安全防御第二天

追梦者wyp

已于 2023-03-29 15:43:44 修改

阅读量120

点赞数

文章标签：安全网络智能路由器

于 2023-03-25 09:13:00 首次发布

本文链接：https://blog.csdn.net/wyp20011020/article/details/129633430

版权

防火墙

一个登录（控制）进程端口号21
文件传输模式选port
一个数据传输
两个进程端口号不一样（20 21）

ASPF技术

可以抓取并分析多通道协议的控制报文并找到传输进程所需的详细网络参数（多通道协议都是通过控制进程报文协商处理传输进程网络参数）

根据ASPF分析控制进程特殊报文找到传输进程的报文参数，生成server-map表，放行传输进程报文
传输进程匹配server-map表后生成会话表，传输进程后续报文匹配会话表
在这里插入图片描述
多通道协议：
FTP RTSP DNS
QQ 微信 MSN
控制进程与传输进程分离
意味着控制进程的协议和端口与传输进程的协议和端口不一致
多通道协议无法用安全策略表去解决如果强行解决会导致安全策略的颗粒度过大，防火墙防御失效

三层交换机与路由器的区别
nat,三层交换机做不了（内存和CPU是比较弱的），路由器支撑NAT对内存要求比较大，NAT相当于对数据包做一次大手术，包括地址转换还有校验重新计算多通道协议的分析，动态生成返回的映射

UTM–深度包检查技术—应用层

把应用网关和IPS等设备在状态防火墙的基础上进行整合和统一
1.把原来分散的设备进行统一管理，有利于节约资金和学习成本
2.统一有利于各设备之间协作
3.设备负荷较大并且检查也是逐个功能模块来进行的，貌合神离，速度慢
在这里插入图片描述

下一代防火墙

1.传统防火墙的功能
2.IPS与防火墙的深度集成
3.应用感知和全栈可视化
4.利用防火墙以外的信息，增强管控能力

防火墙的区域

在这里插入图片描述

防火墙的策略

定义与原理

防火墙基本作用是保护特定网络免受“不信任”的网络攻击，但是同时还必须允许两个网络之间可以进行合法的通信。
安全策略是控制设备对流量进行内容安全一体化检测的策略，作用就是对通过防火墙的数据进行校验，符合安全策略的合法数据流才能通过防火墙。

防火墙策略的配置

在这里插入图片描述

安全策略工作流程

在这里插入图片描述

查询和创建会话

在这里插入图片描述

ASPF技术

见上

server-map表

多于多通道协议比如FTP、VOIP等协议，通道是随机协商出的，防火墙不能设置策略也无法形成会话表

解决方法，使用ASPF技术，查看协商端口号并动态建立server-map表放过协商通道的数据。
ASPF（Application Spcific Packet Filter,针对应用层的包过滤）也叫基于状态的报文过滤，ASPF功能可以自动检测某些报文的应用层信息放开相应的访问规则，开启ASPF功能后，FW通过检测协商报文的应用层携带的地址和端口信息，自动生成响应的server-map表，用于放行后需建立数据通道的报文，相当于自动创建一条精细的”安全策略“。

在这里插入图片描述

STUN类型协议与server-map表

端口识别

端口识别是把非标准协议端口映射成可识别的应用协议端口
在这里插入图片描述

1.配置基本ACL
在这里插入图片描述
2.配置端口识别（或端口映射）

NAT ALG

在路由器上nat针对多通道协议也会向防火墙那样抓取控制进程中协商传输进程网络参数的报文，进而生成传输进程返回的nat映射

安全里面最重要的特性（完整性机密性可用性）

防火墙的接口模式

路由模式

防火墙的接口三层路由接口的形式参与组网

交换模式

防火墙的接口二层交换接口的形式参与组网

接口对模式

接口对模式是一种特殊的二层模型，该模式的接口是成对出现，这一对接口之间转发数据不经过二层的MAC寻址，也就类似网线的形式转发，速度快

1.设置接口为接口对形式
2.把两个接口都设置为接口对模式
3.在接口对中把两个接口加入到接口对

旁路模式

防火墙的高可靠技术

在防火墙双机热备组网中必须首先解决两个问题
1.防火墙必须能够检测到链路或设备故障
2.防火墙检测到故障后能够实现流量平滑切换
当防火墙上下行业务端口上都配置了VRRP备份组时，这两个VRRP备份组是独立运行的，可能出现上下两个VRRP备份组状态不一致的情况

IDS

什么是IDS

入侵检测系统

经典检测模型

通用的入侵检测系统抽象模型
主体
对象
审计记录
活动档案
异常记录
活动规则

入侵检测作用与原理

在这里插入图片描述
识别入侵者
识别入侵行为
检测和监视已成功的入侵
为对抗入侵提供信息与依据，防止事态扩大

入侵检测是防火墙的一个有力补充，形成防御闭环，可以及时、准确、全面的发现入侵弥补防火墙对应用层检查的缺失。

IDS intrusion detection system

对系统的运行状态进行监视，发现各种攻击企图、过程、结果，来保证系统资源的安全（完整性、机密性、可用性）。是一个软件与硬件的组合系统。
异常检测：当某个事件与一个已知的攻击特征（信号）相匹配时。一个基于异常的IDS会记录一个正常主机的大致轮廓，当一个事件在这个轮廓以外发生，就认为是异常，IDS就会告警。
特征检测：IDS核心是特征库。
签名用来描述网络入侵行为的特征，通过比较报文特征和签名来检测入侵行为。

异常检测模型
首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。
误用检测模型
收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵，误用检测模型也称为特征检测（Signature-based detection）

IDS的部署

在这里插入图片描述

IDS配置

签名过滤器是若干签名的集合，我们根据特定的条件如严重性、协议、威胁类型等，将IPS特征库中适用于当前业务的签名筛选到签名过滤器中，后续就可以重点关注这些签名的防御效果。
签名过滤器的动作分为：
阻断：丢弃命中签名的报文，并记录日志
告警：对命中签名的报文放行，但记录日志
采用签名的缺省动作，实际动作以签名的缺省动作为准

签名过滤器的动作优先级高于签名缺省动作，当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。

例外签名
由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作
例外签名的动作分为：
阻断：丢弃命中签名的报文并记录日志
告警：对命中签名的报文放行，但记录日志
放行：对命中签名的报文放行，且不记录日志。添加黑名单：是指丢弃命中签名的报文，阻断报文所在的数据流，记录日志，并可将报文的源地址或目的地址添加至黑名单