做衣服网站的实验感想,怪兽网站模板,制作网站软件app,设计方案评价网络安全
网络空间安全 ---Cyberspace
2003年美国提出的网络空间概念 ---一个由信息基础设施组成的互相依赖的网络。
我国官方文件定义#xff1a;网络空间为继海、陆、空、天以外的第五大人类互动领域。 通信保密阶段 --- 计算机安全阶段 --- 信息系统安全 --- 网络空间安…网络安全
网络空间安全 ---Cyberspace
2003年美国提出的网络空间概念 ---一个由信息基础设施组成的互相依赖的网络。
我国官方文件定义网络空间为继海、陆、空、天以外的第五大人类互动领域。 通信保密阶段 --- 计算机安全阶段 --- 信息系统安全 --- 网络空间安全
APT攻击 --- 高级持续性威胁 链路层-- MAC洪泛攻击
填满整个MAC表此时交换机只能进行数据广播黑客拿到数据并且交换机负载过大、网络缓慢和丢包甚至瘫痪。
防御 1.端口上最大可以通过的MAC地址数量 2.端口上学习或通过哪些MAC地址 链路层--ARP欺骗
攻击者抢先合法主机B应答主机A发起的ARP请求 网络层--ICMP攻击
ICMP重定向攻击是攻击机主动向受害人主机发送ICMP重定向数据包使受害人主机数据包发送到不正确的网关 传输层--TCP SYN Flood攻击
SYN报文是TCP连接的第一个报文攻击者通过大量发送SYN报文造成大量未完全建立的TCP连接占用被攻击者的资源。
防御1.代理防火墙秘书先和防火墙建立连接
每目标IP代理阈值每目标IP丢包阈值
少流量直接到服务器多流量防火墙直接丢了
2.首包丢包
3.SYN cookie 分布式拒绝服务攻击DDoS
用木马控制肉鸡发流量
防御1.异常流量清洗 2.CDN分流 3.分布式集群 应用层--DNS欺骗攻击
黑客劫持了DNS服务器你想去某个网站黑客会让DNS给你发钓鱼网站的IP然后窃取信息 拖库、洗库、撞库
拖库偷数据是指黑客入侵有价值的网络站点把注册用户的资料数据库全部盗走的行为。 洗库卖数据在取得大量的用户数据之后黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现这通常也被称作洗库。 撞库用一个网站密码尝试登录其他网站最后黑客将得到的数据在其它网站上进行尝试登陆叫做撞库因为很多用户喜欢使用统一的用户名密码。 恶意程序 --- 一般会具备多个特性
1.非法性
2.隐蔽性
3.潜伏性
4.可触发性
5.表现性
6.破坏性
7.传染性 -- 蠕虫病毒的特点
8.针对性
9.变异性
10.不可预见性 普通病毒 --- 以破坏为目的的病毒
木马病毒 --- 以控制为目的的病毒
蠕虫病毒 --- 具有传播性的病毒 防火墙
主要职责控制和防护 --- 安全策略本质ACL--- 防火墙可以根据安全策略抓取流量之后做出对应动作。 防火墙分类 百兆级和千兆级 --- 吞吐量 --- 防火墙同一时间处理的数据量 防火墙发展历史 缺点
1.很多安全风险集中在应用层所以仅关注三四层数据无法做到完全隔离风险
2.逐包进行包过滤检测将导致防火墙的转发效率过低成为瓶颈 在ACL列表中华为体系下末尾没有隐含规则匹配不到ACL则认为列表不存在之前可以通过则还可以通过但是防火墙安全策略里面末尾隐含一个拒绝所有没在列表的流量 缺点
1.因为要防火墙先进行识别再转发给服务器效率降低
2.可伸缩性差每一种应用程序要代理的话都要开发对应的代理功能没开发就无法代理 ‘’会话表技术‘’--- 首包检测 --- 第一个数据包检测然后用五元组出一个值后面的如果五元组一样就放过 IDS ---一种侧重于风险管理的安全机制 --- 滞后性 把前面的集成一下就是UTM 因为太多的安全设备会导致维护成本提高所有设备都要对流量检测效率低
UTM里面各模块是串联工作效率没提升但是维护成本低了 改进点核心相较于之前UTM中各模块的串联部署变为了并联部署仅要一次检测所有的核心都可以对应的处理大大提高效率 防火墙的其他功能 防火墙的控制
带内管理 --- 通过网络对设备进行控制 --- telnet,ssh,web --- 登录设备和被登录设备网络要连通
