防御保护 笔记整理

news2024/11/16 1:47:54

一、ASPF--- 针对应用层的包过滤

ASPF --- 针对应用层的包过滤 --- 用来抓取多通道协议中协商端口的关键数据包,之后,将端 口算出,将结果记录在sever-map表中,相当于开辟了一条隐形的通道。

FTP --- 文件传输协议
FTP协议是一个典型的C/S架构的协议
Tftp --- 简单文件传输协议
1,FTP相较于Tftp存在认证动作
2,FTP相较于Tftp拥有一套完整的命令集
FTP工作过程中存在两个进程,一个是控制进程,另一个是数据的传输进程,所以,需要使用
两个端口号20,21
并且,FTP还存在两种不同的工作模式 --- 主动模式,被动模式

主动模式:

被动模式:

Request: PORT  192,168,1,1,8,2 --- 前面是IP地址信息,后面的8,2代表的是端口号信息,计算方法 --- 8 * 256 + 2 = 2050
像FTP这种使用多个端口号的协议叫做多通道协议(双通道协议),默认FTP协议开启了ASPF。

2. 防火墙认证策略

Portal --- 这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网认证,仅需要流量触发对应的服务时,弹出窗口,输入用户名和密码进行认证。
免认证 --- 需要在IP/MAC双向绑定的情况下使用,则对应用户在对应设备上登录时,就可以选择免认证,不做认证。
匿名认证 --- 和免认证的思路相似,认证动作越透明越好,选择匿名认证,则登录者不需要输入用户名和密码,直接使用IP地址作为其身份进行登录。

防火墙的NAT

静态NAT --- 一对一
动态NAT --- 多对多
NAPT --- 一对多的NAPT --- easy ip
           --- 多对多的NAPT
服务器映射
源NAT --- 基于源IP地址进行转换。我们之前接触过的静态NAT,动态NAT,NAPT都属于源NAT,都是针对源IP地址进行转换的。源NAT主要目的是为了保证内网用户可以访问公网
目标NAT --- 基于目标IP地址进行转换。我们之前接触过的服务器映射就属于目标NAT。是为 了保证公网用户可以访问内部的服务器
双向NAT --- 同时转换源IP和目标IP地址
源NAT是在安全策略之后执行。

二、NAT策略配置

配置黑洞路由 --- 黑洞路由即空接口路由,在NAT地址池中的地址,建议配置达到这个地址指 向空接口的路由,不然,在特定环境下会出现环路。(主要针对地址池中的地址和出接口地址 不再同一个网段中的场景。)
决定了使用的是动态NAT还是NAPT的逻辑。

高级配置:

NAT类型 --- 五元组NAT --- 针对源IP,目标IP,源端口,目标端口,协议 这五个参数识别出 的数据流进行端口转换
                ---三元组NAT --- 针源IP,源端口,协议 三个参数识别出的数据流进行端口转换
在保留地址中的地址将不被用于转换使用
动态NAT创建完后,触发访问流量后会同时生成两条server-map的记录,其中一条是反向记 录。反向记录小时前,相当于是一条静态NAT记录,外网的任意地址,在安全策略放通的情况 下,是可以访问到内网的设备。
基于端口的NAT转换,是不会生成server-map表的。

三元组:

P2P --- peer to peer
因为P2P应在端口转换的情况下,识别五元组,将导致P2P客户端之间无法直接访问,不符合 五元组的筛选条件,所以,这种场景下可以使用三元组NAT,放宽筛选条件,保证P2P客户端 之间可以正常通信。
目标NAT:
服务器映射
安全区域 --- 指的是需要访问服务器的设备所在的区域。
源NAT在安全策略之后执行,目标NAT在安全策略之前执行(因为自动生成的安全策略的目标地址是转换后的地址,说明需要先进行转换,再触发安全策略)

双向NAT:

多出口NAT

源NAT:
第一种:根据出接口,创建多个不同的安全区域,再根据安全区域来做NAT
第二种:出去还是一个区域,选择出接口来进行转换
目标NAT:
第一种:也可以分两个不同的区域做服务器映射
第二种:可以只设置一个区域,但是要注意,需要写两条策略分别正对两个接口的地址
池,并且,不能同时勾选允许服务器上网,否则会造成地址冲突。

