0


安全防御:防火墙基本模块

一、接口

1.1 物理接口

三层口 --- 可以配置IP地址的接口

二层口:

  1. 普通二层口
  2. 接口对---“透明网线” --- 可以将一个或者两个接口配置成为接口对,则数据从一个接口进,将不需要查看MAC地址表,直接从另一个接口出;
  3. 旁路检测接口

1.2 虚拟接口

环回接口

子接口

Vlanif

Tunnel

链路聚合

4个千兆Bypass其实是两对Bypass接口 --- 如果设备出现故障,则两个bypass将直接短接,形成通路,不影响网络数据的传输。

虚拟系统---VRF

虚拟系统互通使用的接口,每创建一个虚拟系统,将自动生成一个虚拟接口,仅需要配置IP地址即可 。

添加网关,将自动生成一条指向网关的缺省

这里管理的优先级高于安全策略,安全策略未放通,但是,这里勾选,则可以正常访问

接口对默认是trunk干道

二、区域

  • Trust --- 信任区
  • Untrust --- 非信任区
  • Local --- 防火墙上所有的接口都属于这个区域
  • DMZ --- 非军事化管理区域 --- 放置一些对外开放的服务器

将一个接口划入某一个区域,则代表将这个接口所连接的网络划分到对应区域中,而接口本身,永远属于Local。

优先级 --- 1 - 100 --- 从优先级高的区域到优先级低的区域 ---- 出方向 --- Outbound

                             从优先级低的区域到优先级高的区域 ---- 入方向 ---- inbound

三、模式

3.1 路由模式

1,接口IP地址,区域划分

2,写内网的回报路由

3,安全策略

4,内到外的NAT

5,服务器映射

3.2 透明模式

1,接口配置VLAN,以及划分区域

2,安全策略

3,增加设备的管理接口,用于控制管理设备以及设备的自我升级

3.3 旁路检测模式

3.4 混合模式

四、安全策略

防火墙的安全策略

传统包过滤技术 --- 其本质就是ACL访问控制列表,根据数据包的特征进行过滤,对比规则,执行对应的动作;

这里数据包的特征 --- 数据包的五元组 --- 源IP,目标IP,源端口,目标端口,协议

在安全策略中,可以执行两块内容:

  • 第一块做访问控制,允许或者拒绝通过;
  • 第二块是在允许通过的情况下,可以进行内容安全的检测,一体化检测。

下图中许多都是依靠条件匹配完成策略命中

所有匹配项之间的关系是“与”,一条中如果可以多选,则多个选项之间为“或”关系

五、防火墙的状态检测和会话表技术

主要机制就是以数据流作为单位,仅针对首包进行检测,检测之后,将数据包的特征记录在本地的会话表中,之后,数据流中的其他数据包来到防火墙,不再匹配安全策略,则匹配会话表,根据会话表来进行转发。

回来的数据包会被检测是否符合协议定义的后续报文的要求。

1,会话表技术;2,状态检测技术

5.1 会话表技术

会话表技术 --- 提高转发效率的关键 --- 老化机制

  • 1,会话表老化时间过长 --- 占用资源,导致一些会话无法正常建立
  • 2,老化时间过短 --- 会导致一些需要长时间发送一次的报文强行终端,影响正常业务

在命令行中查看会话表:

<USG6000V1>display firewall session table

5.2 状态检测技术

1,检测数据包是否符合协议的逻辑顺序;

2,检查是否是逻辑上的首包,只有首包可以创建会话表。

状态检测机制可以选择关闭或者开启

[USG6000V1]firewall session link-state tcp check --- 命令行中开启状态检测功能的命令,如果需要关闭,则在该命令前面加undo

