防御保护课-理论

一、安全设备（防火墙）

二、内容安全

三、数据安全

网络安全（网络空间安全Cyberspace）概述：

03年由美国提出网络空间的概念---一个由信息基础设施组成的互相依赖的网络

我国官方文件定义---网络空间为继海、陆、空、天以外的第五大人类活动领域

通信保密阶段->计算机安全阶段->信息系统安全->网络空间安全->APT攻击->高级持续性攻击

1.信息安全挑战：

2.信息安全的脆弱性及常见安全攻击

协议栈自身的脆弱性-缺乏数据源验证机制、缺乏机密性保障机制、缺乏完整性验证机制

不同TCP/IP协议栈层的攻击： 

网络的基本攻击模式-截获（被动攻击）、篡改、中断、伪造（主动威胁）

链路层-泛洪攻击、ARP欺骗

网络层-ICMP攻击

传输层-TCP SYN Flood攻击（dos攻击-拒绝服务）

SYN洪水攻击 ：1、使用代理防火墙---每目标IP代理阈值，每目标ip丢包阈值； 2、首包丢包； 3、SYN cookie

3.恶意程序特点：

1、非法性； 2、隐蔽性； 3、潜伏性； 4、可触发性； 5、表现性； 6、破坏性； 7、传染性； 8、针对性； 9、变异性； 10、不可预见性

信息安全五要素：保密性，完整性，可用性，可控性，不可否认性

防火墙

防火墙的核心任务:1、控制和防护；2、安全策略；3、通过安全策略识别流量并做出相应的动作

防火墙发展历程：

9个不同历程防火墙的特点：

自上向下逐一匹配，匹配上则不再向下匹配，结尾隐含一条拒绝所有的规则。

缺点： 1、因为只关注三四层数据，无法检测应用层，则无法充分的识别安全风险 ；2、需要逐包匹配检测，则效率较低，可能会成为网络的瓶颈。 

优点：可以检测应用层数据

缺点：1、效率变低 ；2、可伸缩性变差--每一种应用都需要开发对应的代理功能，否则无法代理 

IDS可以发现安全风险，可以记录，分析以及反馈，但是，并不会直接处理或者消除风险。侧重于风险管理的安全设备，存在一定的滞后性。 

重于风险控制的安全设备 

串联部署 

带外管理：

设备登录管理子网：console线

带内管理：

Telnet，SSH，web，SNMP

设备登录管理子网：web/ssh/telnet

使用ensp在浏览器上登录到防火墙管理界面：

MGMT--web管理口--g0/0/0上初始IP地址为192.168.0.1/24，且自动开启web和dhcp功能

service-manage all permit --- 开启管理服务

本地认证---用户密码信息存储在防火墙本地，有防火墙判断是否通过认证

服务器认证---对接第三方服务器，用户信息存储在第三方服务器上，由防火墙将用户信息推 送给服务器，由服务器进行判断，并返回结果，防火墙做出登录与否的操作。

服务器/本地认证---正常情况使用服务器认证，如果服务器认证失败，则直接认证失败，不 进行本地认证，只有在服务器对接失败的时候，才采取本地认证。

防火墙接口

接口分为：

物理接口

        三层口-可以配置IP地址

        二层口-普通二层口、接口对、旁路检测接口

虚拟接口

        环回接口-子接口-Vlanif Tunnel-链路聚合

4个千兆Bypass其实是两对Bypass接口--- 如果设备出现故障，则两个bypass将直接短接， 形成通路，不影响网络数据的传输。

虚拟系统---VRF

虚拟系统互通使用的接口，每创建一个虚拟系统，将自动生成一个虚拟接口，仅需要配置IP地 址即可。

添加网关，将自动生成一条指向网关的缺省

接口对默认是trunk干道

防火墙区域

Trust --- 信任区；

Untrust --- 非信任区；

Local --- 防火墙上所有的接口都属于这个区域；

DMZ --- 非军事化管理区域，放置一些对外开放的服务器 将一个接口划入某一个区域，则代表将这个接口所连接的网络划分到对应区域中，而接口本身，永远属于Local。

优先级---1~100

                从优先级高的区域到优先级低的区域----出方向---Outbound

                从优先级低的区域到优先级高的区域----入方向----inbound

四种模式

路由模式

透明模式

旁路检测模式

混合模式

安全策略

传统包过滤技术---其本质就是ACL访问控制列表，根据数据包的特征进行过滤，对比规则， 执行对应的动作

这里数据包的特征（数据包的五元组）：源IP，目标IP，源端口，目标端口，协议

在安全策略中，可以执行两块内容：第一块做访问控制，允许或者拒绝通过；第二块是在允许 通过的情况下，可以进行内容安全的检测，一体化检测。

所有匹配项之间的关系是“与”，一条中如果可以多选，则多个选项之间为“或”关系

防火墙的状态检测和会话表技术：主要机制就是以数据流作为单位，仅针对首包进行检测，检测之后，将数据包的特征记录在本地的会话表中，数据流中的其他数据包来到防火墙，不再匹配安全策略，则匹配会话表，根据会话表来进行转发。

