防火墙入侵与检测 day02
防火墙安全策略
- 安全区域
- 防火墙的工作模式
- 防火墙的分类
- 基本配置
- 安全策略
- 状态检测机制
- 安全策略配置案例
- FTP
- 主动模式
- 被动模式
- FTP防火墙设置总结
- ASPF
- 帮助FTP数据报文穿越防火墙
- 分片缓存
- 分片过程
- 重组过程
- 长连接
Local 区域的安全级别是100,Trust 区域的安全级别是85,DMZ 区域的安全级别是50,Untrust 区域的安全级别是5
防火墙的转发原理(基于会话(状态)转发)
基于状态(会话 session)回包 监控——会话表,ping包会话 大概10s
防火墙可做 单向访问控制。 路由器没法做 单向(路由器必须A->B,B->A)
即使防火墙 在ISP做了静态路由,也通不了。
五元组 标识: 源地址,目标地址,源端口号,目标端口号,协议号
安全区域
三个安全区域:Trust、DMZ、Untrust
- Trust 区域:通常用来定义内部用户所在的网络
- DMZ 区域:通常用来定义内部服务器所在的网络 (受信任程度处于内部网络和外部网络之间的安全区域)
- Untrust 区域:通常用来定义Internet等不安全的网络
安全域间的数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound)。
Inbound:报文从低级别的安全区域向高级别的安全区域流动时为入方向
Outbound:报文从高级别的安全区域向低级别的安全区域流动时为出方向
———————————————————————————————————————
华为防火墙默认分为4个安全区域。
(1)Trust区域:本区域内的网络受信程度高,通常用来定义内部用户所在的网络。
(2)DMZ区域:本区域内的网络受信程度中等,通常用来定义公共服务器所在的区域。
(3)Untrust区域:本区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。
(4)LOCAL区域,防火墙自身所在的区域
在华为防火墙中,每个安全区域都有一个安全级别,用1-100表示,数字越大,代表这个区域越可信。默认情况下,LOCAL区域安全级别100、Trust区域为85,DMZ为50,Untrust区域为5。
防火墙的工作模式
防火墙能够工作在三种模式下:路由模式、透明模式、混合模式。注意三种模式的区别。
系统默认是路由模式
路由模式:当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。采用路由模式时,可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。
透明模式:如果防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,此时防火墙对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到防火墙的存在。采用透明模式时,只需在网络中像放置网桥(bridge)一样插入该防火墙设备即可,无需修改任何已有的配置。与路由模式相同,IP报文同样经过相关的过滤检查(但是IP报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。防火墙透明模式的典型组网方式如下
混合模式:如果防火墙既存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况,此时启动VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)功能的接口需要配置IP地址,其它接口不配置IP地址。
防火墙的分类
包过滤防火墙
- 对需要转发的数据包,先获取包头信息,然后和设定过的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。
- 实现包过滤的核心技术是访问控制列表,满足条件的数据包才可以通过
- 包过滤防火墙的工作是通过查看数据包的源地址、目的地址或端口来实现的,由于防火墙只是工作在OSI的第三层(网络层)和第四层(传输层),因此包过滤的防火墙的一个非常明显的优势就是速度,缺点由于无法对数据报的内容进行核查,一次无法过滤或审核数据报的内容。
应用型代理防火墙也可以被称为代理服务器式防火墙,它的安全性要高于包过滤型产品,需要更高的开销。用户经过建立会话状态并通过认证及授权后,才能访问到受保护的网络。压力较大的情况下,代理服务器式防火墙工作很慢
动态包过滤防火墙也可以被称为基于状态监测的防火墙。对于新建立的应用连接,状态检测型防火墙先检查预先设置的安全规则,允许符合规则的连接通过;记录下该连接的相关信息,生成状态表;对该连接的后续数据包,只要是符合状态表,就可以通过,更加灵活。
入侵检测IDS和入侵防御IPS
IDS(入侵检测系统)就是对网络、系统的运行状况依照一定的安全策略进行监视,尽可能发现各种攻击企图。IDS的部署位置:服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。以旁路模式接入。
IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。IPS一般是以串联的形式直接嵌入到网络流量中的。
入侵检测系统使用的方法有异常检测和误用检测两种。其中异常检测能检测出未知的入侵行为。
source-address是或的关系
基本配置
PC1:
IP地址:10.1.1.1
网关:10.1.1.254
PC2:
IP地址:11.1.1.1
网关:11.1.1.254
PC2:
IP地址:12.1.1.1
网关:12.1.1.254
需求:
1.允许PC1和PC3互访,PC2可访问PC3,但PC3不允许访问PC2
2.不允许PC1访问PC2,PC2可以访问PC1
3.协议ICMP
USG6000V
划分区域
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add int g1/0/0
