防火墙、NAT、IDS(入侵检测系统)

已于 2023-03-24 17:32:42 修改
阅读量1k 收藏 4
点赞数
分类专栏: 安全防御 文章标签: 网络
于 2023-03-24 17:15:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57243925/article/details/129746268
版权

文章目录

一、总结

1、防火墙如何处理双通道协议

多通道协议:控制进程与传输进程分离,意味着控制传输进程协议和端口与传输进程的协议和端口不一致,如:FTP、RTSP、DNS、QQ、微信
**处理方案:**使用ASPF技术,抓取并分析多通道协议的控制报文并找到传输进程所需要的详细网络参数(多通道协议都是通过控制进程报文协商处理传输进程网络参数)---->根据ASPF分析控制进程特殊报文找到传输进程,生成server-map表,放行传输进程报文,传输进程匹配server-map表后生成会话表,传输进程后续报文匹配会话表

ASPF:针对应用层的包过滤,也叫基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息开放相应的访问规则,开启ASPF功能后,FW通过检测协报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。

2、防火墙如何处理nat?

普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能,但对应用层数据载荷中的字段无能为力,在许多应用层协议中,TCP/UDP载荷中带有地址或者端口信息,这些内容不能被NAT进行有效的转换。

解决常见NAT转换缺陷方式:
NAT ALG(Application Level Gateway,应用层网关)技术能对多通道协议进行应用层报文信息的解析和地址转换,将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理,从而保证应用层通信的正确性。

例如,FTP应用就由数据连接和控制连接共同完成,而且数据连接的建立动态地由控制连接中的载荷字段信息决定,这就需要ALG来完成载荷字段信息的转换,以保证后续数据连接的正确建立。

3、防火墙支持那些NAT技术,主要应用场景是什么?

1.源NAT — 内网主机访问外网主机
2. server NAT — 外网主机访问内网服务器
3 .域间双向NAT:一般是解决内网服务器没有外网路由的问题
注意点:
NAT策略: 把握住转换前数据包源目的地址是什么以及转换后源目的地址是什么
安全策略: 把握住在没有做NAT时数据应该放行的参数,就是做完NAT后应该放行的参数
4. 域内双向NAT:
内网用户请求的是同在内网服务器的公网地址,但是返回时是服务器的私网地址。
此时用户等待的IP地址却是服务器公网地址,返回的IP地址不同,此时的数据包不会被采用。
去的适合用防火墙,回来使用内网。
当内网PC以公网形式访问内网服务器时,需要用到
域内NAT转换:
在 防火墙处服务器回包时:源IP=私网IP,目的IP=公网IP
在防火墙NAT转换后:源IP=公网IP,目的IP=客户端私网IP
5. 双出口NAT:

如果在出口连接的处存在两个运营商,此时有两个结构:主备结构、负载结构。我们去往不同服务器
就要走不同的线路。此时就有一个问题就是数据包出去的时候走的第一条网段线路,回来的时候在没有做
策略的情况下有可能会转移到第二条线路返回。如此导致不同运营商的路线不同回来后转换的ip也会不同。
在以上情况我们就需要设置域内双出口NAT解决。即写两个NAT
双出口会出现NAT转换错乱
解决方案:
启动防火墙多出口选项,网关、缺省、源进源出路由控制三种必须启用。不管是多出口是在一个安全区域还是多个安全区域都是如此做法。

4、 当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明

客户端使用公网ip【源地址为客户端内网地址】去访问服务器时,服务器会直接使用内网的ip通过内网路由给客户端回包。此时客户端收到的回包是内网的ip,但是客户端访问的是服务器是要外网公网ip回的。那么就会将数据包丢弃。解决服务器回包使用内网ip地址问题

使用域内双向NAT解决问题
将原数据包的源地址改为公网ip地址,目的地址由公网ip改为服务器的内网地址。如此服务器收到的包源ip就是公网ip,如此回包就会使用公网ip地址。内网客户端就不会丢弃ip回包。