会话表技术（提高转发效率的关键）：老化机制 1，会话表老化时间过长---占用资源，导致一些会话无法正常建立 2，老化时间过短---会导致一些需要长时间发送一次的报文强行终端，影响正常业务

状态检测技术：

1，检测数据包是否符合协议的逻辑顺序； 2，检查是否是逻辑上的首包，只有首包可以创建会话表。 状态检测机制可以选择关闭或者开启

firewall session link-state tcp check --- 命令行中开启状态检测功能的命令，如果需 要关闭，则在该命令前面加undo

ASPF：针对应用层的包过滤：将识别到的端口信息记录在server-map的表中，再根据这个表中的记录，创建会话表

FTP ：文件传输协议

Tftp ：简单文件传输协议

FTP协议相较于Tftp协议： 1、需要进行认证； 2、拥有一套完整的命令集

FTP还分为了两种工作模式：主动模式；被动模式

eg：192，168，1，2，8，2 --- IP地址为：192.168.1.2，端口号：8 * 256 + 2 = 2050

防火墙管理员认证：校验登录者身份合法性

用户认证：上网行为管理中的一环

上网用户认证：三层认证---将用户和行为进行绑定

入网用户认证：二层认证

接入用户认证：VPN ---对身份合法性进行认证

认证方式： 本地认证； 服务器认证

单点登录：和服务器认证的逻辑类似

认证域：可以定义用户的认证方式以及用户的组织结构

登录名：用于登录的凭证，同一个认证域下不可以重复

显示名：用来方便区分用户，不用的登录使用，可以重复，也不是必要项

允许多人同时使用该账号登录：私有用户 ；公有用户

单向绑定：该用户只能在设定的IP或者MAC或者IP/MAC的设备上登录，但该设备也可以让 其他用户登录

双向绑定：该用户可以在设定的IP或者MAC或者IP/MAC的设备上登录，且其他用户不允许 在该设备上登录

安全组和用户组：安全组和用户组都可以关联策略，但是，用户组关联的策略将递归执行， 即其下子用户组均需遵循策略，安全组不递归执行，只有选中的安全组执行策略

认证策略

Portal ：网页认证，在触发需要认证的流量后，将提供网页认证界面，需要在界面中输入用户名和密码进行认证

免认证：认证透明化，在符合单点登录或者IP/MAC双向绑定的前提下，可以不需要进行认 证环节，直接通过IP/MAC地址信息来追溯用户信息

匿名认证：通过流量中的IP地址来作为用户的身份标识，不需要输入用户名和密码

Portal认证：则认证策略里面的动作需要选择protal；

免认证：则认证策略里面需要选择免认证

单点登录：则认证策略里面也选择免认证

注意：如果认证策略里面选择匿名认证，则不触发这里的认证方式 两个认证域之间是“或”的关系

NAT

五种：

静态NAT

动态NAT

Napt：一对多

easy ip：多对多的NAPT

服务器映射

源NAT：基于源IP地址进行转换，包含静态NAT，动态NAT以及NAPT（源NAT是在安全策略之后执行转换）

目标NAT：基于目标IP地址进行转换，以前的端口映射

注意：源NAT的执行在安全策略之后，目标NAT的执行在安全策略之前

双向NAT： 同时转换源IP地址和目标IP地址

针对napt：五元组NAT ：通过源IP，源端口，目标IP，目标端口，协议五个参数来标定一次NAT的转换，如果任何一个参数发生变化，都需要更换端口来进行转换； 

三元组NAT：仅识别源IP，源端口和协议三个参数来区分一次NAT的链接。

端口预分配：可以设定端口转换使用的端口范围

源IP地址数量限制：可以设定一个公网IP地址转换的源IP地址的数量，比如设置为1，则公 网IP地址在会话表老化之前，只能针对一个源IP地址进行转换

保留IP地址：可以将不需要使用的公网IP地址放置在保留IP地址中，则在进行转换的时候，不会使用该地址转换

多出口NAT

源NAT： 1、将不同的接口放置在不同的区域中，基于区域做NAT策略 2、将不同的接口放在同一个区域，基于接口做NAT策略

目标NAT： 1、可以分区域配置两个服务器映射 2、也可以是同一个区域

注意：如果是同一个区域，不能将两条服务器映射策略同时开启“允许服务器访问公网” 智能选路 就近选路：根据访问的节点所在的运营商选择对应的运营商线路

策略路由（PBR）： 策略路由其实也是一种策略，他不仅可以按照现有的路由表进行转发，而且可以根据用户指定的策略进行路由选择的机制，从更多维度决定报文是如何转发的。