三、防火墙的智能选路

 就近选路 --- 我们希望在访问不同运营商的服务器是,通过对应运营商的链路。这样可以提高通信效率,避免绕路。

策略路由 -- PBR

       传统的路由,仅基于数据包中的目标IP地址查找路由表。仅关心其目标,所以,在面对一些特殊的需求时,传统路由存在短板,缺乏灵活性,适用场景比较单一。策略路由本身也是一种策略,策略主要先匹配流量,再执行动作。策略路由可以从多维度去匹配流量,之后,执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐含一条不做策略的规则,即所有没有匹配上策略路由的流量,都将匹配传统路由表进行转发。
        如果存在多条策略路由,则匹配规则也是自上而下,逐一匹配,如果匹配上了,则按照
对应动作执行,不再向下匹配。

智能选路 --- 全局路由策略

防火墙的可靠性

       防火墙和路由器在进行可靠性备份时,路由器备份可能仅需要同步路由表中的信息就可以了,
但是,防火墙是基于状态检测的,所以,还需要同步记录状态的会话表等。所以,防火墙需要使用到 双机热备技术 。
      双机 --- 目前防火墙的双机热备技术仅支持两台设备
      热备 --- 两台设备同时运行,在一台设备出现故障的情况下,另一台设备可以 立即替代原设备。

VRRP技术

虚拟路由器冗余协议 

主(Master)路由器:在同一个备份组中的多个路由器中,只有一台处于活动状态,只有主路由器能转发以虚拟IP地址作为下一跳的报文。

备份(Backup)路由器:在同一个备份组中的多个路由器中,除主路由器外,其他路由器均为备份路由器,处于备份状态。

主路由器通过组播方式定期向备份路由器发送通告报文(HELLO),备份路由器则负责监听通告报文,以此来确定其状态。由于VRRPHELLO报文为组播报文,所以要求备份组中的各路由器通过二层设备相连,即启用VRRP时上下行设备必须具有二层交换功能,否则备份路由器无法收到主路由器发送的HELLO报文。如果组网条件不满足,则不能使用VRRP。

Initialize --- 在VRRP中,如果一个接口出现故障之后,则这个接口将进入到该过渡状态VRRP备份组之间是相互独立的,当一台设备上出现多个VRRP组时,他们之间的状态无法同步。

VGMP ---- VRRP Group Management Protocol

华为私有协议 --- 这个协议就是将一台设备上的多个VRRP组看成一个组,之后统一进行管理,统一切换的协议。以此来保证VRRP组状态的一致性。

在防火墙的双机热备中,我们不论时VRRP组还是VGMP组,主备的叫法发生了变化,主
统一被称为Active,备被称为Standby

1,假设主设备的下联口发生故障,则这个接口的vrrp状态将由原来的Active状态切换为
initialize状态。(这种情况下,按照VRRP自己的机制,主设备将无法发送周期保活报文,
则备设备在超过超时时间后将切换为主的状态。但是,因为这里启用VGMP在,则VRRP
切换状态将由VGMP接管,VRRP的机制名存实亡。)
2,VGMP组发现VRRP组出现变化,将降低自身的优先级。(说明,在VGMP组中,也
存在优先级的概念。一开始,每台设备中都会存在两个VGMP组,一个叫做Active组,
另一个叫做Standby组。Active组初始的默认优先级为65001,Standby组初始的默认
优先级为65000(不同版本的防火墙,这个优先级的定义不同)。一开始,我们FW1将
两个VRRP组都拉入VGMP_ACTIVE组中,因为ACTIVE组的状态时active,所以,里面
两个vrrp组的状态也是active(VGMP组的状态决定了VRRP组的状态),FW2同理。当
一个VRRP组的状态变为initialize,则VGMP则的优先级-2。)之后,原主设备会发送一
个VGMP请求报文给对端,里面包含了自己当前变化后的优先级。
3,当原备设备接收到请求报文后,看到里面的优先级时64999,而低于自身的65000,
则会将自己的VGMP_STANDBY组的状态由原来的standby切换为active。同时,发送
一个同意请求报文给原主设备。
4,原主设备接收到对方的应答报文之后,将会把自身VGMP_ACTIVE组的状态由原来的
ACTIVE切换为STANDBY。
5,在原备设备发送应答报文的同时,因为其VGMP组的状态切换,所以,其内部的
VRRP组状态也将由原来的standby转换为avtive。原主设备在接受到对方的应答报文之
后,因为将其VGMP组状态切换,所以,同时将其内部的VRRP组状态由原来的active状
态切换为standby状态(注意,故障接口依旧保持init的状态。)
6,原备设备会通过接口向上下联链路发送免费ARP报文,切换交换机的MAC地址表。
流量将被切换到原被设备上。

