洛杉矶网站建设,wordpress 5.0中文,wordpress手机端怎么用,网页游戏传奇世界网页版防火墙
防火墙的主要职责在于#xff1a;控制和防护 ---- 安全策略 --- 防火墙可以根据安全策略来抓取流量 防火墙分类 按物理特性划分 软件防火墙 硬件防火墙 按性能划分 百兆级防火墙 吞吐量#xff1a;指对网络、设备、端口、虚电路或其他设施#xff0c;单位时间内成…防火墙
防火墙的主要职责在于控制和防护 ---- 安全策略 --- 防火墙可以根据安全策略来抓取流量 防火墙分类 按物理特性划分 软件防火墙 硬件防火墙 按性能划分 百兆级防火墙 吞吐量指对网络、设备、端口、虚电路或其他设施单位时间内成功地传送数据的数量以比特、字节、分组等测量。 千兆级防火墙 …… 按防火墙结构划分 单一主机防火墙 路由集成防火墙 分布式防火墙 …… 按防火墙技术划分 包过滤防火墙 应用代理防火墙 状态检测防火墙 …… 防火墙的发展历史 传统防火墙
包过滤防火墙 缺点 很多安全风险集中在应用层的所以仅关注三四层的数据无法做到完全隔离安全风险。 逐包进行包过滤检测将导致防火墙的转发效率过低成为网络中的瓶颈。
与ACL匹配规则的区别
在ACL列表中华为体系下末尾是没有隐含规则的即如果匹配不到ACL列表则认为ACL列表不存在之前可以通过则还可以通过但是在防火墙的安全策略中为了保证安全末尾会隐含一条拒绝所有的规则即只要没有放通的流量都是不能通过的。 应用代理防火墙 工作范围在应用层七层所以会仍然处理三四层的数据包只是工作集中在七层 缺点 因为需要防火墙进行先一步安全识别所以转发效率会降低原来的三层握手就会变成6次握手 可伸缩性差每一种应用程序需要代理的话都需要开发对应对应的代理功能如果没有开发则无法进行代理。 状态检测防火墙 核心技术”会话表技术“ --- 首包检测——一股数据流过来只检测第一个数据包通过检测第一个数据包中的五元组信息并且根据五元组信息查找路由条目然后转发并且通过哈希计算。之后接收到的数据包五元组通过和之前的信息对比如果通过就直接按照上一个转发。 下一代防火墙 (NGFW )
专用设备
入侵检测系统 (IDS) 缺点 IDS ---- 一种侧重于风险管理的安全机制有很大的滞后性。 特点 运用旁路部署是一种并联部署的模式不影响其他路。 交换机上的镜像口复制其他接口抓发的数据包并且从到镜像接口转发出去 入侵防御系统 (IPS) 特点 串联部署串接在网络里面所有都经过监控系统 防病毒网关 (AV) IPS检测主体是根据流量检测的而AV检测主体是根据文件检测的 Web应用防火墙 (WAF)
C/S架构是Client/ServerB/S架构的全称为Browser/Server。 统一威胁管理 (UTM)
因为众多的专用设备导致企业在部署安全防护时需要同时不是大量的设备进行防护则设备维护成本大大提高所有设备都需要对流量进行检测所以效率很低。 在UTM中各功能模块是串联工作所以检测效率并没有得到提升。但是因为继承在了一台设备中所以维护成本得到降低。 下一代防火墙 (NGFW ) 改进点核心相较于之前UTM中各模块的串联部署变为了并联部署仅需要一次检测所有功能模块都可以做出对应的处理。大大提高了工作效率. 为什么还要单独部署专用设备 范围问题NGFW部署之后部分地方无法检测到用单独设备部署。 性能问题NGFW性能有限多部署专用设备联动工作。 下一代防火墙的优势 防火墙的其他功能 访问控制安全包过滤 地址转换NAT 网络环境支持可以提供在不同环境下的支持 带宽管理功能 入侵检测和攻击防御 用户认证 高可用性 补充知识点 三层交换机的定义是一种具备路由功能的交换机。与传统的二层交换机相比三层交换机不仅可以像二层交换机一样转发数据包还可以像路由器一样识别IP地址并对数据包进行路由转发。 二层接口和三层接口的区别 二层接口可以简单理解为只具备二层交换能力的接口。 二层接口不能直接配置IP地址并且不直接终结广播帧。二层接口收到广播帧后会将其从同属一个广播域VLAN的所有其他接口泛洪出去。 二层接口在收到单播帧后会在MAC表中查询该数据帧的目的MAC地址然后依据表项指引进行转发如果没有任何表项匹配则进行泛洪。 三层接口三层接口维护IP地址与MAC地址。 三层接口终结广播帧三层接口在收到广播帧后不会进行泛洪处理。 三层接口在收到单播帧后首先判断其目的MAC地址是否为本地MAC地址如果是则将数据帧解封装并解析出报文目的IP地址然后进行路由查询及转发。 防火墙的控制 带内管理 --- 是指网络的管理控制信息与用户网络的承载业务信息通过同一个逻辑信道传送通过网络环境对设备进行控制如telnetsshweb。注意登录设备和被登录设备之间网络需要联通。 带外管理 --- 网络的管理控制信息与用户网络的承载业务信息在不同的逻辑信道传送使用 console线mini usb线。 防火墙的配置