如果没有配置监控，则匹配上策略路由的流量发现下一跳不可达，则将直接丢弃数据 包；如果可开启了检测，检测发现目标下一跳不可达，则将使该策略不生效，则直接不 匹配流量，数据包将直接走路由表。

如果一条链路超过了过载保护阈值，则该链路不再参加智能选路（如果已经创建了会话表的流量，则将依然走该链路）将在剩下链路中继续进行智能选路。

1.基于链路带宽进行负载分担

基于源IP的会话保持：来自同一个源IP或者同网段源IP的流量将始终使用同一个出接口转发，适用于对链路切换敏感的场景

基于目的IP的会话保持:访问同一个目标或者相同的目标网段，流量将始终使用同一 个出接口转发，适用于对链路切换敏感的场景

2.基于链路质量进行负载分担

丢包率:防火墙会连续发送若干个（默认5个）探测报文，去计算丢包的比例。（丢包个数/探测报文个数）丢包率是最主要的链路质量参数

时延:防火墙会连续发送若干个（默认5个）探测报文，取五次往返时间的平均值 作为时延参数

 延时抖动:防火墙会连续发送若干个（默认5个）探测报文，取两两之间时延差值 的绝对值的平均值。

3.基于链路权重的负载分担

权重值由网路管理员手工指定

4.根据链路优先级的主备备份

优先级也是由网络管理员手工指定 如果没有配置过载保护，则优先级最高的先工作，当该链路故障，则次高的开始工作， 其余继续备份，以此类推； 如果配置了过载保护，则优先级最高的先工作，当超过保护阈值，则次高的开始工作， 其余继续备份，相当于此时两条链路同时工作，以此类推。

DNS透明代理

防火墙的可靠性

因为防火墙上不仅需要同步配置信息，还需要同步状态信息（会话表等），所以，防火墙不能 像路由器那样单纯的靠动态协议来实现切换，需要用到双机热备技术

 1，双机:目前双机热备技术仅支持两台防火墙的互备 2，热备:两台设备共同运行，在一台设备出现故障的情况下，另一台设备可以立即替 代原设备 （也存在冷备的概念，仅工作一台设备，备份一台设备，备份设备仅同步配置，并不工作，只有在主设备出现故障时，再由管理员替换工作，冷备可能会造成较长时 间的业务中断）

VRRP :虚拟路由器冗余技术

VGMP :(vrrp Group Management Protocol) - HUAWI的私有协议 因为VRRP彼此是独立的，所以，一个VRRP组进行切换不会直接导致其他组同步切换，在防火墙的双机热备场景下，上下有两个VRRP组，需要同步切换，使用传统的上行链路监控，比较复杂，所以，设计了VGMP协议，来对VRRP组进行统一的切换管理

主备的形成场景 :

1，FW1被设定为主设备-FW1中的VGMP的active组被激活，并且将上下两个VRRP组拉 入到VGMP的active组中，并且状态都是ACTIVE

2，FE2被设定为备设备-FW2中的VGMP的standby组被激活，并且将上下两个vrrp组拉入 到VGMP的standby组中，并且状态都是standby （VGMP组中存在优先级的概念，ACTIVE组的默认优先级是65001，standby组默认的优先 级为65000，并且，在VGMP中，所有的主都被成为active，所有的备成为standby）

3，主设备上下两个VRRP组的接口将发送免费ARP报文

FW1接口故障的切换场景 :

1，假设FW1下的接口发生故障，接口的状态会从active状态切换到initialize状态（接口故障 的一个过渡状态）

2，VGMP组感知到接口状态变化，会降低自身的优先级（每一个接口发生故障，则优先级会 降低2）

3，FW1会向FW2发送一个状态变更的请求报文，这个报文中会包含降低后的优先级；

4，FW2收到请求报文后，发现自身的优先级高于对方的优先级，则会将自己standby组的状 态从standby切换为active状态

5，FW2的VGMP组状态发生变化，则组中的VRRP组的状态同步发生变化，都从standby切 换到active

6，FW2回复FW1应答报文，表示允许切换

7，FW1收到应答报文后，将自身ACTIVE组的状态从ACTIVE切换到standby状态，并且，其 中的VRRP组同步将状态切换到standby，不包含故障接口的状态，依旧是initialize状态

8，FW2上下两个VRRP组将发送免费ARP报文，让交换机切换MAC地址表，之后所有的流量 将从FW2通过。

HRP (华为冗余协议):华为的私有协议-可以同步防火墙上的状态和配置信息

配置信息（接口IP地址，路由信息）:hrp不能同步基本的接口和路由信息，安全策略， NAT策略...