带外管理 --- console线mini usb线 华为防火墙的MGMT接口G0/0/0出厂时默认配置有IP地址192.168.0.1/24 默认开启了DHCP、web登录的功能方便进行web管理 防火墙的管理员 新建管理员
本地认证用户信息存在防火墙上登录时利用用户名和密码登录
服务器认证和第三方的认证服务器对接登录时防火墙用第三方服务器进行认证
一般用于企业本身就用服务器存用户信息
服务器/本地认证优先使用服务器认证如果服务器认证失败也不进行本地认证只在服务器连不上的时候才用本地认证
信任主机添加一个网段或IP地址允许这个网段登录这个管理员 防火墙的组网
物理接口
二层口不能配IP
普通二层口
接口对“透明网线”--- 可以将两个接口绑定成接口对流量从一个接口进一定从另一个出去不看MAC表。一个接口也可以做这里进这里出
旁路检测接口用于防火墙的旁路检测接收镜像口的流量
三层口可以配IP
虚拟接口
换回接口
子接口
链路聚合
。。。。 Bypass --- 四个千兆口就是两个bypass口设备故障两个bypass接口直接连通不影响整条链路 虚拟系统---VRF技术逻辑上将一台设备分为多台设备互不影响通过接口区分虚拟接口的范围 管理口和其他接口默认不在一个虚拟系统里面 接口对默认为trunk口
Virtual-if0不同虚拟空间之间通信使用的虚拟接口只需要配IP地址 trust一般企业内网是trust区域
Untrust一般公网区域在untrust区域
我们将一个接口规划到一个区域代表接口连接的所有网络都被归到此区域
local指设备本身凡是由设备构造并主动发出的报文都可以认为是local区域发出的凡是要设备进行响应的报文由local区域接收接口本身在local区域 Dmz非军事化管理区域 --- 这个区域主要是为内网服务器所设定的区域服务器本身在内网但是要对外服务他们相当于内网和外网之间的区域所以Dmz区域代表这种管理松散的区域
优先级 --- 1-100 越大越优 --- 流量从优先级高的区域到优先级低的区域 ---出方向 --- 流量从优先级低的区域到优先级高的区域 ---入方向 路由模式 1.接口区域配置安全策略
2.内网配置回包路由
3.是否要配置服务器映射
4.配置nat
5.针对内外网的安全策略 透明模式 旁路模式 传统的包过滤防火墙 --- 其本质为ACL列表根据数据包中的特征五元组进行过滤之后对比规制执行动作
五元组 --- 源目IP源目端口协议 安全策略 --- 相较于ACL的改进之处在于首先可以在更细的颗粒度下匹配流量另一方面是可以完成内容安全的检测。 安全策略 --- 1.访问控制允许和拒绝 2.内容检测 --- 如果允许通过就进行内容检测 以上部分均为流量匹配条件每一项之间的关系为“与”关系如果不进行选择则默认为any;多选的里面每一项之间的关系为“或” 基于流的流量检测 --- 即设备仅对流量的第一个数据包进行过滤并将结果作为这一条数据流的特征记录“会话表”下来之后该数据流后面的报文都基于这个特征来转发不再匹配安全策略。提高了转发效率。 当web服务器给pc回包时来到防火墙上防火墙会将报文中的信息和会话表的信息进行比对如果信息相匹配并且符合协议规范对后续报文的定义则认为数据包属于pc,可以通过。 1.会话表display firewall session table/display firewall session table verbose --- 会话表本身也是基于五元组来区分流量会话表在首包比对只要来的包都可以是第一个包时会通过hash值来比对五元组。提高转发效率。会话表有老化时间一定时间没用就删除没有了就再首包匹配安全策略创建会话表创建不了就丢弃 老化时间过长1.系统资源浪费同时无法建立新的会话表
老化时间过短1.导致一些长时间首发一次的报文连接被中断影响转发
不同协议的老化时间不同 2.状态检测技术firewall session link-state tcp check
主要检测协议逻辑上按报文的顺序的后续报文以及仅允许逻辑上的第一个报文必须是那个协议的第一个数据包通过后创建会话表 状态检测可以开关只有会话表就提高转发效率加个状态检测就会首包匹配创建会话表保证安全 FTP——文件传输协议典型的C/S的协议tcp有认证还有其他命令集控制文件
