安全防御 --- 防火墙

防火墙

1、基础

(1)防御对象:授权用户;非授权用户

(2)含义

防火墙是一种隔离(非授权用户所在区域间)并过滤(对受保护网络中的有害流量或数据包)的设备 --- 在网络拓扑中,一般在核心层的边界

(3)防火墙区域:

  • 根据安全等级来划分
  • 区域拥有不同的安全等级,内网(trust)一般100(满分),外网(untrust)一般是0-1,DMZ一般是50  

(防火墙的视角为不同区的视角)(防火墙既可以做交换,又可以做路由)

2、防火墙的发展

(1)包过滤防火墙 --- 访问控制列表技术(ACL) --- 三层技术

  • 简单,速度慢 --- 逐包检测
  • 检查的颗粒度粗 -- 5元组(源地址,目的地址,协议,源端口,目的端口)

(2)代理防火墙 --- 中间人技术 --- 应用层

降低包过滤颗粒度的一种做法,区域之间通信使用固定设备,一般使用代理服务器

  • 代理技术只能针对特定的应用来实现,应用间不能通用
  • 技术复杂,速度慢
  • 能防御应用层威胁,内容威胁

(3)状态防火墙 --- 会话追踪技术(session) --- 三、四层

在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度

  • 首包机制
  • 细颗粒度
  • 速度快

<1> 会话追踪技术:防火墙使用会话追踪技术可以把属于这个流的所有包识别出来。(流相当于会话)

<2> 会话表:记录5元组,还有用户

<3> 首包匹配 --- 策略表;转发匹配 --- 会话表

ACL技术关注流量的全方向,防火墙的安全策略只需要考虑首包。

查询和创建会话:

防火墙不会为重传的包生成一个会话表:

[1] 首包可匹配策略,然后策略可创建会话表。若首包成功创建会话,第二个包由目标IP返回。第三个包在会话老化时间过后才进入防火墙,将会被丢弃。此时将发第四个重传的包,无法通过。

[2] 只有第一个包(时间上的第一个;会话开始的第一个)才可建立会话,后面的包无法建立会话

例1:状态防火墙工作流程

(防火墙默认deny any。一般将防火墙基础的路由交换功能做完后,需做放行处理)

文字描述:

[1] PC端在trust区发出数据包,首包来到防火墙。防火墙默认拒绝所有,首先查看路由策略(ACL---逐条匹配),匹配关于2.2.2.2的路由,关于2.2.2.2的策略是permit。

[2] 只要路由策略放行,防火墙会为该流量创建一个会话表(session)。(会话:和目标通信的一系列连续的包)

[3] 流量从防火墙出去到达baidu.com后,然后返回防火墙。到达防火墙,先查看会话表。若流量属于这个会话表,将会转发到目标IP地址2.2.2.2。

(首包匹配策略,策略创建会话表,后续直接通过会话表来实现通行)

例2:问题解决

(4)UTM(统一威胁管理) --- 深度包检查技术 --- 应用层(串接式检查)

  • 将原来分散的设备进行统一管理,有利于节约资金和成本
  • 统一有利于各设备之间协作
  • 设备负荷较大,检查也是由逐个模块完成的,速度慢

(5)NGFW(下一代防火墙) --- 现代防火墙

<1> 说明:Gartner(IT咨询公司)将NFGW看做不同信任级别的网络之间的一个线速(wire-speed)实时防护设备,能够对流量执行深度检测,并阻断攻击

<2> NFGW必须具备以下几个能力

  • 传统防火墙功能
  • IPS与防火墙得到深度集成
  • 应用感知和全栈可视化 --- (识别并展示出流量所属类别和路径)
  • 利用防火墙以外的信息,增强管控能力

3、防火墙区域

(1)区域的作用:

  • 安全策略都基于区域实施
  • 同一区域内部发生的数据流动是不存在风险的,不需要实施任何安全策略
  • 不同区域之间发生数据流动,才会触发设备的安全检查,并实施相应的安全策略
  • 一个接口只能属于一个区域,而一个区域可以有多个接口

(2)优先级的作用

每个安全区域都有自己的优先级,用1-100的数字表示,数字越大,则代表该区域内的网络越可信。报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。报文在两个方向上流动时,将会触发不同的安全检查。

(3)区域划分:

<1> DMZ区域:

  • 两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低
  • 服务器内外网都可以访问,但是依旧与内网隔离

<2> Trust区域:

可信任的接口,是局域网的接口,此接口外网和DMZ无法访问。外部和DMZ不能访问trust口

<3> Untrust区域:

不信任的接口,此接口是用来接internet的,这个接口的信息内网不接受。可以通过untrust口访问DMZ,但不能访问trust口

(4)新建区域和接口划入区域

<1> 新建区域

<2> 接口划入区域

(5)扩展:

  • 域基本分为:local、trust、dmz、untrust这四个是系统自带不能删除,除了这四个域之外,还可以自定义域
  • 域等级local>trust>dmz>untrust,自定义的域的优先级是可以自己调节的
  • 域与域之间如果不做策略默认是deny的,即任何数据如果不做策略是通不过的,如果是在同一区域的就相当于二层交换机一样直接转发
  • 当域与域之间有inbound和outbound区分,华为定义了优先级地的域向优先级高的域方向就是inbound,反之就是outbound

