HCIA安全笔记2

第四章：常见的网络设备p114-158

交换机：工作在数据链路层，转发数据帧，基于数据帧的目的MAC，通过查询本地的MAC表，实现数据的转发。

交换机转发行为：泛洪（除了源端口以外的其他端口）、转发、丢弃。    

二层交换机没有ARP缓存。

泛洪的两种情况：

1. MAC表中没有目的地址信息（未知单播帧）。
2. 目的地址为全F（广播帧），FF-FF-FF-FF-FF-FF。

定向转发：已知单播帧  交换机的MAC表中，查询到了数据帧的目的MAC信息

丢弃：当接收接口与发送接口一致时，交换机默认会将此数据丢弃。

交换机在启动后，会自动进行MAC条目的学习，是基于数据帧的源MAC进行学习。

二层（数据链路层）设备 三层（网络层）设备的区别，能拆到几层。

路由器：不同网络之间数据转发。工作在网络层，在进行数据转发时，基于ip头部中的目的IP地址，通过查询本地的路由表进行数据的转发。

路由器在生成路由表时，可以通过运行动态路由协议进行路由的自动学习，最终路由器会将最优路径信息加载进路由表。

如果存在多条路径信息，那就会存在路径信息之间的比较：

1、  先比较路由优先级，路由优先级值越大，优先级别越低，值越小，优先级别越高，最终会将优先级别高的路径信息加载进路由表

2、  如果路由优先级值一致，则比较路由开销，最终会将路由开销小的路径信息加载进路由表

3、  最后当路由器在查询路由表时，基于最长掩码匹配原则，进行路径选择

路由器和交换机的本质是转发。

防火墙：防火墙的本质是控制。

防火墙的部署位置一般在网络边界，通过防火墙可以将企业内网和internet进行隔离，划分出不同信任级别的区域，企业内网是受信任的区域，而Internet是非信任的区域。

UTM（统一威胁管理）

防火墙在工作时，必须先划分安全区。

安全区域是将一个或多个具有相同安全特性需求的接口规划到一个逻辑区域。在区域之间有流量流动时，必须通过安全策略进行明确放行，否则流量不通。而在区域内有流量发生时，不受安全策略的限制。

在配置实现时，将某个接口规划到一个安全区域，其实是将此接口所连接的身后网络规划到一个区域中。

防火墙默认存在4个安全区域：

1、  Trust     安全级别：85

2、  Untrust   安全级别：5

3、  DMZ     安全级别：50

4、  Local    安全级别：100

VRP 通用路由平台   是网络设备的操作系统，可以支持多种类型的设备，包括路由、交换、无线、安全等。

几种命令视图：

<huawei>  为用户视图，在此视图下可以使用ping/tracert/telnet等诊断功能，不能进行命令配置,当输入system-view可进入系统视图

[huawei]  为系统视图，此视图下可以修改设备名称，可以给设备配置时钟等操作，来进行设备的配置管理。

[Huawei-g0/0/1] 为接口视图，此视图下可以对接口进行配置

[Huawei-ospf-1]  为协议视图，此视图下可配置路由协议

辅助功能：

?   可以列出当前视图下可操作的命令

tab  可以对命令进行补齐

防火墙的管理方式

1、  本地管理

a)    通过Console管理

2、  远程管理

a)    通过Web进行管理

b)    通过SSH进行管理

c)    通过Telnet进行管理

     

在进行Web管理时，防火墙默认情况会使用G0/0/0接口做为管理接口。此接口默认配置了IP地址，IP为192.168.0.1。在进行登录时，默认用户名和密码为admin/Admin@123  p142

在进行登录前，需要在接口下开启http/https管理服务。

第五章 常见信息安全威胁P159-191

网络安全：

扫描攻击

欺骗攻击

病毒

应用安全：

传输与终端安全：

第六章威胁防范与信息安全发展趋势 P192-215

信息安全防范关键要素 p196 

人员   安全运维与管理   安全产品与技术

P212

CIS(改名为HiSec Insight)，安全态势感知系统

第七章 操作系统简介 P216-245

主要的五个操作系统：DOS\     Windows\    Linux\    Unix(mac)\  OS/2

分类：单用户：DOS\     OS/2       多用户  ：Windows\    Linux\    Unix(mac)

