HCIA安全笔记3

 

第十二章  防火墙双机热备份技术   P409-441

双机热备解决的问题：

如果在组网时，网络的结构比较简单，网关设备单一，那就会出现单点故障的问题。也就是说网关设备故障后，导致整个网络的连通性出现问题。

为避免单点故障，提高网络的可靠性，可通过双机热备来实现网关的冗余。

在路由器上实现双机热备，是使用VRRP技术，在多台网关之间虚拟出一台虚拟网关设备，此VG具有独立的IP和MAC，内网PC在指定网关时，可指定此IP为其网关。 VG其实是一个网关角色，它必须由真实的物理设备来承担其工作任务，那究竟由谁来担任此角色，需要进行VRRP的选举，最终会选举VRRP优先级值大的（优先级一致，则选物理接口IP地址大的）为Master，Master设备就承担数据的转发工作。 其它设备作为Backup设备，监听Master设备的状态，如果Master故障，则切换为新的Master，继续承担数据转发工作。

如果直接将VRRP照搬到防火墙场景，则会出现一些问题：

1、  如果在设计时，防火墙的上下行不同的VRRP备份组，Master状态不统一，（下行设备Master为FWA，上行设备Master为FWB），则会出现数据转发来回路径不一致的情况，此时回来的流量会因为当前防火墙不存在会话表，而最终被丢弃。

2、  如果在设计时，实现防火墙的上下行VRRP备份组状态的统一，但是如果上/下行链路出现故障，也会导致VRRP备份组状态的切换，此时又会出现数据转发来回路径不一致。

问题的根本是防火墙上多个VRRP备份组状态不能实现统一的管理。

要解决此问题，华为引入一个协议-VGMP（VRRP组管理协议），此协议有两个组状态，Active/Standby状态，它可以将单设备上多个不同的VRRP备份组统一加入到某个组状态，并且在发生组状态切换时，能实现备份组的统一切换。如此，就解决了前面所说的状态不一致的问题。

VGMP协议，它也具有优先级，在进行VGMP组状态协商时，也是优先级大的选为Active。当接口出现故障以后，VRRP备份组会感知到此状态，通知VGMP降低自身优先级，一个接口会降低2个优先级，当优先级降低以后，会重新进行VGMP状态的协商，如果本地优先级低于对端，就会将VGMP状态切换到Standby。当故障恢复后，VGMP会进行Active状态的抢占（回切）。

通过VGMP实现了备份组状态的统一管理，但如果工作模式是负载分担时，仍然会数据来回路径不一致，此时，又引入新的协议HRP（华为的冗余协议），这个协议可实现防火墙之间状态数据和配置命令的同步。

同步的方向：

是由Active向Standby进行同步

同步的方式：

自动备份

       会实时同步配置信息，会周期性同步状态信息（10s左右）

手动备份

       它是一个动作，需要在用户视图下去执行

       每执行一次，会主动进行配置和状态信息的同步

快速会话备份

       它会实时的同步状态信息，并且会同步在自动备份方式中，不能同步的会话信息（未完成TCP连接的半连接会话、流向防火墙自身的会话、只为UDP首包创建，而不被后续包匹配的会话）。