防火墙基本配置
华为防火墙的MGMT接口G0/0/0出厂时默认配置的有IP地址192.168.0.1/24并且该接口默认开启了DHCP和web登录的功能真机开启web服务和DHCP服务模拟器没有默认开启方便进行web管理。 在eNSP中导入USG6000V镜像包。 登录防火墙、 用户名admin 密码Admin123 第一次登录强制要求改密码 开启管理口web登录服务 进入G0/0/0接口开web登录服务。 [USG6000V1-GigabitEthernet0/0/0]service-manage all permit all --- 表示全部 all ALL service enable Service manage switch on/off http HTTP service https HTTPS service ping Ping service snmp SNMP service ssh SSH service telnet Telnet service permint/deny --- 允许/拒绝 Cloud 可以将虚拟机和电脑连接起来。 绑定虚拟网卡绑定公网网卡可能会导致网络瘫痪。 修改防火墙G0/0/0 接口IP地址让它和虚拟网卡的IP地址在同一个广播域。 在主机游览器上打开防火墙的Web界面 https://防火墙IP地址:8443 华为默认防火墙端口号8443。 用户和密码是修改后的账号密码。 防火墙的管理员
在系统界面里面可以管理管理员角色。默认角色不可修改 用户权限等级 可以修改一些命令的等级例如save 等级设置为4那么只有用户等级大于 4 的才可以使用save命令。可以更精细化管理。 缺省的管理员账号 创建管理员 认证类型 本地认证 用户信息存储在防火墙上登录时防火墙根据输入的用户名和密码进行判断如果通过验证则成功登录。 服务器认证 和第三方的认证服务器对接登录时防火墙将登录信息发送给第三方服务器之后由第三方服务器来进行验证通过则反馈给防火墙防火墙放行。 一般适用于企业本身使用第三方服务器来存储用户信息则用户信息不需要重复创建。 服务器认证/本地认证 优先使用服务器认证如果服务器认证失败则也不进行本地认证。只有在服务器对接不上的时候采用本地认证。 信任主机 #1 可以添加一个地址或者网段则其含义是只有在该地址活着地址段内可以登录管理设备如果发来登录的数据包不是这个IP地址段内的则拒绝登录。最多可以添加10条信息。 防火墙的组网
接口配置 物理接口 二层接口 --- 不能配IP 普通的二层接口 接口对 --- “透明网线” 可以将两个接口绑定成为接口对如果流量从一个接口进入则必定从另一个接口出去不需要查看MAC地址表。其实一个接口也可以做接口对从该接口进再从该接口出。 旁路检测接口 主要用于防火墙的旁路部署用于接收镜像口的流量。 三层接口 --- 可以配IP 虚拟接口 换回接口 子接口 链路聚合 隧道接口 ..... 拓展接口 Bypass4个千兆口其实是两队bypass口。如果设备故障则两个接口直通保证流量不中断。 虚拟系统 --- VRF技术 “ VRF技术 ”相当于逻辑上将一台设备分割为多台设备平行工作互不影响。需要通过接口区分虚拟系统的范围。 管理口和其余物理接口默认不在同一个虚拟系统中。 防火墙接口配置
路由模式 --- 三层接口 IP地址可以选用静态、DHCP、PPPoE 填写默认网关则会在路由表中默认生成一条指向这个地址的缺省路由。 如果要ping通则在这里勾选。 接口配置页面权力高于安全策略。 交换模式 --- 二层接口 可以跳过创建vlan直接将接口划分vlan。 旁路检测 接受镜像流量 接口对
选择之后该接口就具有配置成为接口对的资格。 接口对默认为trunk链路。 虚拟接口 虚拟接口不同的虚拟空间之间通信使用的虚拟接口只需要配置IP地址即可。新创建一个虚拟系统会自动生成一个虚拟的接。 安全区域