第八章 常见服务器种类与威胁  P246-287

服务器分类：

服务器安全威胁

第九章  主机防火墙和杀毒软件  P288-324

防火墙分类：

Windows防火墙设置（白名单机制）

高级设置：

自定义设置详细的出入站规则和连接安全规则。

防火墙关闭后，安全规则不能生效。Q34D

Windows防火墙开启以后，默认为白名单机制，此时可以通过高级设备，在入站和出站方向设备白名单规则，明确放行流量。

当Windows防火墙关闭以后，高级设备中的规则，也不生效。

Linux防火墙，防火墙内核是Iptables，真正起到防火墙功能的是Netfile组件 。

Iptables的结构分为：

规则

       定义了一些匹配条件和处理动作，匹配条件可以匹配流量的5元组信息，动作可以是允许通过或丢弃。

链

       5条链：

       PreRouting   路由前

       Input  流量入口

       Forward 转发关卡

       OUTPUT  流量出口

       POSTRouting  路由后

      

表

       Filter表  流量过滤

       NAT表  地址转换

       Mangle表   报文数据的修改

       Raw表   数据包处理状态的跟踪，比如状态防火墙，需要跟踪数据的会话信息

Filter表主要支持3个链：

       Input、Forward、Output

NAT表也主要支持3个链：

       Prerouting、Output、Postrouting

Iptables 介绍

Netfilter

Iptables 结构

ACL规则  访问控制列表       功能：做流量的过滤

RMNF

Iptables规则  Q63

-A增加                   input链

iptables里面的dport和sport

首先先来翻译一下dport和sport的意思：

dport：目的端口

sport：来源端口

杀毒软件由扫描器、病毒库和虚拟机组成。

关键技术：脱壳技术、自我保护技术（防止病毒关闭或者篡改杀毒文件）、修复技术（修复损伤文件）、实时升级技术，主动防御技术。

第十章  防火墙介绍   P325-376

防火墙的特征总结：

1、逻辑区域过滤器

防火墙在工作时，必须要划分安全区域。当在安全区域间有流量流动时，防火墙必须要明确定义安全策略，去放行流量，否则流量无法通过。

2、隐藏自身内网结构

在网络边界部署防火墙以后，可以拦截外网到内网的路径探测

3、保护自身的安全

防火墙本身所处的安全区域是Local，也意味着任何终结到防火墙的流量，都必须要明确放行目的安全区域为Local的策略，否则流量是无法落到防火墙本地的。

4、主动防御

当防火墙检测到威胁流量后，会主动进行拦截。

小问题：

未经过防火墙的流量，防火墙不会对其进行防护。

按照访问控制方式分类：包过滤防火墙、代理防火墙、状态检测防火墙

1. 包过滤防火墙 

防火墙是基于ACL来实现流量过滤的，ACL（访问控制列表）它只能匹配流量的5元组信息。此类防火墙在进行流量过滤，有以下缺点：

1. 防火墙无法关联数据包之间的关系 

防火墙需要对客户端与服务器之间的流量，配置ACL策略去明确放行。它是无法感知流量之间的对应关系的。

1. 无法适应多通道协议 （FTP、SIP等） 此内容放到ASPF中去讲
2. 包过滤防火墙无法检测应用层数据 
3. 防火墙是逐包进行检测，效率低下 

1. 代理防火墙

客户端在发起连接请求时，是直接发送到防火墙，防火墙在本地做安全检查，检查不通过直接阻断连接，检查通过，防火墙会同时与客户端和服务器建立连接。后续数据都需要经过防火墙进行中转。

优点：

通过此方式，防火墙可以很灵活的控制其会话连接，并且具有很高的安全性保障。

缺点：

防火墙是通过软件来实现代理，处理速度较慢，容易被DOS

通过代理方式对某应用实现安全检查，防火墙必须要支持此应用。（比如Web代理防火墙），如果用户开发新的应用，防火墙也必须要进行升级支持。 

1. 状态检测防火墙 

防火墙会对首包流量进行安全策略检查，如果安全策略允许此流量通过，那么防火墙在将流量发送出去之前，会先在本地记录会话信息。当对端返回流量时，防火墙会对返回流量进行会话表的匹配（此时，不需要定义安全策略去明确放行），如果会话表匹配，此流量直接放行，如果会话表不匹配，此流量直接丢弃。

优点：

处理速度非常快 （不需要对每条流量进行安全策略检查，只需要查会话表，处理速度极高）

安全性比较高 （对除首包以外的后续流量会进行会话表匹配，匹配则放行，不匹配则丢弃）

防火墙部署位置：

大方向：部署在网络的边界处

网络边界的定义，可以按业务功能划分（生产、办公、互联网接入）、按行政区域划分（IT部门、市场部门）

防火墙组网方式？

可二层组网：防火墙具备基础的流量过滤能力，并且部署后对网络的拓扑结构不会带来影响

可三层组网 ：防火墙部署对影响网络拓扑结构，但是如果需要防火墙支持更多的安全特性（NAT、UTM功能等），则建议三层部署

状态检测防火墙---工作方式

包过滤防火墙实现技术是ACL..