设备重启后请求备份

       设备重启后，会主动向Active设备发起配置的同步请求，进行配置同步。

防火墙双机热备—防火墙三层接口，上下行接交换机

VGMP组管理

HRP备份内容：

心跳线接口状态

第十三章   防火墙用户管理      P442-500

在实现用户认证过程中，会使用AAA技术

AAA是指认证、授权、计费。

认证的方式有：

你知道什么

你拥有什么

你的生物特征是什么

授权：

       用户能访问的网络资源

       用户能操作的命令权限 

计费：

       用户在线多长时间

       用户做了哪些操作

在防火墙实现用户管理，需要理解以下几个概念：

1、  用户的组织架构

a、  认证域

是用户组织架构的根，可以将不同的分支机构、不同的用户类型划分到一个认证域下进行管理，可为其指定不同的认证方式，新用户选项等。

防火墙会默认存在一个default认证域，如果创建了新的认证域，在进行认证时，就需要输入完整的用户名信息，（用户名@认证域）。

b、  用户组/用户

在认证域下，可创建多个用户/用户组，用户组支持嵌套。用户/用户组的配置方式可以手工配置，也可以通过服务器进行导入 

c、  安全组

如果要实现跨用户组对多个用户进行管理，可以使用安全组来实现。

2、  用户的类型

a)    管理员

b)    上网用户，访问网络资源的内网用户

c)    接入用户，访问企业内资源的公网用户

3、  上网用户认证流程

认证方式有：

单点登录认证

会话认证

事前认证

免认证

4、  用户认证策略

此策略决定了防火墙需要对哪些流量进行用户认证

针对会话认证、事前认证、单点登录认证、免认证方式，都需要明确定义认证策略。

本地认证

服务器认证

LDAP\AD

RADIUS 协议

HWTACACS 也是远端认证

LDAP

认证分类：

本地认证

服务器认证

单点登录

短信认证

安全组

接入用户：

上网用户认证：

AD单点登录

会话认证：

事先认证

认证策略

第十四章  入侵防御简介    P501-529

入侵是什么？

入侵：是指未经授权对信息系统进行访问，篡改系统的数据或造成系统不可用的行为。

破坏信息系统的完整性、机密性、可用性以及可控性。

入侵防御系统IPS，它可以检测入侵行为的发生，并且当检测到入侵发生后，能实时中止入侵行为。

它的部署方式：

直路部署—建议的部署方式，因为它可实时阻断入侵行为

旁路部署---当IPS作为IDS使用，可以采用此部署方式

IPS与防火墙协同工作时，防火墙部署在前，IPS部署在后。

特点：

反病毒技术：

病毒扫描方式：

代理扫描—需要把文件缓存下来，进行病毒检测，检测率高，但对于大文件，就无法进行合理检测 。

流扫描—此方式使用比较多，它是提取文件特征，基于本地的病毒库进行匹配，来发现病毒。它的检测速率比较高，检测率比代理扫描稍低。

防火墙反病毒的工作流程：

告警、阻断、宣告、删除附件。

第十五章  加密与解密原理   P530-552

密码学发展分为三个阶段：

1. 古典密码学

在此阶段，密码的安全性主要取决于算法的保密，此时加密的数据主要以语言类为主。

加密的方式：

替代算法：在进行明文加密时，会通过密码本，将明文替换成密文。

置换算法：在加密时，会通过一定的规则，将原始文本进行重新排序

混合算法：替代和转换的混合使用

1. 近代密码学

柯克霍夫原则：密码学的安全性不能依赖算法的保密，而是依赖密钥的保密。

香农：敌人可以了解算法。

此时，密码学还引入了数学、几何、函数等学科，密码学真正的进入了科学轨道。

在此阶段，推出了第一个对称加密算法：DES

但是DES算法本身存在一个悖论：在使用DES算法时，我们需要建立一个安全隧道去传递对称密钥，但是如果存在这个安全隧道，那为何不直接用此隧道传递数据呢？----问题就是DES的密钥的传递是存在问题的。