[USG6000V1-zone-trust]add int g1/0/1[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add int g1/0/2
配置接口IP地址
#
interface GigabitEthernet1/0/0undo shutdownip address 10.1.1.254 255.255.255.0
#
interface GigabitEthernet1/0/1undo shutdownip address 11.1.1.254 255.255.255.0
#
interface GigabitEthernet1/0/2undo shutdownip address 12.1.1.254 255.255.255.0
策略
[USG6000V1]security-policy
[USG6000V1-policy-security]dis this
#
security-policyrule name pc1_pc3_icmp_policysource-zone trustsource-zone untrustdestination-zone trustdestination-zone untrustsource-address 10.1.1.1 32source-address 11.1.1.1 32source-address 12.1.1.0 24destination-address 10.1.1.1 32destination-address 12.1.1.1 32service icmpaction permitrule name pc1_pc2_icmp_policysource-zone trustdestination-zone trustsource-address 10.1.1.1 32destination-address 11.1.1.1 32service icmpaction deny
#
测试验证
PC1 Ping PC3
再分别测试:PC1 Ping PC2、PC2 Ping PC1、PC2 Ping PC3、PC3 Ping PC2
USG5500V
[SRG]firewall zone trust
[SRG-zone-trust]add int g0/0/1
[SRG-zone-trust]add int g0/0/2
[SRG]firewall zone untrust
[SRG-zone-untrust]add int g0/0/3
interface GigabitEthernet0/0/1undo shutdownip address 10.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/2undo shutdownip address 11.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/3undo shutdownip address 12.1.1.254 255.255.255.0
#
policy interzone trust untrust inboundpolicy 0action permitpolicy service service-set icmppolicy source 12.1.1.1 0policy destination 10.1.1.1 0
#
policy interzone trust untrust outboundpolicy 0action permitpolicy service service-set icmppolicy source 10.1.1.1 0policy source 11.1.1.1 0policy destination 12.1.1.1 0
#
policy zone trustpolicy 0action denypolicy service service-set icmppolicy source 10.1.1.1 0policy destination 11.1.1.1 0
#
安全策略
安全策略分类
- 域间安全策略
- 域内安全策略
- 接口包过滤
安全策略主要包含的配置内容
策略匹配条件:源安全域,目的安全域,源地址,目的地址,用户,服务,应用,时间段
策略动作:允许,禁止
内容安全Profile(可选):反病毒,入侵防御,URL过滤,文件过滤,内容过滤,应用行为控制,邮件过滤
跨天的,晚上8点到早上6点,写法:20:00-24:00,00:00:06:00
时间段设置
创建时间段,并进入时间段视图
time-range time-range-name
设置绝对时间段
absolute-range start-time start-date [ to end-time end-date ]
设置周期时间段
period-range start-time to end-time week-days &<1-7>
状态检测机制
状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发
状态检测机制关闭状态下,即使首包没有经过设备,后续包只要通过设备也可以生成会话表项
会话表为了保证能够进出
后续包只看会话表
如果会话表没了,要经过安全策略检查,再次创建会话表
显示会话表简要信息:dis firewall session table
显示会话表详细信息:dis firewall session table verbose
非首包经过防火墙来进行状态监测,效果会出现一直重传
1.所有ip地址配置,开启http服务
2.防火墙划分安全区域
[SRG]firewall zone untrust
[SRG-zone-untrust]add int g0/0/1
[SRG]firewall zone trust
[SRG-zone-trust]add int g0/0/2
3.FW配置安全策略和静态路由
ip route-static 10.1.1.0 24 11.1.1.1
ip route-static 192.168.1.0 24 12.1.1.1policy interzone untrust trust inbound
