第十二章 防火墙双机热备份技术 P409-441
双机热备解决的问题:
如果在组网时,网络的结构比较简单,网关设备单一,那就会出现单点故障的问题。也就是说网关设备故障后,导致整个网络的连通性出现问题。
为避免单点故障,提高网络的可靠性,可通过双机热备来实现网关的冗余。
在路由器上实现双机热备,是使用VRRP技术,在多台网关之间虚拟出一台虚拟网关设备,此VG具有独立的IP和MAC,内网PC在指定网关时,可指定此IP为其网关。 VG其实是一个网关角色,它必须由真实的物理设备来承担其工作任务,那究竟由谁来担任此角色,需要进行VRRP的选举,最终会选举VRRP优先级值大的(优先级一致,则选物理接口IP地址大的)为Master,Master设备就承担数据的转发工作。 其它设备作为Backup设备,监听Master设备的状态,如果Master故障,则切换为新的Master,继续承担数据转发工作。
如果直接将VRRP照搬到防火墙场景,则会出现一些问题:
1、 如果在设计时,防火墙的上下行不同的VRRP备份组,Master状态不统一,(下行设备Master为FWA,上行设备Master为FWB),则会出现数据转发来回路径不一致的情况,此时回来的流量会因为当前防火墙不存在会话表,而最终被丢弃。
2、 如果在设计时,实现防火墙的上下行VRRP备份组状态的统一,但是如果上/下行链路出现故障,也会导致VRRP备份组状态的切换,此时又会出现数据转发来回路径不一致。
问题的根本是防火墙上多个VRRP备份组状态不能实现统一的管理。
要解决此问题,华为引入一个协议-VGMP(VRRP组管理协议),此协议有两个组状态,Active/Standby状态,它可以将单设备上多个不同的VRRP备份组统一加入到某个组状态,并且在发生组状态切换时,能实现备份组的统一切换。如此,就解决了前面所说的状态不一致的问题。
VGMP协议,它也具有优先级,在进行VGMP组状态协商时,也是优先级大的选为Active。当接口出现故障以后,VRRP备份组会感知到此状态,通知VGMP降低自身优先级,一个接口会降低2个优先级,当优先级降低以后,会重新进行VGMP状态的协商,如果本地优先级低于对端,就会将VGMP状态切换到Standby。当故障恢复后,VGMP会进行Active状态的抢占(回切)。
通过VGMP实现了备份组状态的统一管理,但如果工作模式是负载分担时,仍然会数据来回路径不一致,此时,又引入新的协议HRP(华为的冗余协议),这个协议可实现防火墙之间状态数据和配置命令的同步。
同步的方向:
是由Active向Standby进行同步
同步的方式:
自动备份
会实时同步配置信息,会周期性同步状态信息(10s左右)
手动备份
它是一个动作,需要在用户视图下去执行
每执行一次,会主动进行配置和状态信息的同步
快速会话备份
它会实时的同步状态信息,并且会同步在自动备份方式中,不能同步的会话信息(未完成TCP连接的半连接会话、流向防火墙自身的会话、只为UDP首包创建,而不被后续包匹配的会话)。
设备重启后请求备份
设备重启后,会主动向Active设备发起配置的同步请求,进行配置同步。
防火墙双机热备—防火墙三层接口,上下行接交换机
VGMP组管理
HRP备份内容:
心跳线接口状态
第十三章 防火墙用户管理 P442-500
在实现用户认证过程中,会使用AAA技术
AAA是指认证、授权、计费。
认证的方式有:
你知道什么
你拥有什么
你的生物特征是什么
授权:
用户能访问的网络资源
用户能操作的命令权限
计费:
用户在线多长时间
用户做了哪些操作
在防火墙实现用户管理,需要理解以下几个概念:
1、 用户的组织架构
a、 认证域
是用户组织架构的根,可以将不同的分支机构、不同的用户类型划分到一个认证域下进行管理,可为其指定不同的认证方式,新用户选项等。
防火墙会默认存在一个default认证域,如果创建了新的认证域,在进行认证时,就需要输入完整的用户名信息,(用户名@认证域)。
b、 用户组/用户
在认证域下,可创建多个用户/用户组,用户组支持嵌套。用户/用户组的配置方式可以手工配置,也可以通过服务器进行导入
c、 安全组
如果要实现跨用户组对多个用户进行管理,可以使用安全组来实现。
2、 用户的类型
a) 管理员
b) 上网用户,访问网络资源的内网用户
c) 接入用户,访问企业内资源的公网用户
3、 上网用户认证流程
认证方式有:
单点登录认证
会话认证
事前认证
免认证
4、 用户认证策略
此策略决定了防火墙需要对哪些流量进行用户认证
针对会话认证、事前认证、单点登录认证、免认证方式,都需要明确定义认证策略。
本地认证
服务器认证
LDAP\AD
RADIUS 协议
HWTACACS 也是远端认证
LDAP
认证分类:
本地认证
服务器认证
单点登录
短信认证
安全组
接入用户:
上网用户认证:
AD单点登录
会话认证:
事先认证
认证策略
第十四章 入侵防御简介 P501-529
入侵是什么?
