第二天
恶意程序 --- 一般会具备以下多个或全部特点
1,非法性
2,隐蔽性
3,潜伏性
4,可触发性
5,表现性
6,破坏性
7,传染性
8,针对性
9,变异性
10,不可预见性
信息安全的五要素
保密性—confidentiality
完整性—integrity
可用性—availability
可控性—controllability
不可否认性—Non-repudiation
![](https://i-blog.csdnimg.cn/direct/1e8b5081bc9d490bbcffc01d3811a324.png)
防火墙概述
防火墙的核心任务 --- 控制和防护 --- 安全策略 --- 防火墙通过安全策略识别流量并做出相应
的动作。
![](https://i-blog.csdnimg.cn/direct/9155ce49570f4136b08a02e87d06eb5e.png)
吞吐量---单位时间内防火墙处理的数据量
防火墙的发展历程
防火墙的安全策略在进行匹配时,自上向下逐一匹配,匹配上则不再向下匹配,结尾隐含一条
拒绝所有的规则。
缺点:
1,因为只关注三四层数据,无法检测应用层,则无法充分的识别安全风险
2,需要逐包匹配检测,则效率较低。可能会成为网络的瓶颈。
![](https://i-blog.csdnimg.cn/direct/f5aaf85d12924ebfbc8fd9674bbe8962.png)
优点:可以检测应用层数据
缺点:1,效率变低
2,可伸缩性变差:每一种应用都需要开发对应的代理功能,否则无法代理
![](https://i-blog.csdnimg.cn/direct/7b1585df8ca242119d0ee58d6db3b26a.png)
‘’会话表技术“---首包检测
![](https://i-blog.csdnimg.cn/direct/48394a0c8e624a5eb4ed9330373b417c.png)
![](https://i-blog.csdnimg.cn/direct/3350208811ab4f46b9b920cca71ed3ab.png)
![](https://i-blog.csdnimg.cn/direct/540904f698a84a7db76ba4b3f3e1327e.png)
![](https://i-blog.csdnimg.cn/direct/fd5d67b9c40a4250b269621714a07004.png)
![](https://i-blog.csdnimg.cn/direct/44f74c4fdb78484f969ba7612c9718e1.png)
![](https://i-blog.csdnimg.cn/direct/8951e801e20349159aa7b024b61d54f1.png)
![](https://i-blog.csdnimg.cn/direct/647074197be3453e93f474e550ec4618.png)
![](https://i-blog.csdnimg.cn/direct/0142e531bd064f12a318d227b1eac821.png)
本地认证---用户密码信息存储在防火墙本地,有防火墙判断是否通过认证
服务器认证---对接第三方服务器,用户信息存储在第三方服务器上,由防火墙将用户信息推
送给服务器,由服务器进行判断,并返回结果,防火墙做出登录与否的操作。
服务器/本地认证---正常情况使用服务器认证,如果服务器认证失败,则直接认证失败,不
进行本地认证,只有在服务器对接失败的时候,才采取本地认证。
![](https://i-blog.csdnimg.cn/direct/f145068590344e59af9023b03acd7d99.png)
信任主机---只有信任主机中的地址或者网段才能登录控制设备
最多可以添加10条信任主机,如果没有配置,则不做限制
![](https://i-blog.csdnimg.cn/direct/36017e7cf58a46db8721c9277a69cc94.png)
![](https://i-blog.csdnimg.cn/direct/2c353b9c21cd49d4962027553383229a.png)
第三天
接口 --- 物理接口
三层口 --- 可以配置IP地址的接口
二层口
普通二层口
接口对
--- “透明网线” --- 可以将一个或者两个接口配置成为接口对,则
数据从一个接口进,将不需要查看MAC地址表,直接从另一个接口出;
旁路检测接口
虚拟接口
环回接口
子接口
Vlanif
Tunnel
链路聚合
![](https://i-blog.csdnimg.cn/direct/67003abc31564a90a05a53e4dfbbd777.png)
![](https://i-blog.csdnimg.cn/direct/3283ac269e894f308bb37ef8f1181b9f.png)
![](https://i-blog.csdnimg.cn/direct/e60c23c3c0614368bb8909860bb25ed7.png)
接口对默认是
trunk
干道
区域
Tr
ust ---信任区
Untrust ---非信任区
Local ---防火墙上所有的接口都属于这个区域
DMZ ---非军事化管理区域---放置一些对外开放的服务器
将一个接口划入某一个区域,则代表将这个接口所连接的网络划分到对应区域中,而接口本
身,永远属于Local。
优先级---1 -100 ---从优先级高的区域到优先级低的区域----出方向---Outbound
