防火墙详解(USG6000V)

0、防火墙组网模式

防火墙能够工作在三种模式下分别是路由模式透明模式旁路检测模式混合模式

0.1、路由模式

路由模式:防火墙全部以第三层对外连接,即接口具有IP 地址。一般都用在防火墙是边界的场景下

防火墙需要的部署/配置:

  1. 接口IP地址,区域划分
  2. 写内网的回包路由
  3. 安全策略
  4. 由内到外的NAT
  5. 服务器映射

0.2、透明模式

透明模式:防火墙都以二层对接(接口无IP 地址),只是让流量经过它而已,它对于子网用户和路由器来说是完全透明的,用户完全感觉不到防火墙的存在。

特点:可以避免改变拓扑结构造成的麻烦。就像放置一个交换机一样,不用修改其他设备的已有配置,与路由模式相同的是,IP 报文同样经过相关的过滤检查(但是IP 报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。

防火墙需要的部署/配置:

  1. 接口配置VLAN,划分区域
  2. 安全策略
  3. 增强设备的管理接口,用于控制管理设备和设备的自我升级

0.3、旁路检测模式

旁路检测模式:与核心设备进行连接,镜像复制核心设备的流量。可以检测传输的数据包,可以做上网管理行为,例如TCP协议中,可以伪装服务器给中断发一个rst标记位的数据包,形成中断(具有滞后性)

0.4、混合模式

混合模式:具有二层和三层的接口(某些接口具有IP 地址,某些接口无IP 地址),这种模式更加灵活,主要用于透明模式作双机备份的情况


 防火墙主要有以下七点功能:

以USG6000V防火墙为讲解,其管理页面为:

通过上图,我们可以将管理页面划分为6个子页面:面板页面、监控页面、策略页面、对象页面、网络页面和系统页面

初始账号:admin

初始密码:Admin@123

1、系统页面

1.1、管理员模块

 在系统页面中的管理员模块,我们可以看到有两大部分:

  1. 管理员:实际的管理员账号
  2. 管理员角色:为管理员定义的权限身份

1.1.1 管理员

点击“新建”,即可创建一个管理员账号(自选择身份)

本地认证:用户密码信息存储在防火墙本地,有防火墙判断是否通过认证

服务器认证:对接第三方服务器,用户信息存储在第三方服务器上,由防火墙将用户信息推送给服务器,由服务器进行判断,并返回结果,防火墙做出登录与否的操作。

服务器/本地认证:正常情况使用服务器认证,如果服务器认证失败,则直接认证失败,不进行本地认证,只有在服务器对接失败的时候,才采取本地认证。

信任主机:只有信任主机中的地址或者网段才能登录控制设备(最多可以添加10条信任主机,如果没有配置,则不做限制)

1.1.2 管理员角色

点击“新建”定义一个拥有自定义权限的身份

 2、网络页面

2.1、接口模块

2.1.1 接口模式和类型

在接口模块中,可以对防火墙的接口进行一个配置操作,其配置页面如下:

在接口修改页面中,我们可以看到四个模式和多个类型

它们又可分为物理接口虚拟接口

物理接口:

  1. 三层接口:可以配置IP地址
  2. 二层接口:普通二层口、接口对,旁路检测接口

接口对:可相当于“透明网线”,可以将一个或多个接口配置称为接口对,则数据从一个接口进时,将不需要查看MAC地址表,而是直接从另一个接口出(当设备断电时,会直接将两个接口短接)

虚拟接口:

  1. 环回接口
  2. 子接口
  3. Vlanif
  4. Tunnel
  5. 链路聚合

字母前的数字代表接口数量

GE:千兆以太网接口

XG:万兆以太网光接口

BYPASS:单位一般用“对”,两个BYPASS接口为一对。当设备断电时,会自动将两个接口缎短接,形成环路从而不影响网络。如4GE-BYPASS可理解为两对千兆BYPASS接口

