0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

安全防御技术之防火墙

网络技术干货圈 来源:CSDN-雨天_ 2023-09-04 09:59 次阅读

防火墙

1、基础

(1)防御对象:授权用户;非授权用户

(2)含义:

防火墙是一种隔离(非授权用户所在区域间)并过滤(对受保护网络中的有害流量或数据包)的设备 --- 在网络拓扑中,一般在核心层的边界

(3)防火墙区域:

根据安全等级来划分

区域拥有不同的安全等级,内网(trust)一般100(满分),外网(untrust)一般是0-1,DMZ一般是50

ba1bf416-4a49-11ee-97a6-92fbcf53809c.png

(防火墙的视角为不同区的视角)(防火墙既可以做交换,又可以做路由)

2、防火墙的发展

(1)包过滤防火墙 --- 访问控制列表技术(ACL) --- 三层技术

简单,速度慢 --- 逐包检测

检查的颗粒度粗 -- 5元组(源地址,目的地址,协议,源端口,目的端口)

(2)代理防火墙 --- 中间人技术 --- 应用层

降低包过滤颗粒度的一种做法,区域之间通信使用固定设备,一般使用代理服务器

代理技术只能针对特定的应用来实现,应用间不能通用

技术复杂,速度慢

能防御应用层威胁,内容威胁

(3)状态防火墙 --- 会话追踪技术(session) --- 三、四层

在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度

首包机制

细颗粒度

速度快

<1> 会话追踪技术:防火墙使用会话追踪技术可以把属于这个流的所有包识别出来。(流相当于会话)

<2> 会话表:记录5元组,还有用户

<3> 首包匹配 --- 策略表;转发匹配 --- 会话表

ACL技术关注流量的全方向,防火墙的安全策略只需要考虑首包。

ba345e7a-4a49-11ee-97a6-92fbcf53809c.png

查询和创建会话:

ba73a5d0-4a49-11ee-97a6-92fbcf53809c.png

防火墙不会为重传的包生成一个会话表:

ba9086fa-4a49-11ee-97a6-92fbcf53809c.png

[1] 首包可匹配策略,然后策略可创建会话表。若首包成功创建会话,第二个包由目标IP返回。第三个包在会话老化时间过后才进入防火墙,将会被丢弃。此时将发第四个重传的包,无法通过。

[2] 只有第一个包(时间上的第一个;会话开始的第一个)才可建立会话,后面的包无法建立会话

例1:状态防火墙工作流程

(防火墙默认deny any。一般将防火墙基础的路由交换功能做完后,需做放行处理)

bab3c69c-4a49-11ee-97a6-92fbcf53809c.pngbacfe99e-4a49-11ee-97a6-92fbcf53809c.png

文字描述:

[1] PC端在trust区发出数据包,首包来到防火墙。防火墙默认拒绝所有,首先查看路由策略(ACL---逐条匹配),匹配关于2.2.2.2的路由,关于2.2.2.2的策略是permit。

[2] 只要路由策略放行,防火墙会为该流量创建一个会话表(session)。(会话:和目标通信的一系列连续的包)

[3] 流量从防火墙出去到达baidu.com后,然后返回防火墙。到达防火墙,先查看会话表。若流量属于这个会话表,将会转发到目标IP地址2.2.2.2。

(首包匹配策略,策略创建会话表,后续直接通过会话表来实现通行)

例2:问题解决

baf1fdfe-4a49-11ee-97a6-92fbcf53809c.png

(4)UTM(统一威胁管理) --- 深度包检查技术 --- 应用层(串接式检查)

将原来分散的设备进行统一管理,有利于节约资金和成本

统一有利于各设备之间协作

设备负荷较大,检查也是由逐个模块完成的,速度慢

bb00d5e0-4a49-11ee-97a6-92fbcf53809c.png

(5)NGFW(下一代防火墙) --- 现代防火墙

<1> 说明:Gartner(IT咨询公司)将NFGW看做不同信任级别的网络之间的一个线速(wire-speed)实时防护设备,能够对流量执行深度检测,并阻断攻击

<2> NFGW必须具备以下几个能力

传统防火墙功能

IPS与防火墙得到深度集成

应用感知和全栈可视化 --- (识别并展示出流量所属类别和路径)

利用防火墙以外的信息,增强管控能力

bb17fc02-4a49-11ee-97a6-92fbcf53809c.png

3、防火墙区域

bb51ab3c-4a49-11ee-97a6-92fbcf53809c.png

(1)区域的作用:

安全策略都基于区域实施

同一区域内部发生的数据流动是不存在风险的,不需要实施任何安全策略

不同区域之间发生数据流动,才会触发设备的安全检查,并实施相应的安全策略

一个接口只能属于一个区域,而一个区域可以有多个接口

(2)优先级的作用

每个安全区域都有自己的优先级,用1-100的数字表示,数字越大,则代表该区域内的网络越可信。报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。报文在两个方向上流动时,将会触发不同的安全检查。

bb6a0a88-4a49-11ee-97a6-92fbcf53809c.png

(3)区域划分:

<1> DMZ区域:

两个防火墙之间的空间被称为DMZ。与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低

服务器内外网都可以访问,但是依旧与内网隔离

<2> Trust区域:

可信任的接口,是局域网的接口,此接口外网和DMZ无法访问。外部和DMZ不能访问trust口

<3> Untrust区域:

不信任的接口,此接口是用来接internet的,这个接口的信息内网不接受。可以通过untrust口访问DMZ,但不能访问trust口

(4)新建区域和接口划入区域

<1> 新建区域

bbcfb2e8-4a49-11ee-97a6-92fbcf53809c.png

<2> 接口划入区域

bbfe1ab6-4a49-11ee-97a6-92fbcf53809c.png

(5)扩展:

域基本分为:local、trust、dmz、untrust这四个是系统自带不能删除,除了这四个域之外,还可以自定义域

域等级local>trust>dmz>untrust,自定义的域的优先级是可以自己调节的

域与域之间如果不做策略默认是deny的,即任何数据如果不做策略是通不过的,如果是在同一区域的就相当于二层交换机一样直接转发

当域与域之间有inbound和outbound区分,华为定义了优先级地的域向优先级高的域方向就是inbound,反之就是outbound

4、防火墙接口及模式设置

(1)图形化配置

<1> 开启网卡:

bc29fa96-4a49-11ee-97a6-92fbcf53809c.png

<2> 设置ensp云:

bc3e37d6-4a49-11ee-97a6-92fbcf53809c.png
bc4db724-4a49-11ee-97a6-92fbcf53809c.png
bc858d98-4a49-11ee-97a6-92fbcf53809c.png

<3> 防火墙配置:

1> 将防火墙的GE 0/0/0接口与云服务连接(每个厂商的防火墙都有一个管理口,华为默认管理口是G0/0/0)

bc9fbb3c-4a49-11ee-97a6-92fbcf53809c.png

2> 配置防火墙接口IP(与云同网段)以及放通所有协议

Username:admin---默认用户名是admin
Password:---默认密码是Admin@123
Thepasswordneedstobechanged.Changenow?[Y/N]:y---一般首次登入必须修改密码
Pleaseenteroldpassword:
Pleaseenternewpassword:
Pleaseconfirmnewpassword:

[USG6000V1-GigabitEthernet0/0/0]disth
#
interfaceGigabitEthernet0/0/0
ipaddress192.168.0.1255.255.255.0---默认ip地址为192.168.0.1,修改ip地址和回环网卡同一网段
[USG6000V1-GigabitEthernet0/0/0]ipadd169.254.7.1---修改ip地址
[USG6000V1-GigabitEthernet0/0/0]disth
#
interfaceGigabitEthernet0/0/0
ipaddress169.254.7.1255.255.255.0---修改成功
(图形化登录使用https协议登录的,所以需将协议放通)
[USG6000V1-GigabitEthernet0/0/0]service-manageallpermit---此处放通所有协议

3> 测试:

bcc0cca0-4a49-11ee-97a6-92fbcf53809c.png

<4> 登录防火墙图形化界面

通过ip地址登入:https://IP:8443

1> 继续访问

bcd85ffa-4a49-11ee-97a6-92fbcf53809c.png

2> 登入

bd179c74-4a49-11ee-97a6-92fbcf53809c.png

3> 登入成功

bd253258-4a49-11ee-97a6-92fbcf53809c.png

(2)接口模式配置

<1> 将接口加入区域

法1:

bd3faa98-4a49-11ee-97a6-92fbcf53809c.png

法2(此处将接口划入区域顺便配置接口IP):

bd55c4fe-4a49-11ee-97a6-92fbcf53809c.png

<2> 配置接口IP

bd55c4fe-4a49-11ee-97a6-92fbcf53809c.png

(3)接口对

有些厂商将接口对称为 --- 虚拟网线

5、防火墙策略

(1)定义与原理

定义:网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信

原理:防火墙的基本作用是保护特定网络免受“不信任”的安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙

(2)安全策略配置

bd9b42a4-4a49-11ee-97a6-92fbcf53809c.png

(3)安全策略工作流程

bdc1dc7a-4a49-11ee-97a6-92fbcf53809c.png

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    9123

    浏览量

    85324
  • 防火墙
    +关注

    关注

    0

    文章

    417

    浏览量

    35608
  • 端口
    +关注

    关注

    4

    文章

    963

    浏览量

    32051
  • ACL
    ACL
    +关注

    关注

    0

    文章

    61

    浏览量

    11976
收藏 人收藏

    评论

    相关推荐

    公司防火墙应做的10件事

    传统的防火墙重在抵御简单的威胁和入侵攻击。企业级防火墙增加了统一威胁管理(UTM)服务,如防病毒、防间谍软件、入侵防御、内容过滤,甚至一些防垃圾邮件服务,以增强威胁防御功能。穿越
    发表于 03-13 22:50