安全区域分类 Trust 一般企业内网会被规划在trust区域中。 Untrust 一般公网区域被规划在untrust区域中。 Local指设备本身所有接口默认都属于Local区域。 凡是由设备构造并主动发出的报文均可以认为是从local区域发出的凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置并且我们无法将接口划入该区域。接口本身属于该区域。 Dmz非军事化管理区域 这个区域主要是为内网的服务器所设定的区域。这些服务器本身在内网但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以这个区域就代表是严格管理和松散管理区域之间的部分管理区域。 注意将某个接口划分到某个区域时则代表该接口所连接的整片网络都属于这个区域。区域是靠接口来划分的。 区域优先级 优先级取值范围1~100越大越优 优先级作用 定义方向 流量从优先级高的区域到优先级低的区域 --- 出方向outbound 流量从优先级低的区域到优先级高的区域 --- 入方向inbound 防火墙组网方式 路由模式 特点三层部署三层接口为主。 防火墙配置过程。 接口、区域配置完成并且做安全策略 内网配置回包路由 是否需要配置服务器映射 配置内网访问外网的NAT 针对内外网的安全策略 透明模式 特点二层部署二层接口为主 旁路模式 特点可以实现流量检测对原始链路没有影响但是控制能力很小。 镜像进行二层数据分析。 管理配置三层接口用于方便管理。防火墙上网或者升级设备。 混合模式 特点部分接口走二层部分接口走三层 安全策略
传统的包过滤防火墙其本质为ACL列表根据数据报中的特征进行过滤之后对比规制执行动作。 五元组源IP、目标IP 、源端口、目标端口、协议 安全策略相较于ACL的改进之处在于首先可以在更细的颗粒度下匹配流量另一方面是可以完成内容安全的检测。 包过滤和安全策略的对比 安全策略 安全策略内容 访问控制允许和拒绝。 内容检测如果允许通过则可以进行内容检测。 安全策略的全过程 注意 一个区域内部访问是不受安全策略的控制。 匹配规则从上自下匹配。 安全策略的配置
位置策略 --- 安全策略
流量抓取和条件匹配 策略组多条策略存储在一个组里面可以批量的去启用策略和禁止策略 标签分类通过颜色区分 VLAN ID 针对二层携带标签的流量经行匹配管理 源地址和目标地址选择匹配的地址或者地址范围 用户针对用户匹配 服务针对服务内容经行匹配可以写协议或者端口号 应用更细致的应用匹配可以进行数据层次的关键字识别匹配
内容安全检测 安全策略中条件匹配规则 每一项之间的关系为 ”与“的关系 如果不选择则默认为any没有限制 多选的里面每一项之间的关系是 “或” 关系 防火墙的状态检测和会话表
状态检测
状态检测的核心 --- ”会话表“
基于流的流量检测即设备仅对流量的第一个数据包进行过滤并将结果作为这一条数据流的“特征”记录下来记录在本地的“会话表”之后该数据流后续的报文都将基于这个特征来进行转发而不再去匹配安全策略。这样做的目的是为了提高转发效率。 传统防火墙的缺点 安全风险高 转发效率第 包过滤防火墙的安全漏洞 状态检测防火墙访问过程 当web服务器给PC进行回报时来到防火墙上防火墙会将报文中的信息和会话表的信息进行性比对如果发现报文中的信息与会话表中的信息相匹配并且符合协议规范对后续报文的定义则认为该数据包属于PC可以允许该数据包通过。 会话表 会话表本身也是基于五元组来区分流量会话表在比对时会通过计算HASH来比较五元组。因为HASH定长所以可以基于硬件进行处理提高转发效率。 会话表的目的提高转发效率 因为会话表中的记录只有在流量经过触发时才有意义所以如果记录长时间不被触发则应该删除掉。即会话表中的记录应该存在老化时间。如果会话表中的记录被删除掉之后相同五元组的流量再通过防火墙则应该由其首包重新匹配安全策略创建会话表。如果无法创建会话表则将丢弃该数据流的数据。 会话表老化时间 老化时间太长会造成系统资源的浪费同时有可能导致新的会话表项无法正常建立 老化时间过短会导致一些需要长时间首发一次的报文连接被系统强行中断影响业务的转发 不同协议的会话表老化时间不同。 状态检测技术
目的提高安全性