2.1.2 接口虚拟系统VRF

虚拟系统的作用:将一个防火墙的硬件在逻辑上划分成多个防火墙系统,从而可以实现将一台设备当成多台设备来使用

在防火墙的接口列表中,Virtual-if0接口是虚拟系统互通使用的接口,每创建一个虚拟系统,会自动生成一个虚拟接口,仅需配置IP地址即可

2.1.3 接口默认网关

默认网关的作用的是自动生成一个指向该网关地址的缺省路由

2.1.4 接口启用访问管理

在启用访问管理这块,可以控制允许哪些协议访问

注意:“启动访问管理”的优先级高于安全策略,即如果安全策略未放通,但是如果这边启动了,则可以正常访问

2.2、接口对模块

接口对默认是trunk干道

2.3、安全区域模块

初始区域列表有四个:trust、untrust、local、dmz

trust:信任区域,一般放置内网

untrust:非信任区域,一般放置外网

local:防火墙上所有接口都属于接口

dmz:非军事化管理区域,介于管理严格和不严格之间,放置一些对外开放的区域

优先级:0-100

将接口划分到某个区域,代表的是将接口所连接的网络划分到该区域,而接口本身永远属于local

优先级的作用:定义方向

  • 出方向(outbound):从优先级高的区域到优先级低的区域
  • 入方向(inbound):从优先级低的区域到优先级高的区域

3、策略页面

3.1、安全策略

在安全策略列表中初始有一条测略,该策略不可被删除,只能修改其中的动作为“允许”或“拒绝”,即安全策略隐含一条拒绝所有的策略。

条件匹配中的所有匹配项为“与”关系,而匹配项中的多选项为“或”关系

        在传统的包过滤技术中,安全策略本质上就是ACL访问控制列表,根据数据包的特征进行过滤,对比规则,是逐包对比,效率较低。      

        而下一代防火墙(NGFW)的安全策略中,可以执行两块内容。第一块内容是访问控制,即允许或拒绝通过;第二块内容是在允许通过的情况下,可以进行内容的安全一体化检测。

        并且NGFW的安全策略涉及的维度更多

防火墙的状态检测和会话表技术:主要机制是以数据流为单位,仅针对首包进行检测,检测通过后会将数据包的特征记录在本地会话表中,在其老化时间内,数据流的其他数据包来到防火墙后不会再匹配安全策略,而是匹配会话表并根据会话表来进行转发。

所以我们在新建安全策略时,只需放行去时的流量,不用考虑后续回包。回包会根据去时的会话表记录转发回来

注意:为防止回来的信息是冒充的,所以回来的数据包需要符合协议定义的后续报文的要求,这就属于状态检测技术

例:HTTP协议中如果你发送了一个request请求,那么后续回来一定是response;TCP协议中发送的第一个数据包是SYN,则后续的数据包为ACK+SYN,光是一个ACK或SYN都是不符合定义的后续报文要求

会话表技术:提高转发效率的关键,其主要是采用老化机制

老化时间问题:

  1. 会话表老化时间过长,会导致占用资源和一些会话(原会话/新会话)无法正常建立
  2. 老化时间过短,会导致一些需要长时间发送一次的报文强行中断,影响正常业务

命令行查看会话表老化时间
<USG6000V1>display firewall session table

会话表技术还弥补了包过滤防火墙的一个安全缺陷,比如当我们进行安全策略时,以包过滤的角度来写就需要部署两条安全测略(来和去),但是回来的安全策略有一个严重的问题就就是回去的信息可能是存在欺骗的,即我可以去访问你的任何端口,包括3389、23、22、445等危险端口,防火墙根本拦截不了

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/785223.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【Excel】 批量跳转图片

目录标题 1. CtrlA全选图片 → 右键 → 大小和属性2. 取消 锁定纵横比 → 跳转高度宽度 → 关闭窗口3. 最后一图拉到最后一单元格 → Alt吸附边框![](https://i-blog.csdnimg.cn/direct/d56ac1f41af54d54bb8c68339b558dd1.png)4. CtrlA全选图片 → 对齐 → 左对齐 → 纵向分布!…

C++初探究

概述 C可以追溯到1979年&#xff0c;C之父Bjarne Stroustrup在在使用C语言研发工作时发现C语言的不足&#xff0c;并想要将其改进&#xff0c;到1983年&#xff0c;Bjarne Stroustrup在C语言的基础上添加了面向对象编程的特性&#xff0c;设计出了C的雏形。 网址推荐 C官方文…

Java面试八股之MySQL主从复制机制简述

MySQL主从复制机制简述 MySQL的主从复制机制是一种数据复制方案&#xff0c;用于在多个服务器之间同步数据。此机制允许从一个服务器&#xff08;主服务器&#xff09;到一个或多个其他服务器&#xff08;从服务器&#xff09;进行数据的复制&#xff0c;从而增强数据冗余、提…

HTTP 请求走私漏洞详解

超详细的HTTP请求走私漏洞教程&#xff0c;看完还不会你来找我。 1. 简介 HTTP请求走私漏洞&#xff08;HTTP Request Smuggling&#xff09;发生在前端服务器&#xff08;也称代理服务器&#xff0c;一般会进行身份验证或访问控制&#xff09;和后端服务器在解析HTTP请求时&…

YASKAWA安川Σ-V系列伺服驱动器AC设计维护手侧

YASKAWA安川Σ-V系列伺服驱动器AC设计维护手侧

C#——序列化和反序列化概念

(1)序列化 在编程中&#xff0c;序列化是指将对象转换为可存储或传输的格式&#xff0c;例如将对象转换为 JSON 字符串或字节流。 (2)反序列化 在编程中&#xff0c;反序列化则是将存储或传输的数据转换回对象的过程。 序列化和反序列化经常用于数据的持久化、数据交换以及…

JAVA基础-----包装类,自动装箱、拆箱

一、包装类&#xff1a; Java中的数据类型总体上分为基本数据类型和引用数据类型。引用类型的数据可以通过对象的属性和方法来进行操作&#xff0c;但对于基本数据类型的数据&#xff0c;我们能不能像操作对象那样来操作呢&#xff1f;为了实现这个目标&#xff0c;Java为8种基…