policy 0
action permitdis cur | inc ip route
4.路由器配置策略路由
4.路由器配置策略,将10.1.1.0网段返回的流量引流到FW1
acl 2000
rule permit source 10.1.1.0 0.0.0.255
#
traffic classifier A operator or
if-match acl 2000
#
traffic behavior A
redirect ip-nexthop 11.1.1.2 引流重定向
#
traffic policy A 关联
classifier A behavior A
#
int g0/0/0 策略应用在接口上
traffic-policy A inbound
5.在R1的g1/0/0接口抓包
6.R1 Ping 11.1.1.2 (虽然通不了,观察下)
7.客户端访问http://10.1.1.1,观察包情况
8.关闭状态检测功能
undo firewall session link-state check
重复第七步
一直处于请求连接
关闭状态检测 undo firewall session link-state check
6000v的策略配置
security-policy
rule name http_policy
action permit
安全策略配置案例
FTP
默认情况下,服务器21端口作为命令端口,20端口为数据端口。但被动模式下就有所差别了
帮助FTP数据报文穿越防火墙
firewall interzone trust untrust
display firewall server-map
display firewall session table
主动模式:FTP服务器主动向FTP客户端发起数据连接
被动模式:FTP服务器被动接收FTP客户端发起的数据流连接
主动还是被动,关键是看服务器
主动模式
主动模式是FTP的默认模式,也称为PORT模式。
1.在主动模式下,客户端会开启N和N+1两个端口,N为客户端的命令端口,N+1为客户端的数据端口。
第一步,客户端使用端口N连接FTP服务器的命令端口21,建立控制连接并告诉服务器我这边开启了数据端口N+1。
第二步,在控制连接建立成功后,服务器会使用数据端口20,主动连接客户端的N+1端口以建立数据连接。这就是FTP主动模式的连接过程。
客户端的命令端口和数据端口实际中并不是 完全N和N+1的关系,只是两个端口比较接近,
主动模式的利弊:
主动模式对FTP服务器的管理有利,因为FTP服务器只需要开启21端口的“准入”和20端口的“准出”即可。
但这种模式对客户端的管理不利,因为FTP服务器20端口连接客户端的数据端口时,有可能被客户端的防火墙拦截掉。
被动模式
第一步,客户端的命令端口N主动连接服务器命令端口21,并发送PASV命令,告诉服务器用“被动模式”,控制连接建立成功后,服务器开启一个数据端口P,通过PORT命令将P端口告诉客户端。
第二步,客户端的数据端口N+1去连接服务器的数据端口P,建立数据连接
被动模式的利弊:
被动模式对FTP客户端的管理有利,因为客户端的命令端口和数据端口都是“准出”,windows防火墙对于“准出”一般是不拦截的,所以客户端不需要任何多余的配置就可以连接FTP服务器了。
但对服务器端的管理不利。因为客户端数据端口连到FTP服务器的数据端口P时,很有可能被服务器端的防火墙阻塞掉。
FTP防火墙设置总结
1.FTP主动模式下防火墙设置
(1)服务器没有“物理防火墙”的情况下,只需要在服务器操作系统中开启21端口的准入,20端口的准出默认是允许的(Windows系统防火墙默认是不拦截“准出”的)。
(2)服务器有“物理防火墙”的情况下,需要在“物理防火墙”中开启21端口的准入,20端口的准出。
(3)客户端需要设置“允许应用程序通过防火墙”(WinSCP.exe、FlashFXP等)
2.FTP主动模式下防火墙设置
(1)服务器需要开启21端口准入,并设置被动模式数据端口范围P,并在防火墙中开启P的准入。
(2)客户端一般不需要设置任何防火墙,因为N和N+1一般是可以出去的。
ASPF
ASPF ( Application Specific Packet Filter) 是一种高级通信过滤,它检查应用层协议信息并且监控连接的应用层协议状态。对于特定应用协议的所有连接,每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。
丰富的ASPF功能保证开展业务时安全性得到保证
帮助FTP数据报文穿越防火墙
只能在5500做
aspf对多通道协议的支持
Server Map的产生
- 转发多通道协议
- NAT Server或SLB时
- NAT NO-PAT
- 转发QQ/MSN、TFTP等STUN类型协议
分片缓存
补充一下IP数据报的知识
一个IP数据报时由首部和数据两部分所组成的。首部的前一部分为固定长度,共20字节,这里用到的字段有:
- 首部长度,典型的IP数据报首部长度是20字节
- 总长度:总长度指首部和数据之和的长度,超过下层MTU值的时候,必须分片,其中以太网的MTU为1500字节。
- 标志:标志字段中的最低位为MF MF=1表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。
标志字段中间的一位记为DF,意思是“不能分片”。只有当DF=0时,才允许分片。 - 片偏移:分片在原分组中的相对位置片,偏移以8个字节为偏移单位。
分片过程
重组过程
通俗来讲就是:
某报文长度是 1400字节,MTU=1000字节,那么怎么分片?
分片:
MTU=1000B-20=980B
980/8=12…20
满足片偏移/8是整数倍,要能成组,采用976的值
1400-20=1380
1380-976B=404
①长度;T=976+20=996B,MF=1,片偏移=0
②长度;T=404+20=424B,MF=0,片移值=122(976/8得到的结果)
重组:
(996-20 ) + (424-20) +20 = 1400
长连接
为什么需要长连接?