状态信息:会话表，server-map，黑名单和白名单等

HRP在进行双机热备时，还有一个要求，两台热备设备之间，必须拥有一条链路，用来同步信 息，并且，这条链路必须是三层链路-这条链路在进行数据传递时，不受安全策略的影响。（注意，如果心跳线是直连的，则不受安全策略的影响，但是，如果中间有中继设备，即非直连场景，则需要配置安全策略）-心跳线-VGMP协议发送的报文也是通过心跳线 传输的。

HRP会周期性的发送心跳报文，只有主设备会发送，周期时间默认为1S，如果备设备在三个周 期时间内默认3S没有收到对方的心跳报文，则认定对方出现故障将以自生为主

HRP三种备份方式:

1，自动备份:自动备份配置和状态信息，但是，配置信息可以立即自动备份，状态信息无 法立即备份，只能通过短暂的延迟之后，在进行备份（10S左右）

2，手工备份:由网络管理员手工触发，可以立即同步配置和状态信息

3，快速备份:该备份方式仅针对负载分担的场景。 无法同步配置信息，仅能同步状态信息，并且可以立即同步状态信息。

各场景过程分析

1，主备形成场景;

2，主备故障切换场景:接口故障;

3，主备故障切换场景:整机故障

整机故障可以通过保活机制来进行切换，主设备发生故障，则不会发送HRP心跳报文， 备设备在超时时间内没有接收到主设备的保活包，则将会进行状态切换；

4，原主设备故障恢复的场景 根据有没有开启抢占分为两种不同的情况:

(1)如果没有开启抢占:原主设备继续以备设备的身份工作 ;(2)开启了抢占

5，负载分担场景

6，负载分担接口故障场景

双机热备配置

如果勾选了主动抢占，则代表开启抢占模式，默认开启60S抢占延迟 （抢占延时主要是为了应对一些接口可能出现反复震荡的情况）

hello报文周期就是保活报文的发送周期，默认是1S，可以修改，但是，需要两边同时修改， 否则可能导致对接不上

注意：1，虚拟mac地址勾选可以让切换对用户全程无感知 2，如果虚拟IP地址和接口IP地址不再同一个网段，则配置时必须配置子网掩码

其他部署模式下的双机热备:

1，双机热备直路部署-上下二层

2，双机热备直路部署-上下三层

防火墙透明部署:上下二层

这种情况下建议使用主备模式不要使用负载分担模式

防火墙透明部署:上下三层

这种模式建议采用负载分担，并建议使用主备模式

防火墙的带宽管理

核心思想:

1，带宽限制:限制非关键业务流量占用带宽的比例 ;2，带宽保证:这里需要保证的是我们关键业务流量；再业务繁忙时，确保关键业务不受影响； 3，连接数的限制:这也是一种限制手段，可以针对一些业务限制他们的链接数量，首先可 以降低该业务占用带宽，其次，可以节省设备的会话资源；

三种核心手段:

1，接口带宽：接口带宽调控的意义在于，如果本端按照较大的传输速率发送数据，对端接 受能力有限，不但起不到增加传输速率的效果，反而可能导致大量的数据包堵塞在链路中，所以，可以区调控出接口的带宽。

2，带宽策略

带宽策略就是针对抓取到的流量执行两种动作 :1，不限流 ;2，限流:限流实质是将流量引入带宽通道中, 默认存在一条针对所有流量不做限流的策略。

3，带宽通道:可以理解为是带宽策略中执行限流动作后的具体实施，也可以理解为是在真 实的物理带宽中，开辟了一些虚拟的流量通道，通过将流量引入这些虚拟的带宽通道中，来限制或者保证业务的带宽。

传统的带宽限制手段:数据丢包，这样可能导致数据包需要重传，造成冗余数据包的拥挤； 所以，类似深信服这样的厂商推行的是缓存不丢包，即将超出限制的数据包缓存之后发送，而不是直接丢弃数据包。

在带宽通道中，主要完成两件事情：第一件是针对超出限制的数据包进行丢包，第二件是可以 针对数据包打上优先级的标签，方便数据包到出接口之后，进行队列调度---根据优先级高 低发送数据包

策略独占：每个带宽策略调用这个通道，都按照通道中的设定执行

策略共享：所有带宽策略调用这个通道，都按照通道中的设定执行

三个场景