状态检测主要检测协议逻辑上的后续报文以及仅允许逻辑上的第一个报文通过后创建会话表。可以选择开启或者关闭该功能。 配置 防火墙查看老化时间 [USG6000V1]display firewall session table ---- 查看老化时间 [USG6000V1]display firewall session table verbose ---- 查看会话表详情 开启TCP状态检测功能 (默认开启) 防火墙web页面配置 防火墙命令行页面配置 开启 [USG6000V1]firewall sessiong link-state tcp check 关闭 [USG6000V1]undo firewall sessiong link-state tcp check 数据通过防火墙的流程 文件传输协议
1. FTP FTP代表文件传输协议。这种类型的协议用于将文件从一台主机传输或复制到另一台主机。但是在不同的主机或系统中发送和接收文件时可能会出现文件名不同、文件目录不同等问题。并且在 FTP 中不提供安全通道来在主机或系统之间传输文件。 FTP协议是一个典型的C/S架构的协议。 FTP工作过程中存在两个进程一个是控制进程 (21) 另一个是数据的传输进程 (20) 所以需要使用两个端口号2021。 FTP传输模式ASCII模式和二进制模式 ASCII模式用于传输文本。发送端的字符在发送前被转换成ASCII码格式之后进行传输接收端收到之后再将其转换成字符。 二进制模式常用于发送图片文件和程序文件。发送端在发送这些文件时无需转换格式即可传输。 像FTP这种使用多个端口号的协议叫做多通道协议双通道协议。 2. TFTP TFTP 代表普通文件传输协议。TFTP 用于在不需要 FTP 功能的情况下从客户端到服务器或从服务器到客户端传输文件。TFTP的软件比FTP小。TFTP 工作在 69 端口号上其服务由 UDP 提供。 FTP和TFTP的区别 FTP 是完整、面向会话、常规用途文件传输协议;而 TFTP 用作 bones bare - 特殊目的文件传输协议。 因为 TFTP 不支持验证, 所以Windows NT FTP服务器不支持 TFTP 可以以交互方式使用 FTP; TFTP 允许文件只能单向的传送。 FTP 提供用户身份验证; TFTP 却不。 FTP 依赖于 TCP 是面向连接并提供可靠的控件; TFTP 依赖 UDP需要减少开销, 几乎不提供控件。 FTP 使用周知 TCP 端口号 数据和连接对话框的 2120; TFTP 使用它的文件传输活动 UDP 端口号 69。 FTP使用的是TCP21端口,而TFTP使用的是UDP69端口; 一般防火墙都会封TCP端口而不会封UDP的,所以TFTP有时比FTP好用,不过TFTP传输的文件一般较小,你要传大文件就要用FTP了。 FTP相较于Tftp拥有一套完整的命令集 FTP工作模式
FTP还存在两种不同的工作模式主动模式被动模式。 主动模式 FTP客户端通过向FTP服务器发送PORT命令告诉服务器该客户端用于传输数据的临时端口号 当需要传送数据时服务器通过TCP端口号20与客户端的临时端口建立数据传输通道完成数据传输 在建立数据连接的过程中由服务器主动发起连接因此被称为主动方式。 被动模式 FTP客户端通过向FTP服务器发送PASV命令告诉服务器进入被动方式。服务器选择临时端口号并告知客户端 当需要传送数据时客户端主动与服务器的临时端口号建立数据传输通道完成数据传输 在整个过程中由于服务器总是被动接收客户端的数据连接因此被称为被动方式。 FTP建立在防火墙中的问题 问题两个端口号第一个控制程序来创建会话表当第二个程序传输数据时由于五元组信息不同所有不能匹配第一个控制程序创建的会话表就应该去建立新的会话表但是由于无法建立会话表所有数据包就该被丢弃数据包。 原因由于建立会话表需要匹配安全策略传输数据开放的端口号是随机端口号所以无法通过提前放通安全策略来经行会话表的创建所以无法建立会话表 在交换机上的抓包信息
主动 被动 1921681182 前面4位是IP地址信息后面的82代表的是端口号信息计算方法8 * 256 2 2050
解决办法
ASPF针对应用层的包过滤用来抓取多通道协议中协商端口的关键数据包之后将端口算出将结果记录在sever-map表中相当于开辟了一条隐形的通道。使得像FTP 这样的特殊应用的报文可以正常转发。FTP默认开启ASPF。 配置 配置ASPF 查看server-map表 [USG6000V1]display firewall server-map 防火墙的用户认证 防火墙管理员登录认证目的检验身份的合法性划分身份权限。 用户认证的目的上网行为管理的一部分。 用户行为流量 ---- 上网行为管理三要素