从优先级低的区域到优先级高的区域----入方向----inbound
![](https://i-blog.csdnimg.cn/direct/045db728d780413ea4b6517e50d793ff.png)
1.透明模式
2.混合模式
![](https://i-blog.csdnimg.cn/direct/49383fc9ed574a9d88c91cea751ba450.png)
2.混合模式
![](https://i-blog.csdnimg.cn/direct/39f9bde88fb44b00937115bfbc36c8f4.png)
![](https://i-blog.csdnimg.cn/direct/ec9aa7050b3a459e8d6b24b84e7fc375.png)
![](https://i-blog.csdnimg.cn/direct/ca5c7006754a4870a7d751baec8f90fe.png)
![](https://i-blog.csdnimg.cn/direct/bf2bdc37d5d74847a5e90226cea04477.png)
在安全策略中,可以执行两块内容,第一块做访问控制,允许或者拒绝通过;第二块是在允许
通过的情况下,可以进行内容安全的检测,一体化检测。
所有匹配项之间的关系是“与”,一条中如果可以多选,则多个选项之间为“或”关系
防火墙的状态检测和会话表技术
主要机制就是以数据流作为单位,仅针对首包进行检测,检测之后,将数据包的特征记录在本
地的会话表中,之后,数据流中的其他数据包来到防火墙,不再匹配安全策略,则匹配会话
表,根据会话表来进行转发
回来的数据包会被检测是否符合协议定义的后续报文的要求
1,会话表技术;2,状态检测技术
会话表技术---提高转发效率的关键---老化机制
1,会话表老化时间过长---占用资源,导致一些会话无法正常建立
2,老化时间过短---会导致一些需要长时间发送一次的报文强行终端,影响正常业务
![](https://i-blog.csdnimg.cn/direct/87400ebf083b40d2909568a1bd9e994b.png)
第四天
状态检测技术:
1,检测数据包是否符合协议的逻辑顺序;
2,检查是否是逻辑上的首包,只有首包可以创建会话表。
![](https://i-blog.csdnimg.cn/direct/6f36ceba6d7146ff9e1f4a952fb5edb7.png)
[USG6000V1]firewall session link-state tcp ?
check Indicate link state check
[USG6000V1]firewall session link-state tcp check --- 命令行中开启状态检测功能的命令,如果需
要关闭,则在该命令前面加undo
![](https://i-blog.csdnimg.cn/direct/44129d2cc78c43448f1ac9752a5fdcf9.png)
ASPF
FTP --- 文件传输协议
Tftp --- 简单文件传输协议
FTP协议相较于Tftp协议 ----
1,需要进行认证
2,拥有一套完整的命令集
FTP还分为了两种工作模式 --- 主动模式,被动模式
主动模式
被动模式
用户认证
防火墙管理员认证 ---- 校验登录者身份合法性
用户认证 --- 上网行为管理中的一环
上网用户认证 --- 三层认证 --- 将用户和行为进行绑定
入网用户认证 --- 二层认证
接入用户认证 --- VPN --- 对身份合法性进行认证
认证方式
本地认证
服务器认证
单点登录 --- 和服务器认证的逻辑类似
![](https://i-blog.csdnimg.cn/direct/963cf33215f64901aadc9da2e2b279a0.png)
认证域 --- 可以定义用户的认证方式以及用户的组织结构
![](https://i-blog.csdnimg.cn/direct/56b8614eaa7248caa75af2801cfd1be5.png)
![](https://i-blog.csdnimg.cn/direct/baf72abfc60d4098bd8da189bc69d12f.png)
允许多人同时使用该账号登录
私有用户
公有用户
![](https://i-blog.csdnimg.cn/direct/90467e820e444e92bfcf76d952ffb9fd.png)
单向绑定 --- 该用户只能在设定的IP或者MAC或者IP/MAC的设备上登录,但该设备也可以让
其他用户登录
双向绑定 --- 该用户可以在设定的IP或者MAC或者IP/MAC的设备上登录,且其他用户不允许
在该设备上登录
安全组和用户组 --- 安全组和用户组都可以关联策略,但是,用户组关联的策略将递归执行,
即其下子用户组均需遵循策略,安全组不递归执行,只有选中的安全组执行策略。
认证策略
![](https://i-blog.csdnimg.cn/direct/19a86da025194e3ba5496e5805915e16.png)
Portal --- 网页认证,在触发需要认证的流量后,将提供网页认证界面,需要在界面中输入用
户明和密码进行认证
免认证 --- 认证透明化,在符合单点登录或者IP/MAC双向绑定的前提下,可以不需要进行认
证环节,直接通过IP/MAC地址信息来追溯用户信息。
匿名认证 --- 通过流量中的IP地址来作为用户的身份标识,不需要输入用户名和密码
Portal认证 --- 则认证策略里面的动作需要选择protal;
免认证 --- 则认证策略里面需要选择免认证
单点登录 --- 则认证策略里面也选择免认证
