0


网络安全基础 之 防火墙 双机热备、防火墙类型、组网方式、工作模式、逻辑区域划分

概念:

** 什么是防火墙?**
防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙。
在数据通信过程中,由于网络中的不安全因素将会导致信息泄密、信息不完整,信息不可用等问题,因此在部署网络时需要用到防火墙设备

特征:

 逻辑区域过滤器
 隐藏内网网络结构
 自身安全保障
 主动防御攻击

作用:

 保障网络安全
 USG5000系列---称为上一代FW

称为下一代防火墙 NGFW

 基本功能:

     访问控制,对于经过防火墙的流量进行过滤

支持VPN技术
防病毒

防火墙的分类:

 性能划分:

     百兆防火墙
     千兆防火墙
     万兆防火墙

 设备形态分类:

     软件防火墙
     硬件防火墙

 技术划分:

     **包过滤防火墙:**

         包过滤的本质就是ACL(访问控制列表)

基于报文的头部特征及其他参数对流量进行过滤
permit S.IP Client D.IP server
D.port 21
** 包过滤缺点:**
1、无法关联数据之间的关系
2、通常只检查头部,不检查数据
3、无法适用于多通道协议
所以包过滤防火墙已经被淘汰了

         ACL七元组:

             S.MAC、P.MAC , S.IP、D.IP , S.PORT、D.PORT , 协议
         ACL五元组:
              S.IP、D.IP , S.PORT、D.PORT , 协议

不包含二层的信息
** 应用代理防火墙**
本质为中间人代理
** 缺陷:**
1、传输效率低
2、每种不同的应用/协议研发不同的代理防火墙
HTTP WEB非要我也去--->WAF Web应用代理防火墙
** 状态检测防护墙**
状态检测技术
首包检测:
针对数据流的第一个进行检测
创建会话表:
记录访问关系
TCP:SYN消息
UDP:每一个UDP消息都是首包
ICMP:ICMP Request消息
优势:
处理后续包的效率高
检测应用data,安全性高
状态检测防火墙转发的唯一依据:
会话表
防火墙收到数据包:
1、匹配会话表项
存在会话表则进行内容安全检查,检查通过刷新会话表老化时间,并转发数据
不存在会话表则需判断是否可以床架会话表项
2、创建会话表条件:
1、首包
2、路由
3、包过滤规则

逻辑区域:

 默认存在4个逻辑区域,每个区域有不同的安全级别,不同区域的安全级别不能冲突。

但安全级别在下一代防火墙中无意义(只在上上一代防火墙有效)。
上一代防火墙:默认安全级别高的区域可以访问安全级别低的区域。
下一代防火墙:默认所有区域之间都不能互相理解。

** Local本地区域:**
防火墙自身,管理员无法干预
安全级别:100
** Trust信任区域:**
一般将内网设为信任区域
安全级别:85
** DMZ非军事化管理区域:**
一般将服务器设为DMZ区域
安全级别:50
** Untrust非信任区域:**
一般将外网设为untrust非信任区域
安全级别:5
** 自定义安全区域:**
除默认区域外吗,防火墙还支持自定义安全区域
自定义安全区域可以修改或删除,默认的四个安全区域不可以删除和修改安全级别

如何去划分区域:
区域和接口
区域以接口为单位:
一个区域包含多个接口;一个接口只能属于一个区域
子主题 2

安全产品:
硬件防火墙、软件防火墙(360)
上网行为管理器(ASG)
Anti-DDos -- 防DDos攻击
沙箱(病毒检测)

配置方式:

firewall zone trust  #进入trust区视图
add interface g1/0/0  #区域内添加接口(将1/0/0接口添加到trust区域里)

 自定义安全区域:
firewall zone name +名字(中英文都可)    #创建自定义安全区域
set priority +安全级别(不能和原有的四个安全级别相同)
add interface g1/0/1   #区域内添加接口

 删除自定义安全区域:
undo firewall zone name +区域名
     不允许删除默认的四个区域
 **接口开启ping功能:**
     防火墙接口默认不开启ping功能,所以要手动开启
service-manage ping permit

防火墙组网方式:

** 单机组网:
双机热备:
部署方式:**
直路部署
防火墙串联在网络中,流量直接经过防火墙,防火墙可以实时控制数据
对网络影响较大
旁路部署
防火墙并联在网络边缘,流量不直接经过防火墙,通过镜像技术,复制一份网络流量到防火墙上,实时性较差
对网络几乎没有影响

防火墙工作模式:

** 路由模式:**
防火墙工作在网络层
** 二层模式:**
防火墙工作在数据链路层

安全策略:
包过滤规则:
通过报文特征匹配定义规则,实现流量控制
内容安全检查:
通过报文携带的应用数据进行检查
默认区域内部允许通信,不同区域之间不允许通信
安全策略类别:
域内安全策略:
针对同一个区域内的流量进行控制
域间安全策略:
针对域间流量进行控制
接口安全策略:
针对访问防火墙的流量进行控制
配置方式:

     安全策略匹配顺序:
         子主题 1

配置命令:

firewall session aging-time service-set     #修改会话表项老化时间
display firewall session aging-time      #查看会话表项老化时间

分片报文:
避免非首片到达防火墙被丢弃

长连接:
针对一些需要长时间建立连接的服务,会话表会老化,采用长连接去维护会话表

ASPF(应用层包过滤)
** 概述:**
1、识别应用层数据
2、根据应用层,生成server-map表
3、匹配server-map,匹配成功创建会话直接转发。
** 开启方法:**
firewall detect ftp #系统默认开启

标签: web安全 网络 安全

本文转载自: https://blog.csdn.net/weixin_53466908/article/details/127675820
版权归原作者 Python-派大星 所有, 如有侵权,请联系我们删除。

“网络安全基础 之 防火墙 双机热备、防火墙类型、组网方式、工作模式、逻辑区域划分”的评论:

还没有评论