TFTP——简单(不用认证就能登录只能上传和下载)文件传输协议,udp FTP工作过程中存在两个进程一个是控制进程一个是数据传输进程所以有两个端口号2021还有
两种工作模式
主动模式建立控制连接的tcp后客户端开放一个随机端口用PORT命令告诉服务器
让服务器主动找客户端建立数据传输的tcp连接
被动模式建立控制连接的tcp后服务器开放一个随机端口用PASV命令告诉客户端
让客户端主动找服务器建立数据传输的tcp连接 像FTP这种使用多端口的协议叫做多通道协议双通道协议 ASPF --- 针对应用层的包过滤 --- 用来抓取多通道协议中协商端口的关键数据包将结果记录在server-map表里面相当于于开辟了一条别的通道 防火墙的用户认证
防火墙管理员登录认证 --- 检验身份的合法性划分身份权限 用户认证 --- 上网行为管理的一部分用户行为流量 用户认证的分类
上网用户认证 --- 三层认证所有跨网段的通信都是上网行为将行为和人进行绑定 入网用户认证 --- 二层认证设备接入网络包括局域网内的通信插入交换机或者接入wifi后上网认证 接入用户认证 --- 远程接入 --- VPN --- 校验身份的合法性 认证方式 本地认证 --- 信息在防火墙上认证过程在防火墙上执行
服务器认证 --- 信息在服务器上防火墙只是传递信息服务器返回结果防火墙执行对应动作 单点登录 --- 应用群中登录一个系统便可在其他所有系统中得到授权而无需再次登录 认证域 --- 可以决定一个域里面的认证的方式和组织结构 登录名 ---作为登录凭证使用一个认证域下不能重复
显示名昵称 ---显示名不能用来登录只用来区分和标识不同的用户。
账号过期时间 --- 可以设定一个时间点到期但是如果到期前账号已登录到期后防火墙不会强制下线该用户。
允许多人同时使用该账号登录
私有用户 --- 仅允许一个人使用第二个人使用时将顶替到原先的登录
公有用户 ---允许多个人同时使用一个账户 IP/MAC绑定---用户和设备进行绑定(IP地址/MAC地址)
单向绑定只是这个用户绑定了这个IP/MAC,其他人无影响
---该用户只能在这个IP或者这个MAC或者这个 IP/MAC下登录但是其他用户可以在该设备下登录
双向绑定这个用户绑定了这个IP/MAC这个IP/MAC也绑定了用户其他人用这个IP登录不了
--- 该用户只能在绑定设备下登录并且该绑定设备也仅允许该用户登录。 安全组和用户组的区别 --- 都可以被策略调用但是用户组在调用策略后所有用户组成员以及子用户组都会生效而安全组仅当前组成员生效子安全组不生效。 认证策略
Portal --- 这是一种常见的认证方式网页认证就是portal认证需要流量触发对应的服务时弹出窗口
输入用户名和密码进行认证校园网登录就是
免认证 --- 需要在IP/MAC双向绑定的情况下使用对应用户在对应设备上登录时就可以选择免认证不做认证。
匿名认证 --- 登录时它自己会把IP或者主机名和行为进行绑定不会有登录界面 防火墙的NAT 静态NAT --- 一对3一
动态NAT ---多对多 NAPT ---一对多的NAPT --- easy ip也会加入端口号但是没有地址池只有一个出接口的公网IP作为转化后的IP ---多对多的NAPT在NAT里面加入端口号这样一个IP就可以有多个端口可以用
服务器映射 --- 把一个只有私网IP的服务器映射到出接口的一个公网IP上公网用户访问服务器时
直接找那个出接口的公网IP就行 源NAT -----基于源IP地址进行转换我们之前接触过的静态NAT动态NATNAPT都是
目标NAT ---- 基于目标IP地址进行转换服务器映射就属于目标NAT
双向NAT ----同时转换源IP和目标IP地址 源NAT是在安全策略之后才会有NAT转换
目标NAT是在安全策略之前才会有NAT转换 配置黑洞路由 ---黑洞路由即空接口路由在NAT地址池中的地址建议配置到达这个地址指向空接口的路由不然在特定环境下会出现环路。(主要针对地址池中的地址和出接口地址不再同一个网段中的场景。) 高级选项
