鄂城网站建设,公司建一个网站多少费用,wordpress入站密码,旅游搜索量环比增188%一.防火墙的基本知识---------------------------------------------------------
防火墙#xff1a;可以想象为古代每个城市的城墙#xff0c;用来防守敌军的攻击。墙#xff0c;始于防#xff0c;忠于守。从古至今#xff0c;墙予人以安全之意。 防火墙的主要职责在于可以想象为古代每个城市的城墙用来防守敌军的攻击。墙始于防忠于守。从古至今墙予人以安全之意。 防火墙的主要职责在于控制和防护----安全策略----防火墙可以根据安全策略来抓取流量之后做出对应的动作。 防火墙的分类 吞吐量防火墙同一时间处理的数据量 防火墙的发展史 传统防火墙包过滤防火墙----一个严格的规则表
判断信息数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口五元组
工作范围网络层、传输层3-4层
和路由器的区别普通的路由器只检查数据包的目标地址并选择一个达到目的地址的最佳路径防火墙除了要解决目的路径以外还需要根据已经设定的规则进行判断“是与否”。
技术应用包过滤技术。
优势对于小型站点容易实现处理速度快价格便宜
劣势规则表会很快变得庞大复杂难运维只能基于五元组现在很多安全风险集中在应用层中所以仅关注三、四层的数据无法做到完全隔离安全风险逐包进行包过滤检测将导致防火墙的转发效率过低成为网络中的瓶颈。 在ACL列表中华为体系下末尾是没有隐含规则的即如果匹配不到ACL列表则认为ACL列表不存在之前可以通过则还可以通过但是在防火墙的安全策略中为了保证安全末尾会隐含一条拒绝所有的规则即只要没有放通的流量都是不能通过的。 传统防火墙应用代理防火墙----每个应用添加代理
判断信息所有应用层的信息包
工作范围应用层7层
和包过滤防火墙的区别包过滤防火墙基于三、四层通过检测报头进行规则表匹配应用代理防火墙工作于7层检查所用应用层信息包每个应用需要添加对应的代理服务
技术应用应用代理技术
优势检查了应用层的数据
劣势检查效率低、配置运维难度极高可伸缩性差因为需要防火墙进行先一步安全识别所以转发效率会降低原来的三层握手就会变成六次握手可伸缩性差每一种应用代理程序需要代理的话都需要开放对应的代理功能如果没有开发则无法进行代理。 传统防火墙状态检测防火墙----首次检查建立会话表
判断信息IP地址、端口号、TCP标记
工作范围链路数据层、网络层、传输层2-4层
和包过滤防火墙的区别包过滤防火墙基于三、四层通过检测报头进行规则表匹配是包过滤防火墙的升级版一次检查建立会话表后期直接按会话表放行
技术应用状态检测技术
优势主要检查3-4层能够保证效率对TCP防御较好
劣势应用层控制较弱不检测数据区
“会话表表技术”----首包检测 入侵检测系统IDS----网络摄像头
部署方式旁路部署可多点部署
工作范围2-7层
工作特点根据部署位置监控流量的攻击事件属于一个事后呈现的系统相当于网络上的监控摄像头
目的传统防火墙只能基于规则执行“是”或“否”的策略IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情 IDS----一种侧重于分线管理的安全机制----滞后性
旁路部署例子 在UTM中个功能板块是串联工作所以检测效率并没有得到提升。但是因为集成在了一台设备中维护成本得到了降低。 改进点核心相较于之前UTM中各模块的串联部署变为了并联部署仅需要一次检测所有 功能模块都可以做出对应的处理。大大提高了工作效率。 防火墙的其他功能: 防火墙的控制
带内管理 --- 通过网络环境对设备进行控制 --- telnetsshweb --- 登录设备和被登 录设备之间网络需要联通 带外管理 --- console线mini usb线 华为防火墙的MGMT接口G0/0/0出厂时默认配置的有IP地址192.168.0.1/24并且 该接口默认开启了DHCP和web登录的功能方便进行web管理。
admin/Admin123----初始登录的用户名和密码
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit --- 开启管理口web登录服务 防火墙的管理员 用户进行登录时的认证方式
本地认证 --- 用户信息存储在防火墙上登录时防火墙根据输入的用户名和密码进行 判断如果通过验证则成功登录。
服务器认证 --- 和第三方的认证服务器对接登录时防火墙将登录信息发送给第三方 服务器之后由第三方服务器来进行验证通过则反馈给防火墙防火墙放行。 一般适用于企业本身使用第三方服务器来存储用户信息则用户信息不需要重复创 建。
