第一天:
网络安全概述
勒索病毒、APT攻击、网络空间安全、数据泄露、个人信息安全
信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。
网络安全:计算机网络环境下的信息安全。
常见网络安全术语
网络安全背景
网络空间安全 --- Cyberspace
2003年美国提出网络空间的概念 --- 一个由信息基础设施组成的互相依赖的网络。
我国官方文件定义:网络空间为继海,陆,空,天以外的第五大人类活动领域
通信保密阶段 --- 计算机安全阶段 --- 信息系统安全 --- 网络空间安全
APT攻击 --- 高级持续性威胁
信息安全五要素
1.保密性
2.完整性
3.可用性
4.可控性
5.不可否认性
基本攻击模式
1,代理防火墙 --- 每目标IP代理阈值,每目标IP丢包阈值
2,首包丢包
3,SYN cookie
恶意程序 --- 一般会具备一下的多个或全部特性
1,非法性
2,隐蔽性
3,潜伏性
4,可触发性
5,表现性
6,破坏性
7,传染性 --- 蠕虫病毒的典型特点
8,针对性
9,变异性
10,不可预见性
普通病毒 --- 以破坏为目的的病毒
木马病毒 --- 以控制为目的的病毒
蠕虫病毒 --- 具有传播性的病毒
第二天:
区域
防火墙的主要职责在于:控制和防护 --- 安全策略 --- 防火墙可以根据安全策略来抓取流量之
后做出对应的动作。
防火墙的分类:
吞吐量 --- 防火墙同一时间处理的数据量
防火墙发展史:
传统防火墙(包过滤防火墙)—— 一个严格的规则表
传统防火墙(应用代理防火墙)—— 每个应用添加代理
传统防火墙(状态监测防火墙)—— 首次检查建立会话表
入侵检测系统(IDS)—— 网络摄像头
入侵防御系统(IPS)—— 抵御2-7层已知攻击
防病毒网关(AV)—— 基于网络识别病毒文件
web应用防火墙(waf)—— 专门用来保护web应用
统一威胁管理(UTM)—— 多合一安全网关
下一代防火墙(NGFW)—— 升级版的utm
防火墙的控制
带内管理 --- 通过网络环境对设备进行控制 --- telnet,ssh,web --- 登录设备和被登
录设备之间网络需要联通
防火墙的管理员
本地认证 --- 用户信息存储在防火墙上,登录时,防火墙根据输入的用户名和密码进行
判断,如果通过验证,则成功登录。
服务器认证 --- 和第三方的认证服务器对接,登录时,防火墙将登录信息发送给第三方
服务器,之后由第三方服务器来进行验证,通过则反馈给防火墙,防火墙放行。
一般适用于企业本身使用第三方服务器来存储用户信息,则用户信息不需要重复创
建。
服务器/本地认证 --- 优先使用服务器认证,如果服务器认证失败,则也不进行本地认
证。只有在服务器对接不上的时候,采用本地认证
安全区域
Trust --- 一般企业内网会被规划在trust区域中
Untrust --- 一般公网区域被规划在untrust区域中
我们将一个接口规划到某一个区域,则代表该接口所连接的所有网络都被规划到该区
域。
Local --- 指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的,
凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置,
并且我们无法将接口划入该区域。接口本身属于该区域。
Dmz --- 非军事化管理区域 --- 这个区域主要是为内网的服务器所设定的区域。这些服务器本
身在内网,但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以,这个区域
就代表是严格管理和松散管理区域之间的部分管理区域。
优先级 --- 1 - 100 --- 越大越优 --- 流量从优先级高的区域到优先级低的区域 --- 出方向(outbound)
流量从优先级低的区域到高的区域 --- 入方向 (inbound)
路由模式
透明模式
旁路模式
混合模式
第三天:
安全策略
传统的包过滤防火墙 --- 其本质为ACL列表,根据
数据报中的特征
进行过滤,之后对比规制,
执行动作。
五元组 --- 源IP,目标IP,源端口,目标端口,协议