5、 防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明

1、出现原因是因为首包机制,当首包通过主用防火墙,就会生成一个session表,当主用防火墙就下线了,然后使用备用防火墙。但是备用防火墙上没有首包生成的session表导致后面的会话无法建立是无法通过备用防火墙建立会话的。

根本问题:session表主备没有同时建立,没有同步信息。从而导致出去与回来的包找不到出口或入口

解决方法:

1、使用HRP(华为双机热备协议)解决同步问题,将主的动态数据和关键命令进行备份。使同步共享了信息避免了首包机制的问题
2、使用VGMP解决一致行动问题,进行统一管理,有抢占管理的功能
3、关闭状态检测机制,使非首包也能建立会话表

6、 防火墙支持那些接口模式,一般使用在那些场景?

  • 路由模式(接口具有IP地址)

 防火墙的接口三层路由接口的形式参与组网
 防火墙位于内部网络和外部网络之间,需要将防火墙与内部网络、外部网络和DMZ区域相连的接口分别配置成不同网段的P地址,此时的防火墙就相当于一台路由器。(路由模式下可以完成ACL包过滤、ASPF动态过滤、NAT转换等功能)

  • 交换模式(接口无IP地址)

 防火墙的接口二层交换接口的形式参与组网

 防火墙采用透明模式时对于子网用户和路由器是透明的,这种模式对安全性没有影响起到一个交换机的功能。此模式下无法进行NAT,无法作为服务器也无法使用VPN。

  • 接口对模式(不需要查看MAC地址表)

 接口对模式是一种特殊的二层模式,该模式的接口是成对出现,这一对接口之间转发数据不经过二层的MAC寻址,也就类似网线的形式转发,速度快。

(1.)设置接口为接口对形式

(2.)把两个接口都设置为接口对模式

(3.)在接口对中把两个接口加入到接口对
 不同口进出:将两个同类型接口组成接口对后,从一个接口进入的流量固定从另一个接口转发出去,不需要查询路由表或MAC地址表。
 同口进出:如果进、出接口配置为同一个接口,则从该接口进入的报文经过设备处理后仍然从该接口转发出去。

  • 旁路模式

 旁路模式的接口也是二层的交换机接口,该接口一般用于接收镜像流量,向主机一样旁观在设备上。通过旁观设备的端口镜像技术收集流量给给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任务,功能是最少的。

7、什么是IDS?

IDS(入侵检测系统):对系统的运行状态进行监视,发现各种攻击企图、攻击行为、攻击结果。用于保证系统资源的安全(机密性、完整性、可用性)

作用:

  • 识别入侵者
  • 识别入侵行为
  • 检测和监视已成功的入侵
  • 为对抗入侵提供信息与依据,防止时态扩大

8、 IDS和防火墙有什么不同?

防火墙是在内网和外网之间的一道防御系统
IDS是一个旁路监听设备,没有也不需要跨接在任何链路上,无需流量流经过也能进行工作

设备所处点不同
防火墙是在内网和外网之间的一道防御系统
IDS是一个旁路监听设备,没有也不需要跨接在任何链路上,无需流量流经过也能进行工作

作用点不同
通过了防火墙的数据防火墙就不能进行其他操作
入侵检测(IDS) 是防火墙的有力补充,形成防御闭环,可以及时、正确、全面的发现入侵,弥补防火墙对应用层检测的缺失

动作不同
防火墙可以允许内部的一部分主机被外部访问
IDS只有监视和分析用户和系统的活动、行为

入侵检测是防火墙的一个有力补充,形成防御闭环,可以及时、准确、全面的发现入侵,弥补防火墙对应用层检查的缺失。

9、 IDS工作原理?

IDS分为实时入侵检测和事后入侵检测:
实时入侵检测:在网络连接过程中进行,发现入侵迹象立即断开当前连接,并收集证据和实施数据恢复。
事后入侵检测:由安全人员进行检测。

入侵检测分类:
基于网络:通过连接在网络的站点捕获数据包,分析是否具有已知攻击模式。
基于主机:通过分析系统审计数据来发现可疑活动,比如内存和文件的变化;输入数据只要来源于系统日志。

入侵检测技术途径:
信息收集:系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。
数据分析

10、IDS的主要检测方法有哪些详细说明?