入侵:是指未经授权对信息系统进行访问,篡改系统的数据或造成系统不可用的行为。
破坏信息系统的完整性、机密性、可用性以及可控性。
入侵防御系统IPS,它可以检测入侵行为的发生,并且当检测到入侵发生后,能实时中止入侵行为。
它的部署方式:
直路部署—建议的部署方式,因为它可实时阻断入侵行为
旁路部署---当IPS作为IDS使用,可以采用此部署方式
IPS与防火墙协同工作时,防火墙部署在前,IPS部署在后。
特点:
反病毒技术:
病毒扫描方式:
代理扫描—需要把文件缓存下来,进行病毒检测,检测率高,但对于大文件,就无法进行合理检测 。
流扫描—此方式使用比较多,它是提取文件特征,基于本地的病毒库进行匹配,来发现病毒。它的检测速率比较高,检测率比代理扫描稍低。
防火墙反病毒的工作流程:
告警、阻断、宣告、删除附件。
第十五章 加密与解密原理 P530-552
密码学发展分为三个阶段:
- 古典密码学
在此阶段,密码的安全性主要取决于算法的保密,此时加密的数据主要以语言类为主。
加密的方式:
替代算法:在进行明文加密时,会通过密码本,将明文替换成密文。
置换算法:在加密时,会通过一定的规则,将原始文本进行重新排序
混合算法:替代和转换的混合使用
- 近代密码学
柯克霍夫原则:密码学的安全性不能依赖算法的保密,而是依赖密钥的保密。
香农:敌人可以了解算法。
此时,密码学还引入了数学、几何、函数等学科,密码学真正的进入了科学轨道。
在此阶段,推出了第一个对称加密算法:DES
但是DES算法本身存在一个悖论:在使用DES算法时,我们需要建立一个安全隧道去传递对称密钥,但是如果存在这个安全隧道,那为何不直接用此隧道传递数据呢?----问题就是DES的密钥的传递是存在问题的。
3、现代密码学
在此阶段,推出了DH算法。
此算法解决了密钥的传递问题,至此,对称加密算法才大范围商用。
密码技术实现的功能:
保密性(机密性):通过密码技术对数据进行加密。
完整性:通过散列算法对数据进行保护。
鉴别性:通过数字签名对发送方身份进行验证。
抗抵赖性(不可否认性):通过数字签名实现不可否认性。
实现机密性:
两种不同类型的加密方式:
对称加密:
加解密双方使用相同的共享密码,在加密时,需要安全传输此密钥。
非对称加密:
加解密双方使用不同的密钥,在加密时,使用公钥进行加密,接收方使用私钥进行解密。
因为私钥不公开,所以数据只会由接收方自己来解密。
对称加密:
优点:加解密速度比较快;加密之后的数据大小几乎与原数据一致。
缺点:密钥需要安全的传输;密钥的数量会随着参与者数量增加而呈现指数级增加n*(n-1)/2;对称加密无法实现源认证功能(数字签名)。
非对称加密:
优点:密钥不需要通过安全隧道传递;密钥的数量与参与者数量一致;可以实现源认证(数字签名)
缺点:加解密的速度比对称算法慢数百倍;加密之后的密文大小非常大。
经过上述分析,我们发现对称加密和非对称加密这两种方式是有互补性的,如果在加密时,把两者结合进行部署,将最大化的发挥算法的价值。
数字信封同时使用了对称和非对称加密方式,加密后的对称密钥,就是我们所说的数字信封。
数字信封存在一个问题:接收方无法去验证发送方的身份,此时可使用数字签名来实现源认证
