一、安全设备(防火墙)
二、内容安全
三、数据安全
网络安全(网络空间安全Cyberspace)概述:
03年由美国提出网络空间的概念---一个由信息基础设施组成的互相依赖的网络
我国官方文件定义---网络空间为继海、陆、空、天以外的第五大人类活动领域
通信保密阶段->计算机安全阶段->信息系统安全->网络空间安全->APT攻击->高级持续性攻击
1.信息安全挑战:
2.信息安全的脆弱性及常见安全攻击
协议栈自身的脆弱性-缺乏数据源验证机制、缺乏机密性保障机制、缺乏完整性验证机制
不同TCP/IP协议栈层的攻击:
网络的基本攻击模式-截获(被动攻击)、篡改、中断、伪造(主动威胁)
链路层-泛洪攻击、ARP欺骗
网络层-ICMP攻击
传输层-TCP SYN Flood攻击(dos攻击-拒绝服务)
SYN洪水攻击 :1、使用代理防火墙---每目标IP代理阈值,每目标ip丢包阈值; 2、首包丢包; 3、SYN cookie
3.恶意程序特点:
1、非法性; 2、隐蔽性; 3、潜伏性; 4、可触发性; 5、表现性; 6、破坏性; 7、传染性; 8、针对性; 9、变异性; 10、不可预见性
信息安全五要素:保密性,完整性,可用性,可控性,不可否认性
防火墙
防火墙的核心任务:1、控制和防护;2、安全策略;3、通过安全策略识别流量并做出相应的动作
防火墙发展历程:
9个不同历程防火墙的特点:
自上向下逐一匹配,匹配上则不再向下匹配,结尾隐含一条拒绝所有的规则。
缺点: 1、因为只关注三四层数据,无法检测应用层,则无法充分的识别安全风险 ;2、需要逐包匹配检测,则效率较低,可能会成为网络的瓶颈。
优点:可以检测应用层数据
缺点:1、效率变低 ;2、可伸缩性变差--每一种应用都需要开发对应的代理功能,否则无法代理
IDS可以发现安全风险,可以记录,分析以及反馈,但是,并不会直接处理或者消除风险。侧重于风险管理的安全设备,存在一定的滞后性。
重于风险控制的安全设备
串联部署
带外管理:
设备登录管理子网:console线
带内管理:
Telnet,SSH,web,SNMP
设备登录管理子网:web/ssh/telnet
使用ensp在浏览器上登录到防火墙管理界面:
MGMT--web管理口--g0/0/0上初始IP地址为192.168.0.1/24,且自动开启web和dhcp功能
service-manage all permit --- 开启管理服务
本地认证---用户密码信息存储在防火墙本地,有防火墙判断是否通过认证
服务器认证---对接第三方服务器,用户信息存储在第三方服务器上,由防火墙将用户信息推 送给服务器,由服务器进行判断,并返回结果,防火墙做出登录与否的操作。
服务器/本地认证---正常情况使用服务器认证,如果服务器认证失败,则直接认证失败,不 进行本地认证,只有在服务器对接失败的时候,才采取本地认证。
防火墙接口
接口分为:
物理接口
三层口-可以配置IP地址
二层口-普通二层口、接口对、旁路检测接口
虚拟接口
环回接口-子接口-Vlanif Tunnel-链路聚合
4个千兆Bypass其实是两对Bypass接口--- 如果设备出现故障,则两个bypass将直接短接, 形成通路,不影响网络数据的传输。
虚拟系统---VRF
虚拟系统互通使用的接口,每创建一个虚拟系统,将自动生成一个虚拟接口,仅需要配置IP地 址即可。
添加网关,将自动生成一条指向网关的缺省
接口对默认是trunk干道
防火墙区域
Trust --- 信任区;
Untrust --- 非信任区;
Local --- 防火墙上所有的接口都属于这个区域;
DMZ --- 非军事化管理区域,放置一些对外开放的服务器 将一个接口划入某一个区域,则代表将这个接口所连接的网络划分到对应区域中,而接口本身,永远属于Local。
优先级---1~100
从优先级高的区域到优先级低的区域----出方向---Outbound
从优先级低的区域到优先级高的区域----入方向----inbound
四种模式
路由模式
透明模式
旁路检测模式
混合模式
安全策略
传统包过滤技术---其本质就是ACL访问控制列表,根据数据包的特征进行过滤,对比规则, 执行对应的动作
这里数据包的特征(数据包的五元组):源IP,目标IP,源端口,目标端口,协议
在安全策略中,可以执行两块内容:第一块做访问控制,允许或者拒绝通过;第二块是在允许 通过的情况下,可以进行内容安全的检测,一体化检测。
所有匹配项之间的关系是“与”,一条中如果可以多选,则多个选项之间为“或”关系
