![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全HCIP
XiaoHG_CSDN
一只没有感情的程序猿
展开
-
安全HCIP之蠕虫与病毒
蠕虫与病毒蠕虫病毒是一种常见的计算机病毒,是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据和恶意篡改系统.影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。...原创 2020-10-17 15:21:13 · 152 阅读 · 0 评论 -
安全HCIP之APT攻击
APT攻击APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。...原创 2020-10-17 15:20:32 · 152 阅读 · 0 评论 -
安全HCIP之WIDS/WIPS
WIDS/WIPSWIDS/WIPS 无线网络入侵检测/防御系统原创 2020-10-16 23:50:01 · 861 阅读 · 0 评论 -
安全HCIP之业务随行 5W1H
业务随行 5W1HWho: 部门、角色、帐号Where:接入设备、接入IP范围、无线接入时的SSIDWhen:具体接入时间段Whose:接入终端归属,个人还是公司What:接入的终端类型、操作系统、安全检查是否违规等How:接入的方式,有线、无线等...原创 2020-10-15 23:43:36 · 332 阅读 · 0 评论 -
安全HCIP之SACG
SACGSACG认证(华为私有):使用防火墙作为接入控制设备,对用户接入网络进行身份认证和安全检查。部署在数据中心或网络出口位置,方便维护。适用于大中型园区,网络环境复杂,对网络安全要求适中的场景。SACG是指设备通过在SACG认证系统中承担SACG的角色,协助SACG认证系统实现内网终端用户的安全控制。SACG准入,是Controller和和防火墙配合实现的用户准入控制,主要针对的是有线网络,并且不改造网络架构的常见,实现对有线网络接入用户的准入控制。本质上是通过防火墙上的ACL来控制用户的权限。原创 2020-10-15 23:42:19 · 1319 阅读 · 0 评论 -
安全HCIP之Agile Controller-Campus系统
Agile Controller-Campus系统Agile Controller-Campus系统包括四部分管理中心( MC)、业务管理器( SM)、业务控制器( SC)以及客户端,网络接入设备( NAD )作为方案的组成部分与业务控制器联动实现基于用户的接入控制和业务随行;...原创 2020-10-15 23:27:17 · 2145 阅读 · 1 评论 -
安全HCIP之RADIUS服务器
RADIUS服务器默认情况下:认证端口UDP:1812计费端口UDP:1813原创 2020-10-15 23:12:21 · 174 阅读 · 0 评论 -
安全HCIP之web link
web linkWeb link不会进行加密和适配,只“转发”远程用户的Web源请求;原创 2020-10-14 22:28:27 · 692 阅读 · 0 评论 -
安全HCIP之WAF5000
WAF5000华为WAF5000产品使用行为状态链检测技术来应对盗链、跨站请求伪造等特殊Web攻击;原创 2020-10-14 21:36:26 · 706 阅读 · 0 评论 -
安全HCIP之DPD
DPDDPD用来进行检测IPSEC对端设备IKE SA的保活状态,同步更新本端IKE SA,DPD主要有两个参数构成:空闲定时器和超时定时器。空闲定时器用来判断是否需要发送DPD报文,如果空闲定时器计时过程中没有收到封装的报文,会进行DPD校验;反之,如果收到了封装的报文,空闲定时器会被重置。超时定时器用来判断是否再次进行DPD校验,连续发出3次请求(请求->超时->请求->超时->请求->超时)都没有收到任何DPD应答就应该删除SA,后续如需继续发送加密数据包就需要重新协原创 2020-10-14 00:09:54 · 904 阅读 · 0 评论 -
安全HCIP之虚拟接口
虚拟接口考题分析关于虚拟接口正确的是:1.虚拟接口必须加入安全区域才可以工作;2.虚拟接口可以不配置IP地址原创 2020-10-13 23:25:51 · 217 阅读 · 0 评论 -
安全HCIP之带宽复用
带宽复用考题分析哪些场景可以实现带宽复用:1.多条流量匹配到了同一个带宽策略,多条流量之间可以实现带宽复用;2.多个带宽策略以策略共享的方式引用带宽通道,则匹配了带宽策略的多条流量之间可以实现带宽复用;3.赔了父子策略中的多个子策略的多条流量之间可以实现带宽复用;...原创 2020-10-13 23:24:30 · 773 阅读 · 0 评论 -
安全HCIP之华为USG6000
华为USG6000考题分析华为USG6000产品资源分配支持1.定额分配;2.手工分配;原创 2020-10-13 23:16:10 · 375 阅读 · 0 评论 -