3、现代密码学

       在此阶段，推出了DH算法。

       此算法解决了密钥的传递问题，至此，对称加密算法才大范围商用。

密码技术实现的功能：

保密性（机密性）：通过密码技术对数据进行加密。

完整性：通过散列算法对数据进行保护。

鉴别性：通过数字签名对发送方身份进行验证。

抗抵赖性（不可否认性）：通过数字签名实现不可否认性。

实现机密性：

两种不同类型的加密方式：

对称加密：

加解密双方使用相同的共享密码，在加密时，需要安全传输此密钥。

非对称加密：

加解密双方使用不同的密钥，在加密时，使用公钥进行加密，接收方使用私钥进行解密。

因为私钥不公开，所以数据只会由接收方自己来解密。

对称加密：

优点：加解密速度比较快；加密之后的数据大小几乎与原数据一致。

缺点：密钥需要安全的传输；密钥的数量会随着参与者数量增加而呈现指数级增加n*(n-1)/2;对称加密无法实现源认证功能（数字签名）。

非对称加密：

优点：密钥不需要通过安全隧道传递；密钥的数量与参与者数量一致；可以实现源认证（数字签名）

缺点：加解密的速度比对称算法慢数百倍；加密之后的密文大小非常大。

经过上述分析，我们发现对称加密和非对称加密这两种方式是有互补性的，如果在加密时，把两者结合进行部署，将最大化的发挥算法的价值。

数字信封同时使用了对称和非对称加密方式，加密后的对称密钥，就是我们所说的数字信封。

数字信封存在一个问题：接收方无法去验证发送方的身份，此时可使用数字签名来实现源认证

数字签名：验证发送方的身份。用Hash算法对比。

常见算法：

对称加密：

流加密：在进行数据加密时，加密的方式是逐bit进行加密，加密后的密文长度与明文一致，加密后的速度比分组加密快。

RC4

是在无线技术中使用，WEP的安全策略使用的就是RC4，但是此算法现在已经不安全，不再推荐使用。

分组加密：在进行数据加密时，会对明文进行分组，分组之后对数据组进行加密，加密后的密文大小可能会略大于明文。

DES  密钥长度56比特，已淘汰

3DES  可兼容DES，密钥长度3*56比特，不建议使用。

AES  推荐使用此算法，必要长度有三个：128、192、256

IDEA

SM1\SM4

推荐一本书：《图解密码技术》。

非对称加密算法：

DH  主要实现对称密钥的安全交换。

RSA  实现密钥的安全交换，数据的加密，以及数字签名。

DSA  主要实现数字签名，加密速度比RSA快。

DH原理：

散列算法：

特点：

1、 固定大小     对原数据进行散列计算时，不管大小为多少，计算出来的散列值是固定的。

2、单向性 通过散列算法计算的散列值，是不可能反推出原始数据的。

3、唯一性 不同的数据有不同的散列值

4、雪崩效应  哪怕对原始数据修改一个比较值，计算出来的散列值也会发生很大的变化。

此算法最终可实现对数据完整性的保障。

常见算法：

MD5  已淘汰

SHA—SHA0  SHA1  SHA2   SHA3 (最新， 密钥长度有 256 、284 、512)

SHA3--- 我国国家密码管理局编制的商用算法。

第十六章   PKI证书体系  P553-576

PKI  公钥基础设施

数字证书：可以验证用户身份的真实性，他相当于是用户再互联网中的电子身份证，他的信任根是CA。

CA会为用户颁发证书，并使用自己的私钥对证书进行签名，当用户在验证证书时，会使用CA的公钥去验证签名，签名验证成功，身份即可得到确认。

证书类型：

自签名证书（根证书）

CA证书

本地证书

设备本地证书      

证书中包含的字段：

证书序列号

证书有效期

公钥信息

证书的算法

主体信息

签名信息—CA用自己的私钥对证书做的签名。

证书格式：

PKCS#12:二进制，可以包含私钥

DER：二进制

PEM：ASCII，可以包含私钥

PKI体系架构  四部分

EE终端实体、证书认证机构、证书注册机构、证书/CRL存储库。

证书的颁发方式：

在线： SCEP、CMPv2

离线： 通过web、电子邮件等方式

离线申请(PKCS#10)。

PKI工作机制：先请求CA  再本地。

第十七章   加密技术应用     P577-623

VPN 虚拟专用网。

VPN分类：

SSL 在传输层上，应用于应用层

三层VPN,网络层：  GRE        IPSec

二层VPN，数据链路层  ：PPTP  L2F   L2TP

VPN应用场景

Site to site  :两个局域网之间

Client to site： 客户端与企业内网

L2TP  二层VPN，主要用于广域网，传输PPP报文。

GRE VPN

IPsec VPN

安全联盟（SA）

SA 三元组

封装模式：传输模式，隧道模式

SSL VPN

第十八章  安全运营简介 P624-647

安全运营基本条件

业务连续性计划BCP

灾难恢复计划DRP

应急响应：准备、检测、抑制、根除、恢复、总结