HRP --- Huawei Redundancy Protocol --- 华为冗余协议

这是一款华为的私有协议 --- 备份配置信息和状态信息。
HRP备份有一个前提,就是两台设备之间必须专门连一根用于备份的线路,这跟线路我们称为心跳线(广义上,任何两台设备之间的链路都可以叫做心跳线)
心跳线的接口必须是一个三层接口,需要配置对应的IP地址。这条备份数据的链路不受路由策略限制(直连场景。非直连场景依然需要配置安全策略。)
HRP协议本身算是VGMP协议的一部分
HRP的心跳线也会传递心跳报文,用于检测对端是否处于工作状态。这个周期时间默认1s,逻辑和vrrp一样,只有主设备会周期发送,备设备仅监听即可,如果在三个周期内,都没有收到HRP的心跳报文,则将认定原主设备故障,则将进行失效判断,认定自身为主。
VGMP的报文也是通过这条心跳线发送的。

第一种备份方式 --- 自动备份

默认开启自动备份,可以实时备份配置信息。但是,自动备份不能立即同步状态信息。
一般是在主设备上状态生成后一段时间(10s左右)同步到备设备上。
Hrp standby config enable --- 这个命令可以让备设备上的配置同步到主设备上。

第二种备份方式 --- 手工备份

由管理员手工触发,可以立即同步配置信息以及状态信息。

第三种备份方式 --- 快速备份

该模式仅使用在 负载分担 的工作方式下。
因为负载分担的场景下,两台设备都需要处于工作状态,为了避免因为状态信息同步不
及时,导致业务流量中断,所以,该场景下,默认开启快速备份。
快速备份可以实时同步状态信息。但是,该方式不同步配置信息。

各场景过程分析

1,主备形成场景

2,主备模式下,接口故障切换场景 

3,主备场景,主设备故障切换 --- 主故障之后,将无法周期发送HRP心跳报文,则备设备监听超时,进行设备状态的切换。
4,主备场景,主设备接口故障恢复切换

没有开启抢占 --- 没有抢占则原主设备保持备份状态。

开启抢占:

5,负载分担

6,负载分担接口故障场景 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1420963.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

数学算法知识编程

(1)辗转相除法求最大公约数(gcd) 辗转相除法, 又名欧几里德算法(Euclidean algorithm),是求最大公约数的一种方法。它的具体做法是:用较小数除较大数,再用出现…

I.MX6ULL_Linux_驱动篇(53)linux USB驱动

I.MX6ULL USB 接口简介 I.MX6ULL 内部集成了两个独立的 USB 控制器,这两个 USB 控制器都支持 OTG 功能。I.MX6ULL 内部 USB 控制器特性如下: ①、有两个 USB2.0 控制器内核分别为 Core0 和 Core1,这两个 Core 分别连接到 OTG1 和OTG2。 ②、…

基于STM32的CAN通信协议选择与实现

基于STM32的控制器区域网络(CAN)通信协议是一种常见的实时数据通信方案,适用于需要高速、可靠通信的应用场景,比如汽车网络、工业控制系统等。在这里,我们将详细介绍基于STM32的CAN通信协议的选择与实现。 ✅作者简介&…

使用Win32API实现贪吃蛇小游戏

目录 C语言贪吃蛇项目 基本功能 需要的基础内容 Win32API 介绍 控制台程序部分指令 设置控制台窗口的长宽 设置控制台的名字 控制台在屏幕上的坐标位置结构体COORD 检索指定标准设备的句柄(标准输入、标准输出或标准错误) 光标信息结构体类型CONSOLE_CUR…

excel给数据库初始化/旧数据处理(自动sql拼装)

思路: 首先导出数据到excel编写单条数据操作的sql利用excel CONCATENATE 函数自动生成,每一行数据的操作sql 小技巧:对于需要套娃的字段值,可以加一个临时列同样使用CONCATENATE函数进行sql拼装 案例: 1.临时列:CONCATENATE(C2, …

HBase(docker版)简单部署和HBase shell操作实践

文章目录 说明HBase部署访问HBase Shell常见命令数据定义语言(DDL) 数据操作语言(DML)通用操作访问HBase WebUI 说明 本文适合HBase初学者快速搭建HBase环境,练习常见shell使用本文参考资料 《大数据技术原理和应用》(林子雨 编著 第三版)zh…

一文彻底搞懂redis数据结构及应用

文章目录 1. Redis介绍2.五种基本类型2.1 String字符串2.2 List列表2.3 Set集合2.4 Zset有序集合2.5 Hash散列 3. 三种基本类型3.1 Bitmap (位存储)3.2 HyperLogLogs(基数统计)3.3 geospatial (地理位置) 4. Stream详解4.1 Stream…