服务器/本地认证 --- 优先使用服务器认证如果服务器认证失败则也不进行本地认 证。只有在服务器对接不上的时候采用本地认证 信任主机 #1 --- 可以添加一个地址或者网段则其含义是只有在该地址活着地址段内可以登录管理设 备 --- 最多可以添加10条信息。 接口对默认为trunk链路 bypass --- 4个千兆口其实是两队bypass口。如果设备故障则两个接口直通保证流量不中 断。 虚拟系统 --- VRF技术相当于逻辑上将一台设备分割为多台设备平行工作互不影响。需 要通过接口区分虚拟系统的范围。
管理口和其余物理接口默认不在同一个虚拟系统中。 安全区域
Trust --- 一般企业内网会被规划在trust区域中
Untrust --- 一般公网区域被规划在untrust区域中 我们将一个接口规划到某一个区域则代表该接口所连接的所有网络都被规划到该区 域。
Local --- 指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的 凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置 并且我们无法将接口划入该区域。接口本身属于该区域。
Dmz --- 非军事化管理区域 --- 这个区域主要是为内网的 优先级 --- 1 - 100 --- 越大越优 --- 流量从优先级高的区域到优先级低的区域 --- 出方向 outbound 流量从优先级低的区域到高的区域 --- 入方向 inbound 路由模式
透明模式防火墙相当于一天链路 旁路模式IDS检测 混合模式 二.防火墙的工作模式--------------------------------------------------------
安全策略
传统的包过滤防火墙 --- 其本质为ACL列表根据数据报中的特征进行过滤之后对比规制 执行动作。
五元组 --- 源IP目标IP源端口目标端口协议 安全策略 --- 相较于ACL的改进之处在于首先可以在更细的颗粒度下匹配流量另一方面 是可以完成内容安全的检测。 安全策略 ---
1访问控制允许和拒绝
2内容检测 --- 如果允许通过则可以进行内容检测 安全策略的内容:
内容均为流量匹配条件 每一项之间的关系为“与”关系如果不进行选择则默认为any 多选的里面每一项之间的关系为“或” 防火墙的状态检测和会话表
基于流的流量检测 --- 即设备仅对流量的第一个数据包进行过滤并将结果作为这一条数据流 的“特征”记录下来记录在本地的“会话表”之后该数据流后续的报文都将基于这个 特征来进行转发而不再去匹配安全策略。这样做的目的是为了提高转发效率。 状态检测防火墙访问过程 当web服务器给PC进行回报时来到防火墙上防火墙会将报文中的信息和会话表的信 息进行性比对如果发现报文中的信息与会话表中的信息相匹配并且符合协议规 范对后续报文的定义则认为该数据包属于PC可以允许该数据包通过。 USG6000V1]display firewall session table --- 查看会话表
[USG6000V1]display firewall session table verbose -- 查看会话表详情 状态检测技术
状态检测主要检测协议逻辑上的后续报文以及仅允许逻辑上的第一个报文通过后创建 会话表。可以选择开启或者关闭该功能。 [USG6000V1]firewall session link-state tcp check 数据通过防火墙的流程 三.防火墙的认证----------------------------------------------------------
FTP的原理
FTP --- 文件传输协议 TP协议是一个典型的C/S架构的协议
Tftp --- 简单文件传输协议 1FTP相较于Tftp存在认证动作
2FTP相较于Tftp拥有一套完整的命令集 FTP的工作模式 FTP工作过程中存在两个进程一个是控制进程另一个是数据的传输进程所以需要使用 两个端口号2021 并且FTP还存在两种不同的工作模式 --- 主动模式被动模式 主动模式
被动模式 像FTP这种使用多个端口号的协议叫做多通道协议双通道协议
ASPF --- 针对应用层的包过滤 --- 用来抓取多通道协议中协商端口的关键数据包比如FTP工作时所生成的随机端口号之后将端口算出将结果记录在sever-map表中相当于开辟了一条隐形的通道。 防火墙的用户认证
防火墙管理员登录认证 --- 检验身份的合法性划分身份权限
