第二天
防火墙的发展进程
包过滤——应用代理——状态检测——UTM——下一代防火墙NGFW
传统防火墙(包过滤防火墙)一-个严格的规则表
判断信息:数据包的源P地址、目的P地址、协议类型、源端口.目的端口(五元组)工作范围:网络层、传输层(3-4层)
普通的路由器只检查数据包的目标地址, 井选择-一个达到目的地址的最佳路径。防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否”技术应用:包过波技术生需安设据营发处
优势:对于小型站点容易实现,处理速度快,价格便宜
劣势:规则表很快会变得庞大复杂难运维,只能基于五元组
1,很多安全风险集中在应用层的,所以,仅关注三四层的数据无法做到完全隔离安全风险2,逐包进行包过滤检测,将导致防火墙的转发效率过低,成为网络中的瓶颈。
在ACl列表中,华为体系下,未尾是没有隐含规则的,即如果匹配不到ACL列表,则认为ACL列表不存在,之前可以通过,则还可以通过;但是,在防火墙的安全策略中,为了保证安全,末尾会隐含一条拒绝所有的规则, 即只要没有放通的流量,都是不能通过的。
传统防火墙(应用代理防火墙)一每个应用添加代理判断信息:所有应用层的信息包
入侵检测系统(IDS)一 -网络摄像头
部署方式:旁路部署,可多点部署
工作范围: 2-7层
工作特点:根据部署位置监控到的流量进行攻击事件监控,属于一个事后星 现的系统,相当于网络上的监控摄像头
目的:传统防火墙只能基于规则执行“是" 或“否” 的策略,IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。
IDS --- -种侧重于风险管理的安全机制---滞后性
入侵防御系统(IPS)一抵御2- 7层已知威胁
部署方式:串联部署
工作范围: 2-7层
工作特点:根据已知的安全威胁生成对应的过滤器(规则) , 对于识别为流量的阻断,对于未识别的放通
目的: IDS只能对网络环境进行检测,但却无法进行防御,IPS主要是针对已知威胁进行防御
防病毒网关(AV) 一基于网络侧识别病毒文件
判断信息:数据包
工作范围: 2-7层
目的:防止病毒文件通过外网络进入到内网环境
Web应用防火墙(WAF)一专门用来保护web应用
判断信息: http协议数据的request和response
工作范围:应用层(7层)
目的:防止基于应用层的攻击影响Web应用系统
主要技术原理:
①代理服务:会话双向代理,用户与服务器不产生直接链接,对于DDOS攻击可以抑制②特征识别:通过正则表达式的特征库进行特征识别
③算法识别:针对攻击方式进行模式化识别,如SQL注入、DDOS. XSS等
因为众多的专用设备导致企业在部署安全防护时需要同时不是大量的设备进行防护,则设备护成本大大提高,所有设备都需要对流量进行检测,所以,效率很低
统一威胁管理(UTM)多合-安全网关
包含功能: FW. IDS、 IPS、 AV
工作范围: 2-7层(但是不具备web应用防护能力)
目的:将多种安全问题通过一台设备解决
优点:功能多合-有效降低了 硬件成本、人力成本、时间成本
缺点:模块串联检测效率低,性能消耗大
在UTM中,各功能模块是串联工作,所以,检测效率并没有得到提升。但是,因为继承在了一台设备中,所以,维护成本降低。
下一代防火墙(NGFW)一升级版的UTM
包含功能: FW. IDS、 IPS、 AV. WAF
工作范围: 2-7层
和UTM的区别:
与UTM相比增加的web应用防护功能;
UTM是传销处理机制,NGFW是并行处理机制;
NGFW的性能更强,管理更高效。
改进点核心:相较于之前UTM中各模块的串联部署,为了并联部署,仅需要一次检测功能模块都可以做出对应的处理。大大提高了工作效率。
防火墙的其他功能
本地认证--用户信息存储在防火墙上,登录时,防火墙根据输入的用户名和密码进行判断,如果通过验证,则成功登录。
服务器认证--和第方的认证服务器对接。登录时,防火墙将登录信息发送给第三方服务器,之后由第三方服务器来进行验证,通过则反馈给防火墙,防火墙放行。
一般适用于企业本身使用第三方服务器来存储用户信息,则用户信息不需要重复创
服务器/本地认证--优先使用服务器认证,如果服务器认证失败,则也不进行本地认证。只有在服务器对接不上的时候,采用本地认证
信任主机一-可以添加一个地址或者网段,则其含义是只有在该地址活地址殿内.可以登录管理设备最多可以添加10条信息。
防火墙的组网
物理接口
二层口---不能配IP
普通的二层口
接口对-“透明网线” -- 可以将两个接口绑定成为接口对,如果流量从一个接口进入,则:必定从另一一个按口出去,不需要查看MAC地址表。-- 实-一个接口也可以做接口对, 从该接口进再从该接口出
旁路检测接口-主要用于防火墙的旁路部署,用于接收镜像口的流量。
三层口---可以配IP
虚拟接口:
环回接口
子接口
链路聚合
隧道接口
. ..