安全HCIP之VGMP
VGMPVGMP,是为防止可能导致的VRRP状态不一致现象的发生,H3C公司在VRRP基础上进行扩展,推出的VRRP组管理协议VGMP(VRRP Group Management Protocol),负责统一管理加入其中的各备份组VRRP状态。借助VGMP机制,可以实现对多个VRRP备份组(虚拟路由器)的状态一致性管理、抢占管理和通道管理等。VGMP(VRRP Group Management Protocol) 提出VRRP管理组的概念,将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组原创 2020-10-13 23:09:53 · 870 阅读 · 0 评论 -
安全HCIP之IPX
IPXInternetwork Packet Exchange protocol,互联网分组交换协议;IPX 是指互联网分组交换协议,提供分组寻址和选择路由的功能,保证可靠到达,相当于数据报的功能;SPX 是顺序报文分组交换协议,它可保证信息流按序、可靠地传送;IPX/SPX 为Novell网在网络层和传输层采用的协议;SDLC 是SNA 中的数据链路层协议,后修改为HDLC(高级数据链路控制);NFS是SUN 制定的网络文件服务标准;ODBC 是微软制定的异构数据库互访的标准,真正体现了数据库开放性原创 2020-10-13 23:03:42 · 7540 阅读 · 0 评论 -
安全HCIP之eSight
eSight提供存储、服务器、应用、交换机、路由器、防火墙、WLAN、PON网络、无线宽带集群设备、视频监控、IP话机、视讯设备等多种设备的统一管理,支持多厂商设备统一视图、资源,拓扑、故障、性能以及智能配置功能,同时为客户提供第三方设备的定制能力与告警北向接口,帮助客户打造专属的统一管理系统,降低运维成本,提升运维效率。...原创 2020-10-13 22:59:58 · 464 阅读 · 0 评论 -
安全HCIP之等保测评
国家信息安全等级保护测评标准没有网络安全就没有国家安全待补充。。。原创 2020-10-11 18:53:22 · 397 阅读 · 0 评论 -
安全HCIP之应用行为控制
应用行为控制应用行为控制:禁止发帖、禁止上传等等,但都不支持https;行为管控URL过滤关键字过滤:搜索、上传、邮件,但是不支持https;文件类型过滤不支持https;原创 2020-10-11 16:50:28 · 134 阅读 · 0 评论 -
安全HCIP之IPS入侵防御
IPS入侵防御IPS:入侵防御系统;签名过滤器:将多个IPS签名规则放在一个过滤器中;签名过滤器动作设置:采用签名的缺省动作;告警:将所有签名的动作改为告警,日志;阻断:将所有签名的动作改为阻断,丢弃;例外签名:针对特定签名不采用默认的签名动作,对部分签名自定义其签名动作;签名动作优先级:例外签名动作 —> 过滤签名动作 —> 缺省签名动作;调用IPS:在回话发起的安全策略方向调用IPS,不用管攻击方向,例如保护内网PC访问互联网免受攻击,只需在trust —>原创 2020-10-11 15:56:21 · 610 阅读 · 0 评论 -
安全HCIP之单包攻击防范技术
单包攻击防范技术待补充。。。原创 2020-10-11 13:12:18 · 187 阅读 · 0 评论 -
安全HCIP之攻击防范-各类报文泛洪攻击防御
攻击防范-各类报文泛洪攻击防御TCP Flood 攻击和防范SYN Flood攻击:伪造报文一般为源IP地址不存在或者不可达,大量的半连接小号了服务器的资源,使服务器无法处理正常的连接请求;SYN Flood攻击防御—源认证(虚假源)Anti-DDoS设备基于目的地址对SYN报文速率进行统计,当SYN报文速率超过阈值时,启动源认证防御;此源认证方法主要针对虚假源的攻击者进行防御;注意:对于极高速率的变源变端口SYN报文攻击,请同时开启首包检测功能,以提高Anti-DDoS设备处理性能;原创 2020-10-11 12:29:48 · 528 阅读 · 0 评论 -
安全HCIP之NAT穿越
NAT穿越(NAT-T)NAT-T技术在IKE协商阶段通过探测报文来发现是否有NAT的存在;如果建立ipsec vpn的两端,其中发起端(拨号端)位于NAT后面(例如:二级运营商、出差人员位于宾馆内网、防火墙前面有其他安全设备、防火墙或者专业VPN设备放置于出口路由器后面且路由器配置了NAT)时,由于数据在传输过程中IP地址和端口发生了转换,导致ipsec数据完整性校验失败。此时可以采用NAT穿越技术(一般默认开启,不用做额外配置)增加新的UDP端口包头,是的ipsec数据校验正常,进而是的VPN运行原创 2020-10-10 13:36:18 · 179 阅读 · 0 评论 -
安全HCIP之IPSec点到多点