4、防火墙接口及模式设置

(1)图形化配置

<1> 开启网卡:

<2> 设置ensp云:



<3> 防火墙配置:

1> 将防火墙的GE 0/0/0接口与云服务连接(每个厂商的防火墙都有一个管理口,华为默认管理口是G0/0/0

 2> 配置防火墙接口IP(与云同网段)以及放通所有协议

Username:admin --- 默认用户名是admin
Password: --- 默认密码是Admin@123
The password needs to be changed. Change now? [Y/N]: y --- 一般首次登入必须修改密码
Please enter old password: 
Please enter new password: 
Please confirm new password:

[USG6000V1-GigabitEthernet0/0/0]dis th 
#
interface GigabitEthernet0/0/0
 ip address 192.168.0.1  255.255.255.0 --- 默认ip地址为192.168.0.1,修改ip地址和回环网卡同一网段
[USG6000V1-GigabitEthernet0/0/0]ip add 169.254.7.1 --- 修改ip地址
[USG6000V1-GigabitEthernet0/0/0]dis th
#
interface GigabitEthernet0/0/0
 ip address 169.254.7.1 255.255.255.0 --- 修改成功
(图形化登录使用https协议登录的,所以需将协议放通)
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit --- 此处放通所有协议

3> 测试:

<4> 登录防火墙图形化界面

通过ip地址登入:https://IP:8443

1> 继续访问

2> 登入

3> 登入成功

(2)接口模式配置

<1> 将接口加入区域

  • 法1:

  • 法2(此处将接口划入区域顺便配置接口IP): 

<2> 配置接口IP

(3)接口对

有些厂商将接口对称为 --- 虚拟网线

5、防火墙策略

(1)定义与原理

  • 定义:网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信
  • 原理:防火墙的基本作用是保护特定网络免受“不信任”的安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙

(2)安全策略配置

(3)安全策略工作流程

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/3378.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

GCC 编译器的主要组件和编译过程

主要组件&#xff1a; 分析器&#xff1a;分析器将源语言程序代码转换为汇编语言。因为要从一种格式转换为另一种格式&#xff08;C到汇编&#xff09;&#xff0c;所以分析器需要知道目标机器的汇编语言。 汇编器&#xff1a;汇编器将汇编语言代码转换为CPU可以执行字节码。 …

网络层协议 IP

目录 IP协议 基本概念 协议头格式&#xff08;重要&#xff09; 分片了如何组装&#xff1a; 那么判断是否片偏移就是&#xff1a; 分片对UDP和TCP有影响吗&#xff1f; 总结 网段划分&#xff08;重要&#xff09; 下面有两个例子&#xff1a; 特殊的IP地址 …

这几个SQL语法的坑,你踩过吗

本文已经收录到Github仓库&#xff0c;该仓库包含计算机基础、Java基础、多线程、JVM、数据库、Redis、Spring、Mybatis、SpringMVC、SpringBoot、分布式、微服务、设计模式、架构、校招社招分享等核心知识点&#xff0c;欢迎star~ Github地址&#xff1a;https://github.com/…

人工智能能否取代软硬件开发工程师

版权声明 本文原创作者&#xff1a;谷哥的小弟作者博客地址&#xff1a;http://blog.csdn.net/lfdfhl 人工智能发展趋势 随着AI技术的不断发展&#xff0c;它正在改变我们的生活方式、商业模式和工作方式。人工智能技术的发展一直处于快速变化和持续创新的状态&#xff0c;以下…

免费镜像 ChatGPT 网站随你挑和分享一批可用的 API Keys

文章目录一、前言二、在线 ChatGPT三、分享一批 API Keys&#x1f349; CSDN 叶庭云&#xff1a;https://yetingyun.blog.csdn.net/ 一、前言 随着科技的不断进步&#xff0c;人工智能在各个领域的应用越来越广泛。在这个过程中&#xff0c;人们需要不断更新知识和技能&#x…

文件包含漏洞学习笔记

1、为何会出现文件包含漏洞 相同内容或方法在多个页面显示或调用&#xff0c;文件包含漏洞又称为目录遍历漏洞或任意文件访问漏洞。分为本地文件包含&#xff08;LFI&#xff1a;Local File Inclusion&#xff09;&#xff0c;远程文件包含&#xff08;RFI&#xff1a;Remote …

Linux 多线程:多线程和多进程的对比

目录一、多进程优缺点二、多线程优缺点三、使用多执行流的场景在多任务处理中&#xff0c;我们既可以使用多进程&#xff0c;也可以使用多线程。但多进程和多线程并不是随意选择的&#xff0c;因为它们应对的场景不同&#xff0c;优缺点也不同。 一、多进程优缺点 多进程就是在…