状态检测防火墙实现技术是安全策略

什么是安全策略？

安全策略是按一定的规则控制设备对流量的转发，以及对流量的内容进行安全一体化的检测。

什么是一体化？

目前华为的USG系统防火墙，虽然叫UTM防火墙，但与传统的UTM是有很大差异的，在对流量的处理上，传统的UTM，各功能模块间是串行处理的关系，但会为USG是并行处理的关系，所以可以更短的时间内对流量进行多模块的处理，处理效率极高。

安全策略可以针对流经防火墙的流量、流向防火墙本身的流量进行安全控制

防火墙安全策略的处理流程：

当首包流量经过防火墙时，防火墙会对其进行安全策略检测，如果本地定义了多条安全策略，则会逐条进行匹配，当匹配成功，则执行本策略所指定的处理动作，否则继续往下匹配，如果没有匹配到定义的策略，最后此流量会命中默认的拒绝所有这条策略，此流量最后就会被丢弃。

当后续流量再经过防火墙时，不再查询安全策略（即使本地定义了关于此流量的安全策略），直接匹配会话表，有会话表匹配，则转发，无匹配则丢弃。

防火墙安全策略处理流程：

状态检测机制：

状态检测防火墙在默认情况下，状态检测机制是开启的。此时，防火墙仅对首包流量做安全策略检测，非首包直接匹配会话表，有匹配转发，无匹配丢弃。

但是将状态检测机制关闭后，防火墙对后续包进行处理时，如果本地没有匹配的会话表，但本地定义明确的安全策略，则会匹配安全策略，并且创建会话表，最后将流量放行。

定义安全策略的一些规则：

1、防火墙可定义多条安全策略，策略匹配顺序是自上而下匹配

2、安全策略可定义多条匹配规则，不同的规则通过不同的名称进行区分

3、规则内可定义多个不同的匹配项，这些匹配项之间是与的关系（流量必须要完全匹配这些匹配项）

4、规则内，如果对某个匹配项，定义了多个不同的参数，那这些参数之间是或的关系（流量只要部分匹配即可）

5、在定义安全策略规则时，需要将明细的规则放到前面，将粗粒度的规则放到后面

会话表项：五元组，用户，应用，地区，时间等。

ASPF技术：基于应用层的包过滤技术

对于多通道协议来讲，如FTP，在工作时会使用多套端口，如果使用的端口是动态协商的，那管理员就无法预先配置好安全策略去放行此流量，那策略就无法配置的更加精细。

对于此问题，可以在防火墙上启用ASPF功能，开启后，防火墙会动态监测多通道协议的控制报文，会将其应用层中包含的动态端口记录下来，生成一张server-map表，此表中包含了IP、端口、协议类型，未来去往此IP和端口的流量就会匹配此表，匹配后流量就会放行，不需要再配置安全策略。

第十一章  网络地址转换技术   P377-408

IP地址分类：A-E共5类

保留地址段：

A：10.0.0.0/8

B：172.16.0.0-172.31.0.0/16

C:  192.168.0.0-192.168.255.0/24

保留地址段是为组织内的PC来使用的，任何组织都可以使用此IP段。此地址是无法在公网上进行路由的。

NAT的出现背景：

在2011年，IANA机构已经宣告IP地址分配完毕。但是互联网的发展并没有停滞，其中有一个很重要的技术-NAT。

NAT的特点：

1、  可实现地址的复用，节省公网IP地址资源

2、  可隐藏内网结构，增加内网安全性

3、  在使用NAT时，是感知不到其存在的，具有透明的特点

4、  通过NAT可实现对内部服务的负载均衡

NAT的基础原理：

当私网流量在经过NAT网关时，NAT设备会对其源IP地址进行NAT转换，将其替换为公网IP地址，这样，公网服务器在返回流量时，就能正确的将流量返回给私网PC。

NAT的分类：

源NAT：

基于地址池的NAT转换技术：地址一对一转换、端口转换

Easy-IP转换技术  

NAT服务：

对数据的目的IP进行转换  

NAT ALG技术：

当多通道协议在经过NAT网关时，需要开启NAT ALG功能，实现对控制报文中包含的私网IP进行NAT转换，否则会导致多通道协议无法进一步建立连接。

ALG无需单独配置，跟随ASPF功能一起启用。

no-reverse