异常检测(行为):当某个事件与一个已知的攻击特征(信号)相匹配时。一个基于异常的IDS会记录一个正常主机的活动大致轮廓,当一个事件在这个轮廓以外发生,就认为是异常,IDS就会告警。
特征检测(比对): IDS核心是特征库 (签名)
签名用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为

异常检测模型 (Anomaly Detection)
首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。

误用检测模型 (Misuse Detection)
收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测 (signature-based detection)

11、IDS的部署方式有哪些?

旁挂 : 需要在部署旁挂设备上使用端口镜像的功能,把需要采集的端口流量镜像到IDS旁挂口。也可以使用集线器、分光器实现流量复制。(即使是IPS也会有旁挂)

  • 直路:直接串连进现网,可以对攻击行为进行实时防护,缺点是部署的时候需要断网,并增加了故障点
  • 单臂:旁挂在交换机上,不需改变现网,缺点是流量都经过一个接口,处理性能减半,另外不支持BYPASS
  • 旁路:通过流量镜像方式部署,不改变现网,缺点是只能检测不能进行防御

12、IDS的签名是什么意思?签名过滤器有什么作用?

PS特征库中包含了针对各种攻击行为的海量签名信息,但是在实际网络环境中,业务类型可能比较简单,不需要使用所有的签名,大量无用的签名也容易影响对常用签名的调测。此时我们可以使用签名过滤器将常用的签名过滤出来。

**IDS签名:**入侵防御签名用来描述网络种存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。

签名过滤器是若干签名的集合,我们根据特定的条件如严重性、协议、威胁类型等,将IPS特征库中适用于当前业务的签名筛选到签名过滤器中,后续就可以重点关注这些签名的防御效果。通常情况下,对于筛选出来的这些签名,在签名过滤器中会沿用签名本身的缺省动作。特殊情况下,我们也可以在签名过滤器中为这些签名统一设置新的动作,操作非常便捷。

签名过滤器的作用: 由于设备长时间工作,累积了大量签名,需要对其进行分类,没有价值会被过滤器过滤掉。起到筛选的作用。

签名过滤器的动作:

  • 阻断:丢弃命中签名的报文,并记录日志
  • 告警:对命中签名的报文放行,但记录日志。
  • 采用签名的缺省动作,实际动作以签名的缺省动作为准

签名过滤器的动作优先级高于签名缺省动作,当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。
例外签名作用
由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。

例外签名的动作分为:

  • 阻断: 丢弃命中签名的报文并记录日志
  • 告警: 对命中签名的报文放行,但记录日志。
  • 放行: 对命中签名的报文放行,且不记录日志。添加黑名单: 是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单

二、NAT练习

在这里插入图片描述

1、按照拓扑分别为三个区域的设备配置IP、掩码和网关,并将防火墙的对应接口进行配置
在这里插入图片描述
2、首先进行源NAT配置的练习

在这里插入图片描述配置完NAT后,还需要编写安全策略来放通trust区域至untrust区域的流量,因为NAT策略和安全策略是两种策略,仅编写NAT策略是无法访问的
在这里插入图片描述此时使用trust区域的PC访问untrust区域区域的设备是可以完成互通的

在这里插入图片描述
在防火墙的untrust区域抓取PC1的流量,会发现完成了地址的转换
在这里插入图片描述
3、完成DMZ区域的服务器映射
在这里插入图片描述
在这里插入图片描述编写安全策略,需要注意的是源地址应该为any,目的地址为服务器的私网地址

在这里插入图片描述
配置完成后使用untrust区域的client来进行测试
在这里插入图片描述
在这里插入图片描述
4、假设DMZ区域只能被内部地址访问,但是此时untrust区域的设备又需要访问DMZ区域,
在这里插入图片描述
由于之前配置了安全策略,所以此时不需要再进行安全策略的编写
在这里插入图片描述
通过抓包可以观察到,源地址和目标地址都进行了转换
在这里插入图片描述
5、NAT域内双向转换
在这里插入图片描述
在这里插入图片描述
此时,外网可以访问服务器,但是内网设备却无法访问
在这里插入图片描述在这里插入图片描述在这里插入图片描述配置完域内双向转换内部设备即可访问服务器
在这里插入图片描述