Bypass --- 4个千兆口其实是两队bypass口。如果设备故障。则两个接口直通,保证流量不中断
虚拟系统--- VRF技术,相当于逻辑上将一台设备分割为多台设备,平行工作,互不影响。需要通过接口区分虚拟系统的范围。
管理口和其余物理接口默认不在同一个虚拟系统中。
高于安全策略
接口对默认为trunk链路。
第三天
传统的包过滤防火墙--其本质为ACL列表,根据数据报中的特征进行过滤,之后对比规制,
执行动作。
五元组--源IP,目标IP, 源端口,目标端口,协议
安全策略--相较于ACL的改进之处在于,首先,可以在更细的颗粒度下四配流量,另一方面是可以完成内容安全的检测。
防火墙的状态检测和会话表
基于流的流量检测---即设备仅对流量的第一一个数据包进行过滤,并将结果作为这一条数据流的“特征”记录下来(记录在本地的“会话表”) ,之后,该数据流后续的报文都将基于这个特征来进行转发,而不再去匹配安全策略。这样做的目的是为了提高转发效率。
防火墙安全策略配置
传统包过滤和安全策略区别
安全策略功能
1,会话表; 2,状态检测
1,会话表---会话表本身也是基于5元组来区分流量,会话表在比对时,会通过计算HASH来比较五元组。因为HASH定长,所以,可以基于硬件进行处理,提高转发效率。
因为会话表中的记录只有在流量经过触发时才有意义,所以,如果记录长时间不被触发,则应该删除掉。即会话表中的记录应该存在老化时间。如果会话表中的记录被删除掉之后,相同五元组的流量再通过防火墙,则应该由其首包重新匹配安全策略,创建会话表,如果无法创建会话表,则将丢弃该数据流的数据。
如果会话表的老化时间过长:会造成系统资源的浪费,同时,有可能导致新的会话表项无法正常建立
如果会话表的老化时间过短:会导致一些需要长时间首发一 次的报文连接被系统强行中断,影响业务的转发。
不同协议的会话表老化时间是不同
第四天
1.FTP和TFTP
(1)基础信息
FTP协议是一个典型的C/S架构的协议
FTP------文件传输协议
Tftp --- 简单文件传输协议
1,FTP相较于TFTP存在认证动作
2,FTP相较于TFTP拥有一套完整的命令集
FTP工作过程中存在两个进程:一个是控制进程,另一个是数据的传输进程,所以,需要使用 两个端口号20,21 并且,FTP还存在两种不同的工作模式 --- 主动模式,被动模式
主动模式
(3)被动模式
防火墙的用户认证
防火墙管理员登录认证---检验身份的合法性,划分身份权限
用户认证--上网行为管理的部分
用户,行为,流量--- 上网行为管理三要囊
用户认证的分类
上网用户认证 ---三层认证---所有的跨网段的通信都可以属于上网行为。正对这些行为,我们希望将行为和产生行为的人进行绑定,所以,需要进行上网用户认证。
入网用户认证--二层认证---我们的设备在接入网络中,比如插入交换机或者接入wifi后需要进行认证才能正常使用网络。
接入用户认证--远程接入-- VPN --主要是校验身份的合法性的
认证方式
本地认证--用户信息在防火墙上,整个认证过程都在防火墙上执行
服务器认证-.对接第三方服务器,防火墙将用户信息传递给服务器,之后,服务器将认证结果返回,防火墙执行对应的动作即可
单点登录--和第三方服务器认证类似。
认证域-可以决定认证的方式和组织结构
登录名---作为登录凭证使用,-一个认证域下不能重复
显示名---显示名不能用来登录,只用来区分和标识不同的用户。如果使用登录名区分,则也可以不用写显示名。显示名可以重复.