Spring - Spring 注解相关面试题总结

文章目录01. Spring 配置方式有几种&#xff1f;02. Spring 如何实现基于xml的配置方式&#xff1f;03. Spring 如何实现基于注解的配置&#xff1f;04. Spring 如何基于注解配置bean的作用范围&#xff1f;05. Spring Component, Controller, Repository, Service 注解有何区别…

【数据结构】堆

文章目录前言堆的概念及结构堆初始化堆的判空堆的销毁插入数据删除数据堆的数据个数获取堆顶数据用数组创建堆对数组堆排序有关topk问题整体代码展示写在最后前言 &#x1f6a9;前面了解了树&#xff08;-> 传送门 <-&#xff09;的概念后&#xff0c;本章带大家来实现一…

手机验证发送及其验证(基于springboot+redis)保姆级

在Java开发中&#xff0c;发送手机验证码时需要考虑以下几个问题&#xff1a; 验证码的有效期&#xff1a;验证码应该有一定的有效期&#xff0c;一般设置为几分钟或者十几分钟。过期的验证码应该被认为是无效的&#xff0c;不能用于验证用户身份。手机号码格式的校验&#xf…

软测界的黑科技,难道不来瞧瞧?

写在前面&#xff1a; 在当今互联网时代&#xff0c;软件已经渗透到了人们生活的方方面面&#xff0c;各种类型的软件应运而生&#xff0c;为人们的工作和生活提供了更便捷的服务。然而&#xff0c;随着软件的不断增长和复杂性的不断提高&#xff0c;软件测试变得越来越重要。…

如何成为优秀的程序员

崔宝秋&#xff0c;现任小米首席架构师、小米云平台负责人。1995年赴美留学&#xff0c;纽约州立大学石溪分校计算机科学系博士毕业&#xff0c;曾任IBM高级工程师和高级研发经理、雅虎搜索技术核心团队主任工程师、LinkedIn主任工程师&#xff0c;2012年回国加入小米科技。 20…

安全防御之入侵检测篇

目录 1.什么是IDS&#xff1f; 2.IDS和防火墙有什么不同&#xff1f;3.IDS的工作原理&#xff1f; 4.IDS的主要检测方法有哪些&#xff1f;请详细说明 5.IDS的部署方式有哪些&#xff1f; 6.IDS的签名是什么意思&#xff1f;签名过滤器有什么用&#xff1f;例外签名的配置作…

性能测试(三)----loadrunner的使用

一)Controller的使用: 1)在VUG中针对写好的脚本创建场景: 2)手动打开Controller进行脚本的添加并创建场景: 点击完成之后直接打开Controller所在的组件 3)针对场景来进行设置: Basic schedule:点击这个选项进行设置 可手动修改每个用户组的Quantity来修改并发用户总量 3.1)初始…

css绘制一个Pinia小菠萝

效果如下&#xff1a; pinia小菠萝分为头部和身体&#xff0c;头部三片叶子&#xff0c;菠萝为身体 头部 先绘制头部的盒子&#xff0c;将三片叶子至于头部盒子中 先绘制中间的叶子&#xff0c;利用border-radius实现叶子的效果&#xff0c;可以借助工具来快速实现圆角的预想…

ChatGPT常用开源项目汇总

❤️觉得内容不错的话&#xff0c;欢迎点赞收藏加关注&#x1f60a;&#x1f60a;&#x1f60a;&#xff0c;后续会继续输入更多优质内容❤️&#x1f449;有问题欢迎大家加关注私戳或者评论&#xff08;包括但不限于NLP算法相关&#xff0c;linux学习相关&#xff0c;读研读博…

基于jmeter+perfmon的稳定性测试记录

最近承接了项目中一些性能测试的任务&#xff0c;因此决定记录一下&#xff0c;将测试的过程和一些心得收录下来。 说起来性能测试算是软件测试行业内&#xff0c;有些特殊的部分。这部分的测试活动&#xff0c;与传统的测试任务差别是比较大的&#xff0c;也比较依赖工具&…

c++之模板入门详解(五千字长文详解)

c之模板入门详解 文章目录c之模板入门详解泛型编程函数模板函数模板概念函数模板格式模板的原理函数模板的实例化模板实例化的个数对于同不同类型的传参&#xff01;如何处理这个问题呢&#xff1f;关于具体存在的函数和模板函数的优先级问题&#xff01;类模板类模板的用法&am…

若依框架 --- ruoyi 表格的设置

表格 字典值转换 (1) 方式1&#xff1a;使用字典枚举的方式 var isDownload [[${dict.getType(YES_OR_NO)}]];{field : isDownload,title : 是否允许下载,formatter: function(value, row, index) {return $.table.selectDictLabel(isDownload, value);} }, (2) 方式2&…

Java正则表达式及Pattern与Matcher使用详解

文章目录一、正则表达式详解1、符号定义&#xff08;1&#xff09;基本书写符号&#xff08;2&#xff09;限定符&#xff08;3&#xff09;匹配字符集&#xff08;4&#xff09;分组构造&#xff08;5&#xff09;字符转义2、常用正则表达式举例3、Java中RegularExpressionVal…