用户认证 --- 上网行为管理的一部分 用户行为流量 --- 上网行为管理三要素
用户认证的分类
上网用户认证 --- 三层认证 --- 所有的跨网段的通信都可以属于上网行为。正对这些行 为我们希望将行为和产生行为的人进行绑定所以需要进行上网用户认证。
入网用户认证 --- 二层认证 --- 我们的设备在接入网络中比如插入交换机或者接入wifi 后需要进行认证才能正常使用网络。
接入用户认证 --- 远程接入 --- VPN --- 主要是校验身份的合法性 认证方式
本地认证 --- 用户信息在防火墙上整个认证过程都在防火墙上执行
服务器认证 --- 对接第三方服务器防火墙将用户信息传递给服务器之后服务器将 认证结果返回防火墙执行对应的动作即可
单点登录 --- 和第三方服务器认证类似 登录名 --- 作为登录凭证使用一个认证域下不能重复
显示名 --- 显示名不能用来登录只用来区分和标识不同的用户。如果使用登录名区分则也 可以不用写显示名。显示名可以重复。
账号过期时间 --- 可以设定一个时间点到期但是如果到期前账号已登录到期后防火墙 不会强制下线该用户。
允许多人同时使用该账号登录 私有用户 --- 仅允许一个人使用第二个人使用时将顶替到原先的登录 公有用户 --- 允许多个人同时使用一个账户
IP/MAC绑定 --- 用户和设备进行绑定IP地址/MAC地址 单向绑定 --- 该用户只能在这个IP或者这个MAC或者这个IP/MAC下登录但是其他 用户可以在该设备下登录 双向绑定 --- 该用户只能在绑定设备下登录并且该绑定设备也仅允许该用户登录。
安全组和用户组的区别 --- 都可以被策略调用但是用户组在调用策略后所有用户组成员 以及子用户组都会生效而安全组仅组成员生效子安全组不生效。 认证策略
Portal --- 这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网 认证仅需要流量触发对应的服务时弹出窗口输入用户名和密码进行认证。
免认证 --- 需要在IP/MAC双向绑定的情况下使用则对应用户在对应设备上登录时就可以 选择免认证不做认证。
匿名认证 --- 和免认证的思路相似认证动作越透明越好选择匿名认证则登录者不需要输 入用户名和密码直接使用IP地址作为其身份进行登录。 认证域
如果这里的上网方式选择protal认证则认证策略里面也要选择portal认证。
如果这里的上网方式选择免认证或者单点登录则认证策略中对应动作为免认证
如果认证策略中选择的是匿名认证则不触发这里的认证动作 不同的认证域之间是或的关系 四.NAT配置------------------------------------------------------------------
防火墙的NAT
静态NAT --- 一对一
动态NAT --- 多对多
NAPT --- 一对多的NAPT --- easy ip --- 多对多的NAPT
服务器映射 源NAT --- 基于源IP地址进行转换。我们之前接触过的静态NAT动态NATNAPT都属于源 NAT都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网
目标NAT --- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为 了保证公网用户可以访问内部的服务器
双向NAT --- 同时转换源IP和目标IP地 源NAT是在安全策略之后执行。 在配置NAT时我们要注意黑洞路由的配置 配置黑洞路由 --- 黑洞路由即空接口路由在NAT地址池中的地址建议配置达到这个地址指 向空接口的路由不然在特定环境下会出现环路。主要针对地址池中的地址和出接口地址 不再同一个网段中的场景。 决定了使用的是动态NAT还是NAPT的逻辑。选择了就是NAPT。 高级
NAT类型 ---
五元组NAT --- 针对源IP目标IP源端口目标端口协议 这五个参数识别出 的数据流进行端口转换
三元组NAT --- 针源IP源端口协议 三个参数识别出的数据流进行端口转换 在保留地址中的地址将不被用于转换使用 动态NAT创建完后触发访问流量后会同时生成两条server-map的记录其中一条是反向记 录。反向记录小时前相当于是一条静态NAT记录外网的任意地址在安全策略放通的情况 下是可以访问到内网的设备。 基于端口的NAT转换是不会生成server-map表的。 三元组