用户认证分类 上网用户认证 三层认证 所有的跨网段的通信都可以属于上网行为。正对这些行为我们希望将行为和产生行为的人进行绑定所以需要进行上网用户认证。 入网用户认证 二层认证 我们的设备在接入网络中比如插入交换机或者接入wifi后需要进行认证才能正常使用网络。 接入用户认证 远程接入VPN 主要是校验身份的合法性的。 上网用户认证 本地认证 用户信息在防火墙上整个认证过程都在防火墙上执行 服务器认证 对接第三方服务器防火墙将用户信息传递给服务器之后服务器将认证结果返回防火墙执行对应的动作即可 单点登录 --- 和第三方服务器认证类似。 配置
新建认证域
用户组织结构的容器防火墙缺省存在default认证域用户可以根据需求新建认证域。
不同的认证域之间是或的关系 认证域 可以决定认证的方式和组织结构。 新建用户/用户组
用户按树形结构组织用户隶属于组部门。管理员可以根据企业的组织结构来创建部门和用户。 登录名作为登录凭证使用一个认证域下登录名不能触发 显式名不能用来作为登录凭证只是用来进行描述是可以重复。 账号过期时间可以设定一个时间点到期但是如果到期前号已登录到期后防火墙不会强制下线该用户。 允许多人同时使用该账号登录。 私有用户仅允许一个人使用第二个人使用时将顶替到原先的登录 公有用户允许多个人同时使用一个账户。 IP/MAC绑定用户和设备进行绑定IP地址/MAC地址 单向绑定该用户只能使用指定的地址登录 (IP或者MAC)同时该地址也可被其他用户使用 双向绑定该用户只能在绑定设备下登录并且该绑定设备也仅允许该用户登录。 安全组和用户组区别 安全组和用户组都可以被策略调用 用户组调用是可以递归递归到用户组下的子用户组 安全组调用不会递归子安全组不生效。 认证策略 抓流量 执行的动作 认证方式 portal认证 这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网认证仅需要流量触发对应的服务时弹出窗口输入用户名和密码进行认证。 免认证 需要在IP/MAC双向绑定的情况下使用则对应用户在对应设备上登录时就可以选择免认证不做认证。 不认证 匿名认证 和免认证的思路相似认证动作越透明越好选择匿名认证则登录者不需要输入用户名和密码直接使用IP地址作为其身份进行登录。 认证域的配置
策略针对一个点认证域是针对整个组织架构的 如果这里的上网方式选择protal认证则认证策略里面也要选择portal认证。 如果这里的上网方式选择免认证或者单点登录则认证策略中对应动作为免认证 如果认证策略中选择的是匿名认证则不触发这里的认证动作。 可以多选 新用户的认证选项 匿名用户登录上来的也算新用户。IP地址本身不属于架构里面的上来都属于新用户。 临时用户 如果默认是以/666部上线就要遵守/666的策略/安全组。 防火墙的NAT
NAT分类 源NAT 基于源IP地址进行转换。 我们之前接触过的静态NAT动态NATNAPT都属于源NAT都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网。 先执行安全策略后执行NAT 目标NAT 基于目标IP地址进行转换。我们之前接触过的服务器映射 (端口映射) 就属于目标NAT。是为了保证公网用户可以访问内部的服务器。 双向NAT 同时转换源IP和目标IP地址。 NAT配置 新建NAT NAT类型 NAT NAT64ipv4 和ipv6的NAT转换。 转换模式 仅转换源地址 --- 源NAT 仅转换目的地址 --- 目标NAT 源地址和目的地址同时转换 --- 双向NAT 不做转换 转换后的数据包 把源地址转换成什么 地址池的地址 --- 多对多的NAPT或者动态NAT 出接口地址 --- easy ip 新建安全策略 观察安全策略的源目区域匹配的是私网地址所以先执行安全策略后执行源NAT即源NAT是在安全策略之后执行。。 补充内容 现在静态NAT作用 入方向跟服务器做一对一的映射。 easy ip 不产生server-map 填写默认网关则生产缺省静态 协议 Unr(U)用户(n)网络(r)路由一般情况由于策略生成的路由。