- 防火墙会话表老化机制,当会话老化时间内无数据通过,将断开此会话连接
- 会话老化机制给特殊业务带来的问题
会话表修改
firewall session aging-time service-set icmp 15
display firewall session aging-time
192.168.250.1:8443
用户:admin
密码:Admin@123
service-management ping
防火墙入侵与检测 day02相关推荐
- 防火墙入侵与检测 day03 详解NAT及配置
NAT NAT类型 NAT技术分类 源NAT 源NAT 地址池 no-pat和pat 出接口地址方式(Easy IP) 源NAT策略 源NAT配置案例 NAT ALG实现原理 NAT ALG配置案例 ...
- 防火墙入侵于检测——————3、思科 PIX 防火墙和 ASA 防火墙产品线
思科 PIX 防火墙和思科 ASA自适应安全工具模型和特点 PIX防火墙家族 ASA自适应安全工具家族 思科PIX 防火墙 501 安全工具 •Designed for small offices ...
- 防火墙入侵与检测 day06 防火墙虚拟系统
防火墙虚拟系统 虚拟系统简介 虚拟系统实现原理 虚拟系统分流 基于接口的虚拟系统分流 基于VLAN的虚拟系统分流 虚拟系统互访 虚拟系统互访 – 虚拟接口 虚拟系统互访 – 虚拟系统访问根系统 虚拟系 ...
- 安全防御(三)--- IDS、防火墙入侵防御
目录 一.什么是IDS? 二.IDS和防火墙有什么不同? 三.IDS工作原理? 四.IDS的主要检测方法有哪些详细说明? 五.IDS的部署方式有哪些? 六.IDS的签名是什么意思?签名过滤器有什么作用 ...
- 网络安全技术第七章——防火墙技术概述及应用(包过滤防火墙 、代理防火墙、状态检测防火墙、分布式防火墙)
防火墙技术概述及应用 防火墙技术概述及应用 1.防火墙的概念 2.高效可靠的防火墙应具备的基本特性 3.防火墙的基本功能 4.防火墙的基本原理 5.防火墙的类型 (1)包过滤防火墙 (2)代理防火墙 ...
- java实现安全卡模块,一种Java卡防火墙漏洞的检测方法和装置的制造方法
一种Java卡防火墙漏洞的检测方法和装置的制造方法 [技术领域] [0001]本发明涉及智能卡领域,尤其涉及智能卡领域中的一种Java卡防火墙漏洞的检测方法和装置. [背景技术] [0002]Java ...
- 实验十 snort应用、snort2.8.1/3下载、snort入侵防御检测系统部署教程(winxp)
实验十 snort应用.snort2.8.1/3下载.snort入侵防御检测系统部署教程(winxp) 前言:本人为了做病毒防范实验十,找了好久的教程和工具,遇上很多收费和坑,为了使后来人不那么费心特 ...
- 密码学原理与实践_到底什么是防火墙入侵检测密码学身份认证?如何高效建立网络安全知识体系?...
今天杰哥给大家推荐一本新的书籍,名字叫做<网络安全原理与实践>,这本书有一定的阅读门槛,不是一本面向新手或新人的书籍,至少需要你具备网络基础的功底,例如已学习并掌握了我前面推荐的两本书了. ...
- [网络工程师]-防火墙-入侵检测系统IDS
入侵检测是一种主动保护自己免受攻击的网络安全技术.作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全能力(包括安全审计.监视.攻击识别和响应),提高了信息安全基础结构的 ...
最新文章
- 【OpenCV 】直方图均衡化,直方图计算,直方图对比
- 生信小白7行代码画一个高颜值的世界地图
- 性能测试中用LambdaProbe监控Tomcat
- 关于django—模型序列化器类详细内容
- 常见Java面试题 抽象类能使用 final 修饰吗?
- oracle什么是swap分区,linux 安装oracle时swap空间不足
- 算法训练 纪念品分组(java)
- 2021年的电商,要怎么做,才能赚钱呢?
- 小k娱乐网php,zblog仿小k资源模板Zblogphp系统精仿小k资源网主题模板面世啦!特惠福利...
- virtuaBox 连接不上解决办法
- poj 3261 Milk Patterns
- 【优化调度】基于matlab求解共享储能电站工业用户日前经济调度优化问题【含Matlab源码 1103期】
- PHP给下载链接添加内容信息,PHP自动给文章内容添加关联链接方法和示例
- O3 Interchange全面讲解
- ArcGIS Pro 创建tpk
- 医疗对话摘要论文阅读笔记
- 生产制造追溯系统-再说条码打印
- 《linux 网络日志分析与流量监控》记录
- 【阿拉伯数字转中文汉字工具类】
- 多发性硬化功能磁共振成像