账号过期时间---可以设定-个时间点到期, 但是,如果到期前账号已登录,到期后,防火墙不会强制下线该用户。
允许多人同时使用该账号登录
私有户-- 仅允许一个人使用, 第二个人使用时,将顶替到原先的登录
公有用户---允许多个人同时使用一个账户
IP/MNC绑定---用户和设备进行绑定(IP地址/MAC地址)
单向绑定--该用户只能在这个IP或者这个MAC或者这个P/MAC下登录,但是,其他用户可以在该设备下登录
双向绑定---该用户只能在绑定设备下登录,并且该绑定设备也仅允许该用户登录。
安全组和用户组的区别-.都可以被策略调用,但是,用户组在调用策略后,所有用户组成员以及子用户组都会生效,而安全组仅组成员生效,子安全组不生效。
认证策略
Portal --这是一一种常见的认证方式。我们一般见到的网页认证就是portali认证。我们做上网认证,仅需要流量触发对应的服务时,弹出窗口,输入用户名和密码进行认证。
免认证--需要在IP/MAC双向绑定的情况下使用,则对应用户在对应设备上登录时,就可以选择免认证,不做认证。
匿名认证--和免认证的思路相似,认证动作越透明越好,选择匿名认证,则登录者不需要输入用户名和密码,直接使用IP地址作为其身份进行登录。
认证域
如果这里的上网方式选择protai认证,则认证策略里面也要选择porai认证。
如果这里的上网方式选择免认证或者单点登录,则认证策略中对应动作为免认证
如果认证策珞中选择的是匿名认证,则不触发这里的认证动作。
防火墙的NAT
动态NAT---多对多
NAPT --- -对多的NAPT -- easyip
多对多的NAPT
服务器映射
源NAT ---基于源IP地址进行转换。我们之前接触过的静态NAT,动态NAT, NAPT都属于源NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网
目标NAT --基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT.是了保证公网用户可以访问内部的服务器
双向NAT -同时转换源IP和目标IP地址
第五天
配置黑洞路由--黑洞路由即空接口路由,在NAT地址池中的地址,建议配置达到这个地址指向空接口的路由,不然,在特定环境下会出现环路。(主要针对地址池中的地址和出接口地址不再同-一个网段中的场景。)
允许端口地址转换
决定了使用的是动态NAT还是NAPT的逻辑。
NAT突型---五元组NAT --针对源IP,目标IP, 源端口,目标端口。协议这五个参数识别出的数据流进行端口转换
三元组NAT ---针源|P,源端口,协议三个参数识别出的数据流进行端口转换
在保留地址中的地址将不被用于转换使用
动态NAT创建完后,触发访问流量后会同时生成两条server-map的记录,其中-条是反向记录反向记录小时前,相当于是一条静态NAτ记录, 外网的任意地址,在安全策略放通的情况下,是可以访问到内网的设备。
基于端口的NAT转换,是不会生成server map表的。
三元组
因为P2P应在端口转换的情况下,识别五元组,将导致P2P喀户端之间无法直接访问, 不符合五元组的饰选条件,所以,这种场景下可以使用三元组NAT,放宽筛选条件,保证P2P客户端之间可以正常通信。
目标NAT
服务器映射
安全区域--值的是需要访问服务器的设备所在的区域。
源NAT在安全策略之后执行,目标NAT在安全策略之前执行(因为自动生成的安全策略的目标地址是转换后的地址,说明需要先进行转换。再触发安全策略)
第六天
防火墙的智能选路
就近选路---我们希望在访问不同运营商的服务器是,通过对应运营商的链路。这样可以提高通信效率,避免绕路。
传统的路由, 仅基于数据包中的目标IP地址查找路由表。仅关心其目标,所以,在面对-些特殊的需求时,传统路由存在短板,缺乏灵活性,适用场景比较单一。
策略路由本身也是一一种策略, 策略主要先匹配流量,再执行动作。策珞路由可以从多维度去匹配流量,之后,执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐含-条不做策略的规则,即所有没有匹配上策略路由的流量,都将匹配传统路由表进行转发。
如果存在多条策珞路由,则匹配规则也是自上而下,逐- -匹配, 如果匹配上了,则按照对应动作执行,不再向下匹配。
DSCP优先级--相当于在数据包中设定其转发的优先级(利用的是IP头部中tos字段)之后下游设备会根据优先级来差异化保证流量的通过.
动作:
转发--可以定义其转发的方式
转发其他虚拟系统-- VRF
不做策赂路由
监控---当策略是单出口时,如果这里写的下一-跳和出接口不可达,报文将直接被FW丢弃。为了提高可靠性,我们可以配置针对下一跳的监控,即使下一跳不可达,也可以继续查找本地路由表,而不是直接丢弃。
智能选路---全局路由策略
会话保持---开启该功能后,流暈首次通过智能选路的接口后,会创建会话表,后续命中会话表的流量都将通过同一个接口来进行转发,选择源!P和目的IP的效果时,所有相同源IP或者目标IP的流量将通过同一个接口转发。--- 应对于不希望链路频繁切换的场景。
丢包率--- FW会发送若干个探测报文(默认5个), 将统计丢包的个数。丢包率等于回应报文个数除以探测报文个数。丢包率是最重要的评判依据。
时延--应答报文接受时间减去探测报文发送时间。FW会发送若干个探测报文,取平均时延作为结果进行评判
延时抖动---两次探测报文时延差值的绝对值。FW会发送若干个探测报文,取两两延时抖动的平均值。
首次探测后会将结果记录在链路质量探测表中,之后,将按照表中的接口来进行选路。表中的老化时间结束后,将重新探测。
基于链路权重进行负载分担
权重是由网络管理员针对每一条链路手工分配的, 分配之后,将按照权重比例分配流量.
基于链路优先级的主备备份
优先级也是由网络管理员针对每一条链路手工分配的。
执行逻辑:
1,接口没有配置过载保护:
优先使用优先级最高的链路转发流量,其他链路不工作。直到优先级最高的链路故障,则优先级次高的链路开始转发流量。其余链路依旧不工作。
2,接口配置了过载保护:
优先使用优先级最高的链路转发流量,其他链路不工作;如果最高的链路达到或超过保护阈值,则优先级次高的链路开始工作