数字签名:验证发送方的身份。用Hash算法对比。
常见算法:
对称加密:
流加密:在进行数据加密时,加密的方式是逐bit进行加密,加密后的密文长度与明文一致,加密后的速度比分组加密快。
RC4
是在无线技术中使用,WEP的安全策略使用的就是RC4,但是此算法现在已经不安全,不再推荐使用。
分组加密:在进行数据加密时,会对明文进行分组,分组之后对数据组进行加密,加密后的密文大小可能会略大于明文。
DES 密钥长度56比特,已淘汰
3DES 可兼容DES,密钥长度3*56比特,不建议使用。
AES 推荐使用此算法,必要长度有三个:128、192、256
IDEA
SM1\SM4
推荐一本书:《图解密码技术》。
非对称加密算法:
DH 主要实现对称密钥的安全交换。
RSA 实现密钥的安全交换,数据的加密,以及数字签名。
DSA 主要实现数字签名,加密速度比RSA快。
DH原理:
散列算法:
特点:
1、 固定大小 对原数据进行散列计算时,不管大小为多少,计算出来的散列值是固定的。
2、单向性 通过散列算法计算的散列值,是不可能反推出原始数据的。
3、唯一性 不同的数据有不同的散列值
4、雪崩效应 哪怕对原始数据修改一个比较值,计算出来的散列值也会发生很大的变化。
此算法最终可实现对数据完整性的保障。
常见算法:
MD5 已淘汰
SHA—SHA0 SHA1 SHA2 SHA3 (最新, 密钥长度有 256 、284 、512)
SHA3--- 我国国家密码管理局编制的商用算法。
第十六章 PKI证书体系 P553-576
PKI 公钥基础设施
数字证书:可以验证用户身份的真实性,他相当于是用户再互联网中的电子身份证,他的信任根是CA。
CA会为用户颁发证书,并使用自己的私钥对证书进行签名,当用户在验证证书时,会使用CA的公钥去验证签名,签名验证成功,身份即可得到确认。
证书类型:
自签名证书(根证书)
CA证书
本地证书
设备本地证书
证书中包含的字段:
证书序列号
证书有效期
公钥信息
证书的算法
主体信息
签名信息—CA用自己的私钥对证书做的签名。
证书格式:
PKCS#12:二进制,可以包含私钥
DER:二进制
PEM:ASCII,可以包含私钥
PKI体系架构 四部分
EE终端实体、证书认证机构、证书注册机构、证书/CRL存储库。
证书的颁发方式:
在线: SCEP、CMPv2
离线: 通过web、电子邮件等方式
离线申请(PKCS#10)。
PKI工作机制:先请求CA 再本地。
第十七章 加密技术应用 P577-623
VPN 虚拟专用网。
VPN分类:
SSL 在传输层上,应用于应用层
三层VPN,网络层: GRE IPSec
二层VPN,数据链路层 :PPTP L2F L2TP
VPN应用场景
Site to site :两个局域网之间
Client to site: 客户端与企业内网
L2TP 二层VPN,主要用于广域网,传输PPP报文。
GRE VPN
IPsec VPN
安全联盟(SA)
SA 三元组
封装模式:传输模式,隧道模式
SSL VPN
第十八章 安全运营简介 P624-647
安全运营基本条件
业务连续性计划BCP
灾难恢复计划DRP
应急响应:准备、检测、抑制、根除、恢复、总结