NAT类型 --- 五元组 --- 针对五元组识别出的数据流进行端口转换
三元组 --- 针对源IP源端口协议三个参数识别出的数据流进行端口转换 动态NAT创建完后触发访问流量后会同时生成两条server-map的记录其中一条是反向记录。相当于是一条静态NAT记录外网的任意地址在安全策略放通的情况 下是可以访问到内网的设备。 基于端口的NAT转换是不会生成server-map表的。 三元组 P2P --- peer to peer 因为P2P在端口转换的情况下识别五元组将导致P2P客户端之间无法直接访问不符合五元组的筛选条件所以这种场景下可以使用三元组NAT只看源IP源端口协议放宽筛选条件保证P2P客户端之间可以正常通信 创建NAT策略 源NAT 服务器映射目标NAT 安全区域 --- 是需要访问服务器的设备所在的区域。 双向NAT 多出口NAT
源NAT
第一种根据出接口创建多个不同的安全区域再根据安全区域来做NAT
第二种出去还是一个区域选择出接口来进行转换
目标NAT
第一种也可以分两个不同的区域做服务器映射
第二种可以只设置一个区域但是要注意需要写两条策略分别正对两个接口的地址池并且不能同时勾选允许服务器上网否则会造成地址冲突。 防火墙的智能选路
就近选路——希望在访问不同的运营商的服务器时通过对应运营商的链路这样可以提高通信效率避免绕路 策略路由——PBR——传统的路由仅基于数据包的目标IP地址查找路由表仅关心目标所以特殊情况灵活性低。
策略路由本身也是一种策略策略先匹配流量再执行动作策略路由可以从多维度匹配流量之后执行动作就是定义其转发的出接口和下一跳策略路由末尾隐含一条不匹配策略的规则没有匹配上的由传统路由表转发 DSCP优先级 ---相当于在数据包中设定其转发的优先级(利用的是IP头部中tos字段)之后下游设备会根据优先级来差异化保证流量的通过。 监控 --- 当策略是单出口时如果这里写的下一跳或出接口不可达报文将直接被FW丢弃。为了提高可靠性我们可以配置针对下一跳的监控如果下一跳不可达继续查找本地路由表转发而不是直接丢弃。 智能选路——全局路由 基于链路带宽的负载分担 基于链路带宽的负载分担会按照多条链路的带宽比例来分配流量。并且如果配置的过载保护阈值则那一条链路达到过载保护阈值之后除了已经创建会话表的流量依然可以从该接口通过外该接口将不再参与智能选路需要新建会话表的流量将从其余链路中按照比例转发。 会话保持 --- 开启该功能后流量首次通过智能选路的接口后会创建会话表后续命中会话表的流量都将通过同一个接口来进行转发选择源IP和目的IP的效果时所有相同源IP或者目标IP的流量将通过同一个接口转发。---应对于不希望链路频繁切换的场景。 基于链路质量进行负载分担 丢包率 --- FW会发送若干个探测报文(默认5个)将统计丢包的个数。丢包率是最重要的评判依据。
时延 --- 应答报文接受时间减去探测报文发送时间。取平均时延作为结果评判
延时抖动 --- 两次探测报文时延差值的绝对值。 首次探测后会将结果记录在链路质量探测表中之后将按照表中的接口来进行选路。 表中的老化时间结束后将重新探测 基于链路权重进行负载分担——权重是由网络管理员针对每一条链路手工分配的分配之后将按照权重比例分配流量。 基于链路优先级的主备备份 优先级也是由网络管理员针对每一条链路手工分配的。
执行逻辑
1接口没有配置过载保护
优先使用优先级最高的链路转发流量其他链路不工作。直到优先级最高的链路故障则优先级次高的链路开始转发流量。其余链路依旧不工作。
2接口配置了过载保护
优先使用优先级最高的链路转发流量其他链路不工作如果最高的链路达到或超过保护阈值则优先级次高的链路开始工作已经创建会话表的流量依然可以从该接口通过。 DNS透明代理
前提是开启就近选路 防火墙的可靠性
防火墙和路由器在进行可靠性备份时路由器备份可能仅需要同步路由表中的信息就可以了但是防火墙是基于状态检测的所以还需要同步记录状态的会话表等。所以防火墙需要使用到双机热备技术 热备 --- 两台设备同时运行在一台故障的情况下另一台就立即代替 VRRP技术
