安全组件包导入,不然相关的内容安全功能是显示不出来的3、文件过滤条目的设置文件过滤功能的配置视图如上图所示:差不多相关的后续的安全检查都是在安全配置文件中总的来说,现在文件传输软件还是比较多的,在华为的文件过滤功能中,限制的..原创 2022-04-17 11:05:28 · 1388 阅读 · 1 评论