![](https://i-blog.csdnimg.cn/direct/9be0028d23d74c1a80ad91a98539c6b4.png)
如果认证策略里面选择匿名认证,则不触发这里的认证方式
两个认证域之间是“或”的关系
![](https://i-blog.csdnimg.cn/direct/83ea7a7a999f4d3599647d0c0aedd722.png)
二层认证
第五天
NAT
静态NAT
动态NAT
Napt
一对多 --- easy ip
多对多的NAPT
服务器映射
源NAT --- 基于源IP地址进行转换,包含静态NAT,动态NAT以及NAPT
目标NAT --- 基于目标IP地址进行转换,以前的端口映射
双向NAT --- 同时转换源IP地址和目标IP地址
easy ip
注意:源NAT是在安全策略之后执行转换
多对多的NAPT
配置黑洞路由就是会使公网地址池中的地址都生成一条指向其自身的空接口,这里主要是为了
应对公网地址和出接口地址不在同一个网段的情况,因为在这种情况下,如果公网用户访问地
址池中的公网地址,将可能造成环路,所以,需要通过空接口防环;如果公网地址池地址和出
接口在同一个网段,也可以勾选该选项,这种情况下虽然不会出现环路,但是,有了这个黑洞
路由,可以减少ARP报文的出现;
![](https://i-blog.csdnimg.cn/direct/bc0051b422154a758e4933a395512443.png)
![](https://i-blog.csdnimg.cn/direct/4b96d1967c4d40eb88cf3d1107ec3f73.png)
五元组NAT --- 通过源IP,源端口,目标IP,目标端口,协议五个参数来标定一次NAT的转
换,如果任何一个参数发生变化,都需要更换端口来进行转换。
三元组NAT --- 仅识别源IP,源端口和协议三个参数来区分一次NAT的链接。
![](https://i-blog.csdnimg.cn/direct/b73154130a774597a2d45688cbfabcfb.png)
端口预分配 --- 可以设定端口转换使用的端口范围
源IP地址数量限制 --- 可以设定一个公网IP地址转换的源IP地址的数量,比如设置为1,则公
网IP地址在会话表老化之前,只能针对一个源IP地址进行转换
保留IP地址 ---- 可以将不需要使用的公网IP地址放置在保留IP地址中,则在进行转换的时候,
不会使用该地址转换。
动态NAT
三元组NAT
第六天
目标NAT
服务器映射
安全区域 ---- 写的是被允许访问该服务器设备所在的区域。
注意:源NAT的执行在安全策略之后,目标NAT的执行在安全策略之前;
双向NAT
多出口NAT
源NAT
1,将不同的接口放置在不同的区域中,基于区域做NAT策略
2,将不同的接口放在同一个区域,基于接口做NAT策略
目标NAT
1,可以分区域配置两个服务器映射
2,也可以是同一个区域。注意,如果是同一个区域,不能将两条服务器映射策略同时
开启“允许服务器访问公网“
智能选路
就近选路 --- 根据访问的节点所在的运营商选择对应的运营商线路
![](https://i-blog.csdnimg.cn/direct/71aa0ad5b73a416f9a3912cf68282926.png)
![](https://i-blog.csdnimg.cn/direct/0a5083424e214b67a8956a5796196146.png)
策略路由 --- PBR --- 策略路由其实也是一种策略,他不仅可以按照现有的路由表进行
转发,而且可以根据用户指定的策略进行路由选择的机制,从更多维度决定报文是如何
转发的
![](https://i-blog.csdnimg.cn/direct/47e5b2af3ab944c7afa81b57b47bff9b.png)
虚拟系统 --- VRF
如果没有配置监控,则匹配上策略路由的流量发现下一跳不可达,则将直接丢弃数据
包;如果可开启了检测,检测发现目标下一跳不可达,则将使该策略不生效,则直接不
匹配流量,数据包将直接走路由表。
智能选路 --- 全局选路策略
1,丢包率 --- 防火墙会连续发送若干个(默认5个)探测报文,去计算丢包的比
例。(丢包个数/探测报文个数) --- 丢包率是最主要的链路质量参数
2,时延 --- 防火墙会连续发送若干个(默认5个)探测报文,取五次往返时间的平均值
作为时延参数。
3,延时抖动 --- 防火墙会连续发送若干个(默认5个)探测报文,取两两之间时延差值
的绝对值的平均值。
![](https://i-blog.csdnimg.cn/direct/3ce5b42114254ca3b655a3b09c6450cd.png)
![](https://i-blog.csdnimg.cn/direct/94e8b168b2e6438397541da3c314f5a0.png)
![](https://i-blog.csdnimg.cn/direct/2c979ba999994971a94ebfe8e73e8ea4.png)
![](https://i-blog.csdnimg.cn/direct/0fe09235616e437bbc1b1759637a3a35.png)
4,根据链路优先级的主备备份
![](https://i-blog.csdnimg.cn/direct/95d3312ddc7a49eeae8d669a6cf4e7df.png)
![](https://i-blog.csdnimg.cn/direct/17fb4f2fd06e40e68945d42bc7370f42.png)