安全策略 --- 相较于ACL的改进之处在于,首先,可以在更细的颗粒度下匹配流量,另一方面
是可以完成
内容安全
的检测。
1,访问控制(允许和拒绝)
2,内容检测 --- 如果允许通过,则可以进行内容检测
防火墙的状态检测和会话表
基于流的流量检测 --- 即设备仅对流量的第一个数据包进行过滤,并将结果作为这一条数据流
的“特征”记录下来(记录在本地的
“会话表”
),之后,该数据流后续的报文都将基于这个
特征来进行转发,而不再去匹配安全策略。这样做的目的是为了提高转发效率。
1、会话表 2、状态监测
第四天:
FTP --- 文件传输协议
FTP协议是一个典型的C/S架构的协议
Tftp --- 简单文件传输协议
1,FTP相较于Tftp存在认证动作
2,FTP相较于Tftp拥有一套完整的命令集
FTP工作过程中存在两个进程,一个是控制进程,另一个是数据的传输进程,所以,需要使用
两个端口号20,21
并且,FTP还存在两种不同的工作模式 --- 主动模式,被动模式
ASPF --- 针对应用层的包过滤 --- 用来抓取多通道协议中协商端口的关键数据包,之后,将端
口算出,将结果记录在sever-map表中,相当于开辟了一条隐形的通道。
防火墙的用户认证
防火墙管理员登录认证 --- 检验身份的合法性,划分身份权限
用户认证 --- 上网行为管理的一部分
用户,行为,流量 --- 上网行为管理三要素
用户认证的分类
上网用户认证 --- 三层认证 --- 所有的跨网段的通信都可以属于上网行为。正对这些行
为,我们希望将行为和产生行为的人进行绑定,所以,需要进行上网用户认证。
入网用户认证 --- 二层认证 --- 我们的设备在接入网络中,比如插入交换机或者接入wifi
后,需要进行认证才能正常使用网络。
接入用户认证 --- 远程接入 --- VPN --- 主要是校验身份的合法性的
认证方式
本地认证 --- 用户信息在防火墙上,整个认证过程都在防火墙上执行
服务器认证 --- 对接第三方服务器,防火墙将用户信息传递给服务器,之后,服务器将
认证结果返回,防火墙执行对应的动作即可
单点登录 --- 和第三方服务器认证类似。
防火墙的NAT
静态NAT --- 一对一
动态NAT --- 多对多
NAPT --- 一对多的NAPT --- easy ip
--- 多对多的NAPT
服务器映射
源NAT
--- 基于源IP地址进行转换。我们之前接触过的静态NAT,动态NAT,NAPT都属于源
NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网
目标NAT
--- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为
了保证公网用户可以访问内部的服务器
双向NAT
--- 同时转换源IP和目标IP地址
第五天:
配置黑洞路由 --- 黑洞路由即空接口路由,在NAT地址池中的地址,建议配置达到这个地址指
向空接口的路由,不然,在特定环境下会出现环路。(主要针对地址池中的地址和出接口地址
不再同一个网段中的场景。)
决定了使用的是动态NAT还是NAPT的逻辑。
高级
NAT类型 --- 五元组NAT --- 针对源IP,目标IP,源端口,目标端口,协议 这五个参数识别出
的数据流进行端口转换
三元组NAT --- 针源IP,源端口,协议 三个参数识别出的数据流进行端口转换
动态NAT创建完后,触发访问流量后会同时生成两条server-map的记录,其中一条是反向记
录。反向记录小时前,相当于是一条静态NAT记录,外网的任意地址,在安全策略放通的情况
下,是可以访问到内网的设备。
基于端口的NAT转换,是不会生成server-map表的。
P2P --- peer to peer
多出口NAT
源NAT
第一种:根据出接口,创建多个不同的安全区域,再根据安全区域来做NAT
第二种:出去还是一个区域,选择出接口来进行转换
目标NAT
第一种:也可以分两个不同的区域做服务器映射
第二种:可以只设置一个区域,但是要注意,需要写两条策略分别正对两个接口的地址
池,并且,不能同时勾选允许服务器上网,否则会造成地址冲突。