    【电脑安全技巧】电脑防火墙的使用技巧

    防火墙是最容易受到攻击的吗?事实上,系统标准版的防火墙使用也是有技巧的,现在就让番茄花园系统下载的小编介绍五种最佳实践方法,以减少黑客入侵心爱的电脑,让您的电脑系统既流畅又安全。 一、所有的
    发表于 07-12 15:59

    发现 STM32 防火墙安全配置

    前言 STM32 防火墙(Firewall)能够构建一个与其它代码隔离的带有数据存储的可信任代码区域,结合RDP、WRP以及PCROP,可用来保护安全敏感的算法。在STM32 Cube固件库参考代码
    发表于 07-27 11:04

    高防独立主机租用/托管的注意事项:防火墙的基本特征

    的时候就要求防火墙自身要具有非常强的抗击入侵本领。这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的
    发表于 12-03 16:06

    千兆高端防火墙技术特征与发展趋势

    防火墙的未来是向着高性能,强大的QoS保证能力和深度防御三个方向发展。***,金融电力等关键行业的数据中心、大型电信运营商的网络流量巨大,业务复杂。多业务下的流量剧增不仅对带宽提出了很高的要求,而且对防火墙多业务支持的功能和性能
    发表于 07-11 07:38

    防火墙多级安全参考模型的设计与实现

    为了更好地利用防火墙阻止拒绝服务攻击和信息泄露,针对防火墙发展现状和存在的问题基础上,提出了防火墙多级安全参考模型,设计了对防火墙的自主和强
    发表于 02-27 16:09 21次下载
    <b class='flag-5'>防火墙</b>多级<b class='flag-5'>安全</b>参考模型的设计与实现

    防火墙技术

    防火墙技术.ppt 防火墙及相关概念包过滤型防火墙代理服务型防火墙 防火墙的配置分布
    发表于 06-16 23:41 0次下载

    基于免疫的防火墙系统安全技术研究

    针对各种网络攻击技术,特别是对防火墙的攻击技术进行了系统的研究,在分析典型的网络攻击技术的基础上,提出了一个防火墙
    发表于 09-11 15:47 13次下载

    防火墙防火墙的渗透技术

    防火墙防火墙的渗透技术 传统的防火墙工作原理及优缺点: 1.(传统的)包过滤防火墙的工作原理   包过滤是在IP层实现的,因
    发表于 08-01 10:26 1056次阅读

    究竟什么是防火墙

    究竟什么是防火墙?     Q:防火墙初级入门:究竟什么是防火墙?     A:防火墙定义
    发表于 02-24 11:51 779次阅读

    防火墙,防火墙的作用有哪些?

    防火墙,防火墙的作用有哪些? 防火墙技术简介 ——Internet的发展给政府结构、企事业单位带来了革命性的改
    发表于 04-03 16:17 8330次阅读

    防火墙穿透技术及其应用探析

    技术的实际应用。防火墙穿透技术可以穿透现阶段主流防火墙。研究表明,防火墙穿透技术能够有效保护互联
    发表于 12-28 09:54 6次下载

    防火墙管理是什么?需要做哪些工作?

    防火墙管理是指对企业或组织中的防火墙设备进行配置、监控、维护和管理的一系列活动。防火墙作为保护网络安全的重要设备,需要进行有效的管理以确保其正常运行并提供有效的
    的头像 发表于 07-06 14:11 857次阅读

    WAF与防火墙:Web 应用程序和网络防火墙

    标准网络防火墙和WAF可防御不同类型的威胁,因此选择正确的防火墙至关重要。仅靠网络防火墙无法保护企业免受网页攻击,只能通过 WAF 功能来预防。因此如果没有应用程序
    的头像 发表于 07-24 17:34 834次阅读
    WAF与<b class='flag-5'>防火墙</b>:Web 应用程序和网络<b class='flag-5'>防火墙</b>

    Web 应用程序和网络防火墙之间的异同

    在复杂的网络攻击和数字创新的现时代,企业了解他们面临的威胁以及他们的安全防御措施可以保护他们免受哪些威胁至关重要。防火墙尤其如此,因为Web应用程序防火墙和网络防火墙可以保护组织免受不
    的头像 发表于 08-01 00:26 929次阅读
    Web 应用程序和网络<b class='flag-5'>防火墙</b>之间的异同