P2P --- peer to peer 因为P2P应在端口转换的情况下识别五元组将导致P2P客户端之间无法直接访问不符合 五元组的筛选条件所以这种场景下可以使用三元组NAT放宽筛选条件保证P2P客户端 之间可以正常通信。 源NAT在安全策略之后执行目标NAT在安全策略之前执行因为自动生成的安全策略的目标 地址是转换后的地址说明需要先进行转换再触发安全策略 双向NAT 多出口NAT
源NAT 第一种根据出接口创建多个不同的安全区域再根据安全区域来做NAT 第二种出去还是一个区域选择出接口来进行转换
目标NAT 第一种也可以分两个不同的区域做服务器映射 第二种可以只设置一个区域但是要注意需要写两条策略分别正对两个接口的地址 池并且不能同时勾选允许服务器上网否则会造成地址冲突 五.防火墙的智能选路--------------------------------------------------------
防火墙的智能选路
就近选路 --- 我们希望在访问不同运营商的服务器是通过对应运营商的链路。这样可以提高 通信效率避免绕路。 策略路由 -- PBR
传统的路由仅基于数据包中的目标IP地址查找路由表。仅关心其目标所以在面对 一些特殊的需求时传统路由存在短板缺乏灵活性适用场景比较单一。 策略路由本身也是一种策略策略主要先匹配流量再执行动作。策略路由可以从多维 度去匹配流量之后执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐 含一条不做策略的规则即所有没有匹配上策略路由的流量都将匹配传统路由表进行 转发。 如果存在多条策略路由则匹配规则也是自上而下逐一匹配如果匹配上了则按照 对应动作执行不再向下匹配 DSCP优先级 --- 相当于在数据包中设定其转发的优先级利用的是IP头部中tos字段 之后下游设备会根据优先级来差异化保证流量的通过。 动作 转发 --- 可以定义其转发的方式 转发其它虚拟系统-----VRE 不做策略路由 监控 --- 当策略是单出口时如果这里写的下一跳和出接口不可达报文将直接被FW丢 弃。为了提高可靠性我们可以配置针对下一跳的监控即使下一跳不可达也可以继 续查找本地路由表而不是直接丢弃。 智能选路 --- 全局路由策略 基于链路带宽的负载分担 基于链路带宽的负载分担会按照多条链路的带宽比例来分配流量。并且如果配置的过 载保护阈值则一条链路达到过载保护阈值之后除了已经创建会话表的流量依然可以 从该接口通过外该接口将不再参与智能选路需要新建会话表的流量将从其余链路中 按照比例转发。 会话保持---开启该功能后流量首次通过智能选路的接口后会创建会话表后续命中会话表的流量都将通过同一个接口来进行转发选择源IP和目的IP的效果时所有相 同源IP或者目标IP的流量将通过同一个接口转发。 --- 应对于不希望链路频繁切换的场 景。 在链路接口中可以配置就近选路。 基于链路质量进行负载分担 丢包率---FW会发送若干个探测报文默认5个将统计丢包的个数。丢包率等于会应报文个数除以探测报文个数。丢包率是最重要的评判依据。
时延 --- 应答报文接受时间减去探测报文发送时间。FW会发送若干个探测报文取平均 时延作为结果进行评判
延时抖动 --- 两次探测报文时延差值的绝对值。FW会发送若干个探测报文取两两延时 抖动的平均值。 首次探测后会将结果记录在链路质量探测表中之后将按照表中的接口来进行选路。 表中的老化时间结束后将重新探测。 基于链路权重进行负载分担 权重是由网络管理员针对每一条链路手工分配的分配之后将按照权重比例分配流 量。 基于链路优先级的主备备份 优先级也是由网络管理员针对每一条链路手工分配的。 执行逻辑
1接口没有配置过载保护 优先使用优先级最高的链路转发流量其他链路不工作。直到优先级最高的链路故 障则优先级次高的链路开始转发流量。其余链路依旧不工作。
2接口配置了过载保护 优先使用优先级最高的链路转发流量其他链路不工作如果最高的链路达到或超 过保护阈值则优先级次高的链路开始工作。 DNS透明代理 DNS透明代理的前提是开启就近选路 防火墙的可靠性 防火墙和路由器在进行可靠性备份时路由器备份可能仅需要同步路由表中的信息就可以了 但是防火墙是基于状态检测的所以还需要同步记录状态的会话表等。所以防火墙需要 使用到双机热备技术。 双机 --- 目前防火墙的双机热备技术仅支持两台设备 热备 --- 两台设备同时运行在一台设备出现故障的情况下另一台设备可以立即替代 原设备。 VRRP技术 虚拟路由器冗余协议 --- “实的不行来虚的” Initialize --- 在VRRP中如果一个接口出现故障之后则这个接口将进入到该过渡状态 VRRP备份组之间是相互独立的当一台设备上出现多个VRRP组时他们之间的状态无法 同步。 VGMP ---- VRRP Group Management Protocol 华为私有协议 --- 这个协议就是将一台设备上的多个VRRP组看成一个组之后统一进行 管理统一切换的协议。以此来保证VRRP组状态的一致性。