NTRU-Based GSW-Like FHE:Faster Blind Rotation

参考文献: [XZD23] Xiang, B., Zhang, J., Deng, Y., Dai, Y., Feng, D. (2023). Fast Blind Rotation for Bootstrapping FHEs. In: Handschuh, H., Lysyanskaya, A. (eds) Advances in Cryptology – CRYPTO 2023. CRYPTO 2023. Lecture Notes in Computer Scien…

C++_list

目录 一、模拟实现list 1、list的基本结构 2、迭代器封装 2.1 正向迭代器 2.2 反向迭代器 3、指定位置插入 4、指定位置删除 5、结语 前言: list是STL(标准模板库)中的八大容器之一,而STL属于C标准库的一部分,因此在C中可以直接使用…

实现扫码登录

扫码登录是如何实现的? 二维码信息里主要包括唯一的二维码ID,过期的时间,还有扫描状态:未扫描、已扫描、已失效。 扫码登录流程 用户打开网站登录页面的时候,浏览器会向二维码服务器发送一个获取登录二维码的请求。二维码服务器收…

雨云VPS搭建幻兽帕鲁服务器,PalWorld开服联机教程(Windows),0基础保姆级教程

雨云VPS用Windows系统搭建幻兽帕鲁私服,PalWorld开服联机教程,零基础保姆级教程,本教程使用一键脚本来搭建幻兽帕鲁服务端,并讲了如何配置游戏参数,如何更新服务端等。 最近这游戏挺火,很多人想跟朋友联机…

顶象点选验证码

要放假了好颓废。。。。 没啥事儿干,就把之前剩余的顶象点选系列的验证码类型看了下。 之前分享了一篇关于这个顶象的滑块的 DX算法还原_dx算法还原_逆向学习之旅-CSDN博客,感兴趣可以去看看。 咱们以文字点选为例: def get_image_arry(s…

Spring Boot如何统计一个Bean中方法的调用次数

目录 实现思路 前置条件 实现步骤 首先我们先自定义一个注解 接下来定义一个切面 需要统计方法上使用该注解 测试 实现思路 通过AOP即可实现,通过AOP对Bean进行代理,在每次执行方法前或者后进行几次计数统计。这个主要就是考虑好如何避免并发情况…

AI绘画:PhotoMaker Win11本地安装记录!

昨天介绍一个叫PhotoMaker的AI绘画开源项目。挺不错的! 通过这个项目可以快速制作特定人脸的AI绘画作品,相比传统的技术效果会好很多,效率也高很多。 今天趁热打铁,本地电脑装装看,并且记录,分享一下&#…

城建档案数字化管理系统

城市建设档案数字化管理系统是指将城市建设相关档案纸质化资料转换为数字化形式,并通过信息技术手段进行存储、检索、管理和利用的系统。该系统旨在解决传统纸质档案管理存在的问题,提高档案管理的效率和准确性。 专久智能城市建设档案数字化管理系统主要…

自学C语言-7

第7章 循环控制 生活中总会有许多简单而重复的工作,为完成这些重复性工作,需要花费很多时间。使用循环语句来处理程序开发中简单、重复性的工作是最好不过的了。 本章致力于使读者了解while、do…while和for3种循环结构的特点,以及转移语句的…

Python第三方扩展库Matplotlib

Python第三方扩展库Matplotlib Matplotlib 是第三方库,不是Python安装程序自带的库,需要额外安装,它是Python的一个综合性的绘图库,提供了大量的绘图函数用于创建静态、动态、交互式的图形和数据可视化,可以帮助用户创…

Python实现时间序列分析AR定阶自回归模型(ar_select_order算法)项目实战

说明:这是一个机器学习实战项目(附带数据代码文档视频讲解),如需数据代码文档视频讲解可以直接到文章最后获取。 1.项目背景 时间序列分析中,AR定阶自回归模型(AR order selection)是指确定自回…

Springboot使用数据库连接池druid

springboot框架中可以使用druid进行数据库连接池,下面介绍druid在springboot中使用和参数配置介绍。 数据库连接池(Druid)是一种用于管理数据库连接的机制,其工作原理和常见使用方法如下: 原理:数据库连接…

Android 12 系统开机动画

一、查找Android系统提供的开机动画 在Android系统源码目录下输入 find ./ -name "bootanimation.zip" 如图所示 所输出的路劲即为bootanimation.zip所在路径,每个系统都不一样,建议用命令查找 二、复制到对应目录下 android12\out\target\…