IPSec点到多点优点方便扩展分支,增加分支其它机构不需要增加ipsec相关配置;配置简单,所有分支只需要指向总部即可;分支机构可以不使用固定公网IP地址;缺点所有分支互访流量必须绕行总部(当然,多数情况下分支只需和总部通信);流量必须先由分支触发来建立ipsec vpn隧道;无法启用ospf学习路由;适用情况分支间互访流量很少,多数流量是分支和总部互访流量,支持远程出差人员拨号访问,分支数量不要过多建议少于15个(感兴趣流量配置较多)...原创 2020-10-10 10:15:37 · 1293 阅读 · 0 评论 -
安全HCIP之IPSec站点到站点
IPSec站点到站点适用于较少分支机构缺点:纯ipsec vpn无法配置ospf,总部无法学习分支路由,智能使用缺省路由+感兴趣流量,分支较多时,ipsec vpn配置麻烦;原创 2020-10-10 08:34:42 · 182 阅读 · 0 评论 -
安全HCIP之带宽管理
带宽管理带宽管理的概念带宽管理对通过自身的流量进行管理和控制提供带宽保证;提供带宽限制;提供连接数限制功能;总之,带宽管理主要作用是在有限的带宽条件下,可以提高带宽利用率,保证关键爷爷正常运营;带宽保证:保证网络中关键业务所需的带宽,当线路繁忙时,确保此类业务不受影响;宽带限制:限制网络中非关键业务占用的带宽,避免此类业务消耗大量带宽资源,影响其他业务;连接数限制:限制业务的连接数,有利于降低该业务占用的带宽,还可以节省设备的会话资源;注意:多条带宽策略(平级,非父子)从上往原创 2020-10-09 19:43:49 · 608 阅读 · 1 评论 -
安全HCIP之业务接口工作在二层,上下行连接路由器的负载分担组网
业务接口工作在二层,上下行连接路由器的负载分担组网配置思路故障检测:通过HRP Track检测VLAN接口;流量引导:通过OSPF实现流量引导,需要在上行和下行连接防火墙的接口上配置相同的COST值,保证流量通过NGFW_A与_B共同转发;数据同步:通过直连心跳接口实现双机数据同步;注意:该拓扑建议使用负载分担模式,因为在主备模式中NGFW_B vlan2的接口处于禁用状态,是的RB RD无法建立ospf邻居,当切换后,R2 R4需要先建立opsf邻居然后才可以传递路由,使得切换时间原创 2020-10-08 19:20:15 · 546 阅读 · 1 评论 -
安全HCIP之双机热备与BFD联动
双机热备与BFD联动配置bfdbfd aa bind peer-ip x.x.x.xdiscriminator local 10discriminator remote 50commit对端设备上同样配置上,ip和标识调换;注意:安全策略放行bfd流量:udp目的端口3784流量;原创 2020-10-08 18:15:36 · 269 阅读 · 0 评论 -
安全HCIP之业务接口工作在三层-上行接路由器下行接交换机
业务接口工作在三层-上行接路由器下行接交换机业务接口工作在三层,上行连接路由器,下行连接交换机的负载分担组网配置思路故障检测:上行连接路由器,通过HRP Track实现接口监控,下行连接二层交换机,通过VRRP实现接口监控;流量引导:上行方向,需要在两个路由器连接防火墙的链路上配置相同的COST值,保证流量通过NGFW_A与NGFW_B共同转发;下行方向,NGFW_A的接口GE1/0/3转发下一跳为VRRP备份组1的虚拟IP地址的报文,NGFW_B的接口GE1/0/3转发下一跳为VRRP备份组2原创 2020-10-08 17:15:25 · 496 阅读 · 1 评论 -
安全HCIP之业务接口工作在三层-上下行连接路由器的主备备份组网
业务接口工作在三层-上下行连接路由器的主备备份组网配置思路故障检测:通过HRP Track实现接口监控;流量引导:主备设备通过动态调整OSPF对外发布的COST值实现流量引导,朱勇设备NGFW_A正常对外发布路由,备用设备NGFW_B发布的路由COST值只能加65500(缺省值,可调整);数据同步:通过直连心跳接口实现主备数据同步;工作原理主备:HRP会联动ospf使得备机会对外发布ospf cost值为65500的路由;负载分担:两台防火墙都会正常宣告ospf cost值,完原创 2020-10-08 16:28:01 · 354 阅读 · 0 评论 -
安全HCIP之双机热备-三层上下行接交换机
双机热备-三层上下行接交换机业务接口工作在三层,上下行连接交换机的主备备份组网配置思路故障检测:通过VRRP检测上下行接口;流量引导:通过VRRP虚拟地址实现流量引导;数据同步:通过直连心跳接口实现主备数据同步;注意1:默认处于standby状态的设备不允许配置安全策略和NAT策略,只允许主设备配置安全策略NAT策略,且策略会自动同步到备设备上,+B,表示配置已经同步到备设备上面;注意2:hrp的同步 不是所有的都会同步,列如静态路由配置就不会同步。可以同步内容:要原创 2020-10-08 12:57:23 · 630 阅读 · 1 评论 -
安全HCIP之双机热备-理论