接口故障切换场景 在防火墙的双机热备中我们不论时VRRP组还是VGMP组主备的叫法发生了变化主 统一被称为Active备被称为Standby 1假设主设备的下联口发生故障则这个接口的vrrp状态将由原来的Active状态切换为 initialize状态。这种情况下按照VRRP自己的机制主设备将无法发送周期保活报文 则备设备在超过超时时间后将切换为主的状态。但是因为这里启用VGMP在则VRRP 切换状态将由VGMP接管VRRP的机制名存实亡。
2VGMP组发现VRRP组出现变化将降低自身的优先级。说明在VGMP组中也 存在优先级的概念。一开始每台设备中都会存在两个VGMP组一个叫做Active组 另一个叫做Standby组。Active组初始的默认优先级为65001Standby组初始的默认 优先级为65000不同版本的防火墙这个优先级的定义不同。一开始我们FW1将 两个VRRP组都拉入VGMP_ACTIVE组中因为ACTIVE组的状态时active所以里面 两个vrrp组的状态也是activeVGMP组的状态决定了VRRP组的状态FW2同理。当 一个VRRP组的状态变为initialize则VGMP则的优先级-2。之后原主设备会发送一 个VGMP请求报文给对端里面包含了自己当前变化后的优先级。
3当原备设备接收到请求报文后看到里面的优先级时64999而低于自身的65000则会将自己的VGMP_STANDBY组的状态由原来的standby切换为active。同时发送 一个同意请求报文给原主设备。
4原主设备接收到对方的应答报文之后将会把自身VGMP_ACTIVE组的状态由原来的 ACTIVE切换为STANDBY。
5在原备设备发送应答报文的同时因为其VGMP组的状态切换所以其内部的 VRRP组状态也将由原来的standby转换为avtive。原主设备在接受到对方的应答报文之 后因为将其VGMP组状态切换所以同时将其内部的VRRP组状态由原来的active状 态切换为standby状态注意故障接口依旧保持init的状态。
6原备设备会通过接口向上下联链路发送免费ARP报文切换交换机的MAC地址表。 流量将被切换到原被设备上。 HRP --- Huawei Redundancy Protocol --- 华为冗余协议 这是一款华为的私有协议 --- 备份配置信息和状态信息。 HRP备份有一个前提就是两台设备之间必须专门连一根用于备份的线路这跟线路我 们称为心跳线广义上任何两台设备之间的链路都可以叫做心跳线 心跳线的接口必须是一个三层接口需要配置对应的IP地址。这条备份数据的链路不受 路由策略限制直连场景。非直连场景依然需要配置安全策略。 HRP协议本身算是VGMP协议的一部分 HRP的心跳线也会传递心跳报文用于检测对端是否处于工作状态。这个周期时间默认 1s逻辑和vrrp一样只有主设备会周期发送备设备仅监听即可如果在三个周期 内都没有收到HRP的心跳报文则将认定原主设备故障则将进行失效判断认定自 身为主。 VGMP的报文也是通过这条心跳线发送的。 配置信息 --- 策略对象网络里面的一些配置都属于配置信息。接口IP地址路由 之类的不同步因为这些是需要在双机组建之前配置的 状态信息 --- 会话表server-map黑名单白名单。。。 第一种备份方式 --- 自动备份
默认开启自动备份可以实时备份配置信息。但是自动备份不能立即同步状态信息。 一般是在主设备上状态生成后一段时间10s左右同步到备设备上。 Hrp standby config enable --- 这个命令可以让备设备上的配置同步到主设备上。
第二种备份方式 --- 手工备份
由管理员手工触发可以立即同步配置信息以及状态信息。
第三种备份方式 --- 快速备份
该模式仅使用在负载分担的工作方式下。 因为负载分担的场景下两台设备都需要处于工作状态为了避免因为状态信息同步不 及时导致业务流量中断所以该场景下默认开启快速备份。 快速备份可以实时同步状态信息。但是该方式不同步配置信息。 各场景过程分析
1主备形成场景 2主备模式下接口故障切换场景 3主备场景主设备故障切换 --- 主故障之后将无法周期发送HRP心跳报文则备设备监 听超时进行设备状态的切换。
4主备场景主设备接口故障恢复切换
没有开启抢占 --- 没有抢占则原主设备保持备份状态
开启抢占 5负载分担 6负载分担接口故障场景