防火墙的状态检测和会话表技术:主要机制就是以数据流作为单位,仅针对首包进行检测,检测之后,将数据包的特征记录在本地的会话表中,数据流中的其他数据包来到防火墙,不再匹配安全策略,则匹配会话表,根据会话表来进行转发。
会话表技术(提高转发效率的关键):老化机制 1,会话表老化时间过长---占用资源,导致一些会话无法正常建立 2,老化时间过短---会导致一些需要长时间发送一次的报文强行终端,影响正常业务
状态检测技术:
1,检测数据包是否符合协议的逻辑顺序; 2,检查是否是逻辑上的首包,只有首包可以创建会话表。 状态检测机制可以选择关闭或者开启
firewall session link-state tcp check --- 命令行中开启状态检测功能的命令,如果需 要关闭,则在该命令前面加undo
ASPF:针对应用层的包过滤:将识别到的端口信息记录在server-map的表中,再根据这个表中的记录,创建会话表
FTP :文件传输协议
Tftp :简单文件传输协议
FTP协议相较于Tftp协议: 1、需要进行认证; 2、拥有一套完整的命令集
FTP还分为了两种工作模式:主动模式;被动模式
eg:192,168,1,2,8,2 --- IP地址为:192.168.1.2,端口号:8 * 256 + 2 = 2050
防火墙管理员认证:校验登录者身份合法性
用户认证:上网行为管理中的一环
上网用户认证:三层认证---将用户和行为进行绑定
入网用户认证:二层认证
接入用户认证:VPN ---对身份合法性进行认证
认证方式: 本地认证; 服务器认证
单点登录:和服务器认证的逻辑类似
认证域:可以定义用户的认证方式以及用户的组织结构
登录名:用于登录的凭证,同一个认证域下不可以重复
显示名:用来方便区分用户,不用的登录使用,可以重复,也不是必要项
允许多人同时使用该账号登录:私有用户 ;公有用户
单向绑定:该用户只能在设定的IP或者MAC或者IP/MAC的设备上登录,但该设备也可以让 其他用户登录
双向绑定:该用户可以在设定的IP或者MAC或者IP/MAC的设备上登录,且其他用户不允许 在该设备上登录
安全组和用户组:安全组和用户组都可以关联策略,但是,用户组关联的策略将递归执行, 即其下子用户组均需遵循策略,安全组不递归执行,只有选中的安全组执行策略
认证策略
Portal :网页认证,在触发需要认证的流量后,将提供网页认证界面,需要在界面中输入用户名和密码进行认证
免认证:认证透明化,在符合单点登录或者IP/MAC双向绑定的前提下,可以不需要进行认 证环节,直接通过IP/MAC地址信息来追溯用户信息
匿名认证:通过流量中的IP地址来作为用户的身份标识,不需要输入用户名和密码
Portal认证:则认证策略里面的动作需要选择protal;
免认证:则认证策略里面需要选择免认证
单点登录:则认证策略里面也选择免认证
注意:如果认证策略里面选择匿名认证,则不触发这里的认证方式 两个认证域之间是“或”的关系
NAT
五种:
静态NAT
动态NAT
Napt:一对多
easy ip:多对多的NAPT
服务器映射
源NAT:基于源IP地址进行转换,包含静态NAT,动态NAT以及NAPT(源NAT是在安全策略之后执行转换)
目标NAT:基于目标IP地址进行转换,以前的端口映射
注意:源NAT的执行在安全策略之后,目标NAT的执行在安全策略之前
双向NAT: 同时转换源IP地址和目标IP地址
针对napt:五元组NAT :通过源IP,源端口,目标IP,目标端口,协议五个参数来标定一次NAT的转换,如果任何一个参数发生变化,都需要更换端口来进行转换;
三元组NAT:仅识别源IP,源端口和协议三个参数来区分一次NAT的链接。
端口预分配:可以设定端口转换使用的端口范围
源IP地址数量限制:可以设定一个公网IP地址转换的源IP地址的数量,比如设置为1,则公 网IP地址在会话表老化之前,只能针对一个源IP地址进行转换
保留IP地址:可以将不需要使用的公网IP地址放置在保留IP地址中,则在进行转换的时候,不会使用该地址转换
多出口NAT
源NAT: 1、将不同的接口放置在不同的区域中,基于区域做NAT策略 2、将不同的接口放在同一个区域,基于接口做NAT策略
目标NAT: 1、可以分区域配置两个服务器映射 2、也可以是同一个区域
注意:如果是同一个区域,不能将两条服务器映射策略同时开启“允许服务器访问公网” 智能选路 就近选路:根据访问的节点所在的运营商选择对应的运营商线路
策略路由(PBR): 策略路由其实也是一种策略,他不仅可以按照现有的路由表进行转发,而且可以根据用户指定的策略进行路由选择的机制,从更多维度决定报文是如何转发的。