WebOffice在线编微软Offfice,并以二进制流的形式打开Word文档

在日常办公场景中&#xff0c;我们经常会遇到这种场景&#xff1a;我们的合同管理系统的各种Word,excel,ppt数据都是以二进制数组的形式存储在数据库中&#xff0c;如何从数据库中读取二进制数据&#xff0c;以二进制数据作为参数&#xff0c;然后加载到浏览器的Office窗口&…

华为HCIP Datacom H12-821 卷30

1.单选题 以下关于OSPF协议报文说法错误的是? A、OSPF报文采用UDP报文封装并且端口号是89 B、OSPF所有报文的头部格式相同 C、OSPF协议使用五种报文完成路由信息的传递 D、OSPF所有报文头部都携带了Router-ID字段 正确答案&#xff1a;A 解析&#xff1a; OSPF用IP报…

每日一练全新考试模式解锁|考试升级

&#x1f64b;频繁有小伙伴咨询&#xff1a;我想举办一场历时一个月的答题活动&#xff0c;学生可以每天打开答题&#xff0c;活动完结后可以导出每天的答题成绩 此前我们都会让小伙伴创建30场考试&#xff0c;然后使用批量分享功能组合起来&#xff0c;对外分享一个链接就可以…

强化学习编程实战-2马尔可夫决策过程

2.1 从多臂赌博机到马尔可夫决策过程 如图2-1&#xff0c;图中A为多臂赌博机&#xff0c;B为一堆鸳鸯&#xff0c;其中左上角为雄性鸳鸯&#xff0c;右上角为雌性鸳鸯&#xff0c;B展示的任务是雄性鸳鸯绕过障碍物找到词性鸳鸯。跟多臂赌博机不同的是&#xff0c;雄性鸳鸯经过一…

提升爬虫OCR识别率:解决嘈杂验证码问题

引言 在数据抓取和网络爬虫技术中&#xff0c;验证码是常见的防爬措施&#xff0c;特别是嘈杂文本验证码。处理嘈杂验证码是一个复杂的问题&#xff0c;因为这些验证码故意设计成难以自动识别。本文将介绍如何使用OCR技术提高爬虫识别嘈杂验证码的准确率&#xff0c;并结合实际…

小米订单锐减背后的挑战与应对之道

近期&#xff0c;富士康印度子公司Bharat FIH面临高管离职、工厂关闭的困境&#xff0c;其背后原因之一是小米订单的显著下滑&#xff0c;据报道&#xff0c;这一降幅高达70%。这一现象不仅反映了富士康在印度市场的艰难处境&#xff0c;也揭示了小米在全球智能手机市场面临的挑…

C++ | Leetcode C++题解之第22题完全二叉树的节点个数

题目&#xff1a; 题解&#xff1a; class Solution { public:int countNodes(TreeNode* root) {if (root nullptr) {return 0;}int level 0;TreeNode* node root;while (node->left ! nullptr) {level;node node->left;}int low 1 << level, high (1 <&…

部署windows-exporter

一、安装 windows-exporter源码 下载对应版本 在windows中使用二进制方式部署 安装好之后&#xff0c;打开 http://127.0.0.1:9182/metrics 二、接入prometheus 1、通过静态文件配置加入 scrape_configs:# The job name is added as a label job<job_name> to any …

AI视频创作一条龙!达摩院“寻光”平台炸场WAIC,突破可控编辑难题

卡奥斯智能交互引擎是卡奥斯基于海尔近40年工业生产经验积累和卡奥斯7年工业互联网平台建设的最佳实践&#xff0c;基于大语言模型和RAG技术&#xff0c;集合海量工业领域生态资源方优质产品和知识服务&#xff0c;旨在通过智能搜索、连续交互&#xff0c;实时生成个性化的内容…

macbook触控栏养宠物:Touchbar pet for Mac 免费下载

macbook pro自从出了touchbar后&#xff0c;看起来是十分的炫酷&#xff0c;但平时却很少有人使用&#xff0c;为了让touchbar充分利用起来&#xff0c;Touch bar pet就横空出世了&#xff0c;可爱的画风&#xff0c;简单的玩法&#xff0c;让你可以在touchbar上也可以养一只自…

【C语言】测试TCP带宽程序

多线程测带宽 服务端 #include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <arpa/inet.h> #include <sys/socket.h> #include <sys/epoll.h> #include <time.h> #include <pthrea…

C++ 类和对象 构造 / 析构函数

一 类的6个默认成员函数&#xff1a; 如果一个类中什么成员都没有&#xff0c;简称为空类。 例&#xff1a; #include <iostream> class Empty {// 空类&#xff0c;什么成员都没有 }; 空类中真的什么都没有吗&#xff1f;并不是&#xff0c;任何类在什么都不写时&a…

python--实验5 字典与集合

知识点 集合 集合&#xff08;Set&#xff09;在Python中是一种基本的数据结构&#xff0c;用于存储无序且不重复的元素。以下是关于集合的详细介绍&#xff1a; 集合的定义和特点 无序性&#xff1a;集合中的元素没有特定的顺序。 不重复性&#xff1a;集合中的元素都是唯…