双机热备双击热备份技术产生的原因:理论基础当主设备宕机,备设备会发送一个免费的arp给交换机,来冲刷交换机的mac地址表,从而把流量引导到备设备中;多个VRRP组,统一切换问题:VGMP(默认开启),统一管理VRRP组,实现统一切换,避免了来回路径不一致;安全策略的配置和会话同步问题:主备的安全策略和会话要同步才能保证来回路径不一致的问题,HRP来实现这个同步,部署在主备设备之间(心跳线);双击热备协议架构VRRP:负责单个接口的故障检测和流量引导,每个VRRP备份组拥有一个原创 2020-10-08 11:48:11 · 459 阅读 · 0 评论 -
安全HCIP之NAT ALG
NAT ALGNAT ALG(Application Level Gateway,应用级网关)是特定的应用协议的转换代理,可以完成应用层数据中携带的地址及端口号信息的转换;打开ASPF,ALG默认开启;原创 2020-10-08 10:44:29 · 158 阅读 · 0 评论 -
安全HCIP之双向NAT
双向NAT双向NAT:NATserver + 源NAT,即转换源也转换目标;域间双向NAT转换域间双向NAT:服务器回包(网关);为了简化配置服务器至公网的路由,可在NAT Server基础上,增加NAT Inbound配置;域内双向NAT防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址;防火墙将FTP服务器回应的报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址;...原创 2020-10-08 10:31:34 · 853 阅读 · 0 评论 -
安全HCIP之NAT下
NAT黑洞路由预防当外网租赁的公网地址和自己的公网IP不在同一个网段时,此时外网用户访问公网地址时会出现路由环路(黑洞路由),此时可以配置基于null0口的路由来预防;原创 2020-10-08 10:21:58 · 110 阅读 · 0 评论 -
安全HCIP之状态检测机制
状态检测机制状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发;状态检测机制关闭状态下,即使首包没有经过防火墙,后续包只要通过防火墙也可以生成会话表项;对于TCP报文开启状态检测机制时,首包(SYN报文)建立会话表项,对除SYN报文外的其他报文,如果没有对应会话表项(设备没有收到SYN报文或会话表项已老化),则予以丢弃,也不会建立会话表项;关闭状态检测机制时,任何格式的报文在没有对应会话表项的情况下,只要通过各项安全机制的检查,都可以为期建立会话表项;原创 2020-10-07 23:06:52 · 713 阅读 · 0 评论 -
安全HCIP之DNS透明代理
DNS透明代理待补充。。。原创 2020-10-07 22:06:21 · 987 阅读 · 0 评论 -
安全HCIP之智能选路下
智能选路下整个选路过程:如果管理员配置了链路健康检查功能,则NGFW将持续向被探测设备发送探测报文,监控本段和目的网络之间的链路是否正常,当NGFW需要进行智能选路是,链路健康检查功能键反馈链路的实时状态,帮助提高转发的可靠性,如果管理员没有链路健康检查功能,则默认所有链路状态正常;客户端的业务请求报文到达NGFW后,NGFW根据流量命中的路由信息决定如何转发报文;当流量命中策略路由或缺省路由时,如果有多个出接口可以转发流量,则NGFW需要判断哪个是最佳出接口,即需要进行智能选路;在智能选路前,原创 2020-10-07 21:37:49 · 268 阅读 · 0 评论 -
安全HCIP之智能选路上
智能选路上智能选路概述:智能选路功能包括策略路由智能选路和全局智能选路,两种选路功能可以同时使用,不会产生冲突,因为两个选路过程存在选后顺序;NGFW进行流量转发时,查询路由的先后顺序是策略路由、明细路由、缺省路由;策略路由只能选路发生在流量命中策略路由时,如果有多个出接口则需要进行选路;全局智能选路发生在流量命中缺省路由时,如果有多条缺省路由则需要进行选路;路由优先程度:策略路由(特殊情况:策略路由多出口智能选路) --> 基于运营商(明细路由) --> 全局智能选路(默原创 2020-10-07 21:24:53 · 344 阅读 · 0 评论 -
安全HCIP之BGP
BGP待补充。。。原创 2020-10-07 17:30:44 · 93 阅读 · 0 评论 -
安全HCIP之链路安全检查-IP_link
链路安全检查-IP_linkIP-link:链路健康检查,主要检查非直连故障,以及系统服务故障;可以使用链路健康检查:静态路由、策略路由、多出口选路、服务器负载均衡等;健康检查可以使用的探测报文:icmp、arp、tcp、dns、http等报文;ip-link配置:ip-link check enableip-link name link_testdestination 12.1.1.2 interface g1/0/1 mode icmp接下来指定调用的路由即可:ip route-原创 2020-10-07 16:54:10 · 996 阅读 · 0 评论