虚拟路由器冗余协议 ---“实的不行来虚的” Initialize ---在VRRP中如果一个接口出现故障之后则这个接口将进入到该过渡状态 VRRP备份组之间是相互独立的当一台设备上出现多个VRRP组时他们之间的状态无法同步。 VGMP ----VRRP Group Management Protocol ————华为私有协议
这个协议就是将一台设备上的多个VRRP组看成一个组之后统一进行管理统一切换的协议。以此来保证VRRP组状态的一致性。 VGMP用来双击热备的数据能够传输HRP用来传会话表和配置信息 接口故障切换场景 防火墙的双机热备中我们不论是VRRP组还是VGMP组主备的叫法发生了变化主叫active备叫standby 1.假设主设备的下联口发生故障则这个接口的VRRP状态由原来的active变为initialize状态。这种情况下按照VRRP自己的机制主设备将无法发送周期保活报文则备设备在超过超时时间后将切换为主的状态。但是因为这里启用VGMP在则VRRP切换状态将由VGMP接管VRRP的机制名存实亡。) 2VGMP组发现VRRP组出现变化将降低自身的优先级。说明在VGMP组中也 存在优先级的概念。一开始每台设备中都会存在两个VGMP组一个叫做Active组 另一个叫做Standby组。Active组初始的默认优先级为65001Standby组初始的默认 优先级为65000不同版本的防火墙这个优先级的定义不同。一开始我们FW1将 两个VRRP组都拉入VGMP_ACTIVE组中因为ACTIVE组的状态时active所以里面 两个vrrp组的状态也是activeVGMP组的状态决定了VRRP组的状态FW2同理。当 一个VRRP组的状态变为initialize则VGMP则的优先级-2。之后原主设备会发送一 个VGMP请求报文给对端里面包含了自己当前变化后的优先级。 3当原备设备接收到请求报文后看到里面的优先级时64999而低于自身的65000则会将自己的VGMP_STANDBY组的状态由原来的standby切换为active。同时发送 一个同意请求报文给原主设备。 4原主设备接收到对方的应答报文之后将会把自身VGMP_ACTIVE组的状态由原来的 ACTIVE切换为STANDBY。 5在原备设备发送应答报文的同时因为其VGMP组的状态切换所以其内部的 VRRP组状态也将由原来的standby转换为avtive。原主设备在接受到对方的应答报文之 后因为将其VGMP组状态切换所以同时将其内部的VRRP组状态由原来的active状 态切换为standby状态注意故障接口依旧保持init的状态。 6原备设备会通过接口向上下联链路发送免费ARP报文切换交换机的MAC地址表。 流量将被切换到原被设备上。 HRP --- Huawei Redundancy Protocol ---华为冗余协议这是一款华为的私有协议 --- 备份配置信息和状态信息。
HRP备份有一个前提就是两台设备之间必须专门连一根用于备份的线路这跟线路我们称为心跳线(广义上任何两台设备之间的链路都可以叫做心跳线)心跳线的接口必须是一个三层接口需要配置对应的IP地址。这条备份数据的链路不受路由策略限制(直连场景。非直连场景依然需要配置安全策略。) HRP协议本身算是VGMP协议的一部分HRP的心跳线也会传递心跳报文用于检测对端是否处于工作状态。这个周期时间默认1s逻辑和vrrp一样只有主设备会周期发送备设备仅监听即可如果在三个周期内都没有收到HRP的心跳报文则将认定原主设备故障则将进行失效判断认定自身为主。VGMP的报文也是通过这条心跳线发送的。 配置信息 --- 策略对象网络里面的一些配置都属于配置信息。(接口IP地址路由之类的不同步因为这些是需要在双机组建之前配置的) 状态信息 ---会话表server-map黑名单白名单 各场景过程分析
1主备形成场景 2主备模式下接口故障切换场景 3主备场景主设备故障切换 --- 主故障之后将无法周期发送HRP心跳报文则备设备监听超时进行设备状态的切换。 4主备场景主设备接口故障恢复切换没有开启抢占 ---没有抢占则原主设备保持备份状态。 开启抢占: 5负载分担 6负载分担接口故障场景