如果没有配置监控,则匹配上策略路由的流量发现下一跳不可达,则将直接丢弃数据 包;如果可开启了检测,检测发现目标下一跳不可达,则将使该策略不生效,则直接不 匹配流量,数据包将直接走路由表。
如果一条链路超过了过载保护阈值,则该链路不再参加智能选路(如果已经创建了会话表的流量,则将依然走该链路)将在剩下链路中继续进行智能选路。
1.基于链路带宽进行负载分担
基于源IP的会话保持:来自同一个源IP或者同网段源IP的流量将始终使用同一个出接口转发,适用于对链路切换敏感的场景
基于目的IP的会话保持:访问同一个目标或者相同的目标网段,流量将始终使用同一 个出接口转发,适用于对链路切换敏感的场景
2.基于链路质量进行负载分担
丢包率:防火墙会连续发送若干个(默认5个)探测报文,去计算丢包的比例。(丢包个数/探测报文个数)丢包率是最主要的链路质量参数
时延:防火墙会连续发送若干个(默认5个)探测报文,取五次往返时间的平均值 作为时延参数
延时抖动:防火墙会连续发送若干个(默认5个)探测报文,取两两之间时延差值 的绝对值的平均值。
3.基于链路权重的负载分担
权重值由网路管理员手工指定
4.根据链路优先级的主备备份
优先级也是由网络管理员手工指定 如果没有配置过载保护,则优先级最高的先工作,当该链路故障,则次高的开始工作, 其余继续备份,以此类推; 如果配置了过载保护,则优先级最高的先工作,当超过保护阈值,则次高的开始工作, 其余继续备份,相当于此时两条链路同时工作,以此类推。
DNS透明代理
防火墙的可靠性
因为防火墙上不仅需要同步配置信息,还需要同步状态信息(会话表等),所以,防火墙不能 像路由器那样单纯的靠动态协议来实现切换,需要用到双机热备技术
1,双机:目前双机热备技术仅支持两台防火墙的互备 2,热备:两台设备共同运行,在一台设备出现故障的情况下,另一台设备可以立即替 代原设备 (也存在冷备的概念,仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有在主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时 间的业务中断)
VRRP :虚拟路由器冗余技术
VGMP :(vrrp Group Management Protocol) - HUAWI的私有协议 因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会直接导致其他组同步切换,在防火墙的双机热备场景下,上下有两个VRRP组,需要同步切换,使用传统的上行链路监控,比较复杂,所以,设计了VGMP协议,来对VRRP组进行统一的切换管理
主备的形成场景 :
1,FW1被设定为主设备-FW1中的VGMP的active组被激活,并且将上下两个VRRP组拉 入到VGMP的active组中,并且状态都是ACTIVE
2,FE2被设定为备设备-FW2中的VGMP的standby组被激活,并且将上下两个vrrp组拉入 到VGMP的standby组中,并且状态都是standby (VGMP组中存在优先级的概念,ACTIVE组的默认优先级是65001,standby组默认的优先 级为65000,并且,在VGMP中,所有的主都被成为active,所有的备成为standby)
3,主设备上下两个VRRP组的接口将发送免费ARP报文
FW1接口故障的切换场景 :
1,假设FW1下的接口发生故障,接口的状态会从active状态切换到initialize状态(接口故障 的一个过渡状态)
2,VGMP组感知到接口状态变化,会降低自身的优先级(每一个接口发生故障,则优先级会 降低2)
3,FW1会向FW2发送一个状态变更的请求报文,这个报文中会包含降低后的优先级;
4,FW2收到请求报文后,发现自身的优先级高于对方的优先级,则会将自己standby组的状 态从standby切换为active状态
5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切 换到active
6,FW2回复FW1应答报文,表示允许切换
7,FW1收到应答报文后,将自身ACTIVE组的状态从ACTIVE切换到standby状态,并且,其 中的VRRP组同步将状态切换到standby,不包含故障接口的状态,依旧是initialize状态
8,FW2上下两个VRRP组将发送免费ARP报文,让交换机切换MAC地址表,之后所有的流量 将从FW2通过。
HRP (华为冗余协议):华为的私有协议-可以同步防火墙上的状态和配置信息
配置信息(接口IP地址,路由信息):hrp不能同步基本的接口和路由信息,安全策略, NAT策略...