三、双机热备实验

在这里插入图片描述1、为所有区域的PC配置IP、掩码和网关,在交换机上创建vlan,并配置接口IP

在这里插入图片描述在这里插入图片描述
在这里插入图片描述
在这里插入图片描述2、在防火墙上划分区域并配置IP
在这里插入图片描述在这里插入图片描述
3、编写路由
在这里插入图片描述
在这里插入图片描述

[L1]ip route-static 0.0.0.0 0 10.1.2.254
[L2]ip route-static 0.0.0.0 0 100.1.2.254

4、配置双机热备
在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述
结果显示:
在这里插入图片描述
在这里插入图片描述5、完成配置后即可在备份上看见安全策略
在这里插入图片描述
6、测试
在这里插入图片描述主备切换:

关闭1/0/0口后,备的状态变为了主
在这里插入图片描述

在这里插入图片描述在这里插入图片描述此时,PC依旧可以访问外网
在这里插入图片描述

学习时长两年半的虚假CTF选手
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
入侵检测与防火墙课程设计--张亮-山东农业大学.doc
07-03
入侵检测与防火墙课程设计--张亮-山东农业大学.doc
安全防御 --- 入侵检测 --- IDS、IPS
weixin_62443409的博客
04-03 4252
(相当于一个摄像头。用户可以将自己身份伪装成合法的,或者通过后门进入,绕过或者攻破防火墙,此时防火墙相当于虚设)
防火墙双机热备及入侵检测
weixin_57949883的博客
03-21 1015
相当于一个“监控系统”进行实时监控,一旦有陌生人进入或内部人员有越界行为,它会发现情况并发出警告。IDS是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。专业上来讲,IDS入侵检测系统)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。它不跨接多个物理网段(通常只有一个监听。
【计算机网络学习笔记18】防火墙技术、入侵检测技术
正月十六工作室
04-25 1万+
【计算机网络学习笔记18】防火墙技术、入侵检测技术 一、防火墙 防火墙 (firewall) :一种访问控制技术,通过严格控制进出网络边界的分组,禁止任何不必要的通信,从而减少潜在入侵的发生,尽可能降低这类安全威胁所带来的安全风险。 防火墙是一种特殊编程的路由器,安装在一个网点和网络的其余部分之间,目的是实施访问控制策略。访问控制策略由使用防火墙的单位自行制定。 1、防火墙的设计策略 机构的安全策略主要包括物理安全策略、访问控制策略、信息加密策略、网络安全管理策略等几个方面。其中最为重要的是网络访问控制策略
如何配置和优化入侵检测系统(IDS)?
图幻未来的博客
02-07 357
随着互联网的快速发展以及网络攻击手段的日新月异, 入侵检测和防御已经成为了企业网络安全的重中之重. 入侵检测系统IDS)是一种实时监控计算机网络的被动安全措施,旨在及时发现并防止未经授权的访问、数据泄露以及其他潜在的网络威胁. 本文将探讨如何有效地部署和优化入侵检测系统的性能。
状态检测防火墙知识
zzfcnc的专栏
07-31 7093
状态检测防火墙   状态检测防火墙采用了状态检测包过滤的技术,是传统包过滤上的功能扩展。状态检测防火墙网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时具有较好的适应性和扩展性。状态
NIP与IDS部署
qinghao11的博客
03-23 1613
NIP 华为IPS设备支持IPS(入侵防御系统)和IDS(入侵检测系统) IPS(入侵防御系统) 部署方式:直路部署 旁路部署 单臂部署 IDS入侵检测系统):旁路部署 IPS 直路部署 NIP串联在网络链路中 优点:1.能对流量进行控制,零配置 缺点:单点故障有延时 单臂部署 优点:可以对流量做阻断。 缺点:流量都要经过NIP,NIP是入侵防御系统,NIP会对数据包做重组,会对数据的传输层,网络层,应用层中各字段做分析并与签名库存做比对,如果没有问题,才转发出去。这样会加大网络的延时。同时,这里NI