5.3 ASPF技术

ASPF是应用层报文过滤(‌Application Specific Packet Filter)‌的简称,‌它是一种针对应用层的包过滤技术,‌也称为基于状态的报文过滤。‌ASPF主要应用于网络安全领域,‌通过维护每个连接的状态并检查应用层协议的数据,‌以决定数据包是否被允许通过。‌这种技术能够检测并阻止不符合规则的数据报文穿过防火墙,‌从而实施内部网络的安全策略。‌ASPF与普通的静态防火墙协同工作,‌以实现对网络流量的更精细控制。‌

ASPF的主要目的是对特定应用层协议的数据流进行深度检查和过滤,‌以便更有效地控制网络流量。‌与传统的网络包过滤技术不同,‌ASPF/ALG能够识别和理解特定应用层协议的内容和行为,‌从而提供更高的网络安全性和合规性。‌这种技术特别适用于多通道协议,‌如FTP,‌其中客户端和服务器之间可能会建立多条连接以传输数据。‌例如,‌在FTP协议中,‌客户端和服务器之间会建立控制连接和数据连接,‌而数据连接的端口号是在控制连接中临时协商的。‌ASPF能够处理这种复杂的连接建立过程,‌确保数据传输的安全性。

FTP --- 文件传输协议

Tftp --- 简单文件传输协议

FTP协议相较于Tftp协议 ---- 1,需要进行认证 2,拥有一套完整的命令集

FTP还分为了两种工作模式 --- 主动模式,被动模式

主动模式:

被动模式:

192,168,1,2,8,2 --- IP地址为:192.168.1.2,端口号:8 * 256 + 2 = 2050

向FTP这样的多进程的协议我们叫多通道协议

ASPF --- 针对应用层的包过滤 --- 将识别到的端口信息记录在server-map的表中,在根据这个表中的记录,创建会话表。

默认FTP开启ASPF。

六、用户认证

防火墙管理员认证 ---- 校验登录者身份合法性

用户认证 --- 上网行为管理中的一环

上网用户认证 --- 三层认证 --- 将用户和行为进行绑定

入网用户认证 --- 二层认证

接入用户认证 --- VPN --- 对身份合法性进行认证

认证方式

本地认证

服务器认证

单点登录 --- 和服务器认证的逻辑类似

认证域 --- 可以定义用户的认证方式以及用户的组织结构

登录名 --- 用于登录的凭证,同一个认证域下不可以重复

显示名 --- 用来方便区分用户,不用的登录使用,可以重复,也不是必要项

在到期之前,登录到期后不会强制下线,主动下线后,将无法再次登录

允许多人同时使用该账号登录

私有用户

公有用户

单向绑定 --- 该用户只能在设定的IP或者MAC或者IP/MAC的设备上登录,但该设备也可以让其他用户登录 。

双向绑定 --- 该用户可以在设定的IP或者MAC或者IP/MAC的设备上登录,且其他用户不允许在该设备上登录 。

安全组和用户组 --- 安全组和用户组都可以关联策略,但是,用户组关联的策略将递归执行,即其下子用户组均需遵循策略,安全组不递归执行,只有选中的安全组执行策略。

认证策略


Portal --- 网页认证,在触发需要认证的流量后,将提供网页认证界面,需要在界面中输入用户明和密码进行认证

免认证 --- 认证透明化,在符合单点登录或者IP/MAC双向绑定的前提下,可以不需要进行认证环节,直接通过IP/MAC地址信息来追溯用户信息

匿名认证 --- 通过流量中的IP地址来作为用户的身份标识,不需要输入用户名和密码

Portal认证 --- 则认证策略里面的动作需要选择protal;

免认证 --- 则认证策略里面需要选择免认证

单点登录 --- 则认证策略里面也选择免认证

如果认证策略里面选择匿名认证,则不触发这里的认证方式两个认证域之间是“或”的关系

标签: 安全 网络 防火墙

本文转载自: https://blog.csdn.net/AXDRXS/article/details/140450310
版权归原作者 Smiling Mr. Rui 所有, 如有侵权,请联系我们删除。

“安全防御:防火墙基本模块”的评论:

还没有评论