状态信息:会话表,server-map,黑名单和白名单等
HRP在进行双机热备时,还有一个要求,两台热备设备之间,必须拥有一条链路,用来同步信 息,并且,这条链路必须是三层链路-这条链路在进行数据传递时,不受安全策略的影响。(注意,如果心跳线是直连的,则不受安全策略的影响,但是,如果中间有中继设备,即非直连场景,则需要配置安全策略)-心跳线-VGMP协议发送的报文也是通过心跳线 传输的。
HRP会周期性的发送心跳报文,只有主设备会发送,周期时间默认为1S,如果备设备在三个周 期时间内默认3S没有收到对方的心跳报文,则认定对方出现故障将以自生为主
HRP三种备份方式:
1,自动备份:自动备份配置和状态信息,但是,配置信息可以立即自动备份,状态信息无 法立即备份,只能通过短暂的延迟之后,在进行备份(10S左右)
2,手工备份:由网络管理员手工触发,可以立即同步配置和状态信息
3,快速备份:该备份方式仅针对负载分担的场景。 无法同步配置信息,仅能同步状态信息,并且可以立即同步状态信息。
各场景过程分析
1,主备形成场景;
2,主备故障切换场景:接口故障;
3,主备故障切换场景:整机故障
整机故障可以通过保活机制来进行切换,主设备发生故障,则不会发送HRP心跳报文, 备设备在超时时间内没有接收到主设备的保活包,则将会进行状态切换;
4,原主设备故障恢复的场景 根据有没有开启抢占分为两种不同的情况:
(1)如果没有开启抢占:原主设备继续以备设备的身份工作 ;(2)开启了抢占
5,负载分担场景
6,负载分担接口故障场景
双机热备配置
如果勾选了主动抢占,则代表开启抢占模式,默认开启60S抢占延迟 (抢占延时主要是为了应对一些接口可能出现反复震荡的情况)
hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改, 否则可能导致对接不上
注意:1,虚拟mac地址勾选可以让切换对用户全程无感知 2,如果虚拟IP地址和接口IP地址不再同一个网段,则配置时必须配置子网掩码
其他部署模式下的双机热备:
1,双机热备直路部署-上下二层
2,双机热备直路部署-上下三层
防火墙透明部署:上下二层
这种情况下建议使用主备模式不要使用负载分担模式
防火墙透明部署:上下三层
这种模式建议采用负载分担,并建议使用主备模式
防火墙的带宽管理
核心思想:
1,带宽限制:限制非关键业务流量占用带宽的比例 ;2,带宽保证:这里需要保证的是我们关键业务流量;再业务繁忙时,确保关键业务不受影响; 3,连接数的限制:这也是一种限制手段,可以针对一些业务限制他们的链接数量,首先可 以降低该业务占用带宽,其次,可以节省设备的会话资源;
三种核心手段:
1,接口带宽:接口带宽调控的意义在于,如果本端按照较大的传输速率发送数据,对端接 受能力有限,不但起不到增加传输速率的效果,反而可能导致大量的数据包堵塞在链路中,所以,可以区调控出接口的带宽。
2,带宽策略
带宽策略就是针对抓取到的流量执行两种动作 :1,不限流 ;2,限流:限流实质是将流量引入带宽通道中, 默认存在一条针对所有流量不做限流的策略。
3,带宽通道:可以理解为是带宽策略中执行限流动作后的具体实施,也可以理解为是在真 实的物理带宽中,开辟了一些虚拟的流量通道,通过将流量引入这些虚拟的带宽通道中,来限制或者保证业务的带宽。
传统的带宽限制手段:数据丢包,这样可能导致数据包需要重传,造成冗余数据包的拥挤; 所以,类似深信服这样的厂商推行的是缓存不丢包,即将超出限制的数据包缓存之后发送,而不是直接丢弃数据包。
在带宽通道中,主要完成两件事情:第一件是针对超出限制的数据包进行丢包,第二件是可以 针对数据包打上优先级的标签,方便数据包到出接口之后,进行队列调度---根据优先级高 低发送数据包
策略独占:每个带宽策略调用这个通道,都按照通道中的设定执行
策略共享:所有带宽策略调用这个通道,都按照通道中的设定执行
三个场景