深入了解防火墙IDS
weixin_53434577的博客
04-02 864
IDS是英文"Intrusion Detection Systems"的缩写,中文意思是"入侵检测系统"。它是一种对网络传输进行即时监视,在发现可疑行为时发出警报或者采取主动反应措施的网络安全设备。IDS是根据一定的安全策略,对网络和系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
IDS的详细介绍
qq_65975148的博客
03-27 2029
IDS
什么是IPS?如何对其进行调整?
qq_38322998的博客
03-24 5925
IPS(Intrusion Prevention System)是一种基于攻击特征检测入侵行为的安全机制,可以检测缓冲区溢出、木马、蠕虫、SQL注入等多种攻击,并支持告警、阻断等响应方式。
CheckPoint防火墙Nat配置讲解
10-31
CheckPoint防火墙Nat配置讲解
山石防火墙目的NAT配置举例.docx
08-31
山石防火墙目的NAT配置举例
防火墙NAT Server & 源NAT实验.zip
03-03
防火墙NAT Server & 源NAT实验
华为防火墙nat端口映射
06-07
对应主页文章名称
防火墙NAT设置(神州数码)
04-20
很简单明了的NAT技术设置过程,估计大家都能看懂吧
3.2 防火墙
weixin_43263566的博客
08-06 689
防火墙可以定义为位于可信网络与不可信网络之间,并对二者之间流动的数据包进行检查和筛选的一台或多台计算机或路由器。控制:防火墙在不同安全域的网络连接点上建立一个安全控制点,可以对进出数据进行限制和筛选。通过定义规则和策略,防火墙可以控制哪些数据包被允许通过,哪些被禁止或限制。隔离:防火墙可以将需要保护的网络与不可信任网络进行隔离,阻止未经授权的访问和攻击者进入受保护的网络。通过防火墙的设置,可以隐藏内部网络的具体拓扑结构和信息,提供额外的安全防护。记录:防火墙对进出数据进行检查,并记录相关的信息。
Linux等保(三级)核查指导
热门推荐
枪菜且白给的博客
07-15 3万+
Linux等级保护
IPS与IDS
m0_69926138的博客
11-17 2478
IPS与IDS
网络与信息安全学习(六)
zhouzhuo_CSUFT的博客
09-30 5616
7.1防火墙概述 7.1.1 防火墙定义与分类 防火墙(Firewall)是目前保护计算机网络的主要安全设备,作为一种隔离控制技术,防火墙在内部网络和不安全的外部网络(如:Internet)之间建立一道屏障,阻止外部对内网的非法访问,同时,阻止重要信息从内网非法流出。 防火墙作为一种主要的网络安全系统,将网络隔离成内网和外网,它是内外网之间的检查站,通过对数据的过滤和筛选,保护内部网络资源...
ensp实现ospf
最新发布
03-06
ENSP(Enterprise Network Simulation Platform)是华为公司开发的一款网络仿真平台,用于模拟和测试企业级网络环境。OSPF(Open Shortest Path First)是一种内部网关协议(IGP),用于在IP网络中进行路由选择。 在ENSP中实现OSPF可以通过以下步骤进行: 1. 创建网络拓扑:在ENSP中创建网络拓扑,包括路由器、交换机和主机等设备,并将它们连接起来。 2. 配置IP地址:为每个设备配置IP地址,确保设备之间可以相互通信。 3. 启用OSPF协议:在路由器上启用OSPF协议,并配置相应的参数,如区域ID、路由器ID等。 4. 配置接口:为每个连接到路由器的接口配置OSPF相关参数,如区域ID、Hello间隔、认证等。 5. 配置路由:根据网络拓扑和需求,配置路由器之间的路由关系,以及与其他网络的连接。 6. 验证和调试:通过验证和调试命令,确保OSPF协议正常运行,并且路由表正确生成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值