防火墙——网络环境支持

news2024/11/15 11:35:42

目录

网络环境支持

防火墙的组网

web连接上防火墙

web管理口

让防火墙接到网络环境中

​编辑

管理员用户管理

缺省管理员

接口

配置一个普通接口

创建安全区域

路由模式

透明模式

混合模式

防火墙的安全策略

防火墙转发流程

与传统包过滤的区别

创建安全策略

会话表技术

状态检测技术

ASPF协议

FTP与TFTP

FTP两种工作模式

数据传输端口号的确定

ASPF与FTP


网络环境支持

防火墙的组网
  • 带内管理

  • Telnet,SSH,web,SNMP

  • 带外管理

    • Console、MINI USB

web连接上防火墙
web管理口
  • 在 G0/0/0 初上配有IP地址192.168.0.1/24,自动开启了web控制

  • 用户名:admin

  • 密码:Admin@123 登陆后要求更改密码,选择Y,密码设复制点

  • 进入G0/0/0口:

    • [USG6000V1-GigabitEthernet0/0/0]service-manage all permit --- 开启管理服务
让防火墙接到网络环境中
  • 不要用公网的本地上网网卡

  • 创建一张本地换回网

管理员用户管理

缺省角色说明
系统管理员(system-admin)拥有除审计功能以外的所有权限。
配置管理员(device-admin)拥有业务配置和设备监控权限。
配置管理员(监控)(device-admin(monitor))拥有设备监控权限。
审计管理员(audit-admin)配置审计策略和查看审计日志的专用管理员角色。
用户登记命令等级名称说明
00参观级可使用网络诊断工具命令( ping. tracert )、从本设备出发访问外部设备的命令( Telnet客户端命令)、部分display命令等。
10 and 1监控级用于系统维护,可使用display等命令。
20,1 and 2配置级可使用业务配置命令,包括路由、各个网络层次的命令,向用户提供直接网络服务。
3-150,1,2 and 3管理级文件系统、FTP、TFTP下载、命令级别设置命令以及用于业务故障诊断的debugging命令等。文件系统、FTP、TFTP下载、命令级别设置命令以及用于业务故障诊断的debugging命令等。
缺省管理员
账号密码角色说明
adminAdmin@123系统管理员首次登录使用此管理员通过Web界面或Console口登录设备。然后根据需要创建更多管理员。只有系统管理员有创建其他管理员的权限。
audit-adminAdmin@123审计管理员审计管理员拥有配置审计策略、查看审计日志、获取AV及IPS攻击取证数据包、查看及导出所有日志(沙箱检测日志除外》的权限。其中配置审计策略、查看审计日志、获取AV及IPS攻击取证数据包的权限只有审计管理员拥有。其他角色的管理员没有。只有审计管理员audit-admin可以设置审计日志的权限管理,其他审计管理员角色不能设置审计日志的权限管理.
api-adminAdmin@123API管理员

译过调用API访问FW.

  • 认证方式

    • 本地认证 --- 用户密码信息存储在防火墙本地,有防火墙判断是否通过认证

    • 服务器认证 --- 对接第三方服务器,用户信息存储在第三方服务器上,由防火墙将用户信息推送给服务器,由服务器进行判断,并返回结果,防火墙做出登录与否的操作。

    • 服务器/本地认证 --- 正常情况使用服务器认证,如果服务器认证失败,则直接认证失败,不进行本地认证,只有在服务器对接失败的时候,才采取本地认证。

  • 信任主机 --- 只有信任主机中的地址或者网段才能登录控制设备最多可以添加10条信任主机,如果没有配置,则不做限制

接口

接口 --- 物理接口

  • 三层口 --- 可以配置IP地址的接口

  • 二层口

    • 普通二层口

    • 接口对 --- “透明网线” --- 可以将一个或者两个接口配置成为接口对,则

    • 数据从一个接口进,将不需要查看MAC地址表,直接从另一个接口出;

    • 旁路检测接口

  • 虚拟接口

    • 环回接口

    • 子接口

    • Vlanif

    • Tunnel

    • 链路聚合

  • 虚拟系统 --- VRF

    • 虚拟系统:虚拟设备,用一台设备当多个设备使用。

  • 虚拟接口

  • 虚拟系统互通使用的接口,每创建一个虚拟系统,将自动生成一个虚拟接口,仅需要配置IP地址即可 。

配置一个普通接口

  • 添加网关,将自动生成一条指向网关的缺省

  • 多出口数据向外发送时有多个出口可以使用,可以用于策略路由

    • 缺省路由:默认创建一条本地的缺省

    • 源进源出:在多出口时同一条会话从一个接口出去,会从同一个接口回来

  • 这里管理的优先级高于安全策略,安全策略未放通,但是,这里勾选,则可以正常访问

  • 区域

    • Trust --- 信任区

    • Untrust --- 非信任区

    • Local --- 防火墙上所有的接口都属于这个区域

    • DMZ --- 非军事化管理区域 --- 放置一些对外开放的服务器

    • 将一个接口划入某一个区域,则代表将这个接口所连接的网络划分到对应区域中,而接口本身,永远属于Local。

    • 不同区域间的主机没有安全策略不能互通

创建安全区域

  • 优先级

    • 1 - 100 --- 从优先级高的区域到优先级低的区域 ---- 出方向 --- Outbound

    • 从优先级低的区域到优先级高的区域 ---- 入方向 ---- inbound

  • 接口对:默认是trunk干道,接口对可以直接转发,及一个接口入一定会从接口出,在防火墙上的作用专门让防火墙做流量检测。

  • 链路接口:用于在做策略路由时使用

路由模式
  • 充当路由器

  1. 接口IP地址,区域划分

  2. 写内网的回报路由

  3. 安全策略

  4. 内到外的NAT

  5. 服务器映射

透明模式
  • 充当核心交换机

  1. 接口配置VLAN,以及划分区域

  2. 安全策略

  3. 增加设备的管理接口,用于控制管理设备以及设备的自我升级旁路检测模式

混合模式
  • 既是路由器,也是交换机

防火墙的安全策略
  • 传统包过滤技术---其本质就是ACL访问控制列表,根据数据包的特征进行过滤,对比规则,执行对应的动作;

  • 这里数据包的特征---数据包的五元组---源IP,目标IP,源端口,目标端口,协议

传统网络的特点新时代网络特点
用户等于IP(例如市场部=192.168.1.0/24),用户的区分只能通过网段或安全区域的划分来实现。如果用户的IP地址不固定,则无法将用户与lP地址关联。因为用户移动办公,IP地址不固定,所以企业管理者希望将用户与IP地址动态关联起来,从而能够以可视化方式查看用户的活动,根据用户信息来审计和控制穿越网络的应用程序和内容。
应用等于端口,例如浏览网页的端口为80,FTP的端口为21。如果想允许或限制某种应用,直接允许或禁用端口就能解决问题。大多数应用集中在少数端口(例如80和443),应用程序越来越Web化(例如微博、Web Mail)。允许访问80端口将不仅仅是允许浏览Internet网页,同时也可使用多种多样的基于网页的应用程序。
网络是黑白分明的,只有安全和不安全之分,即要么是安全的应用,要么是不安全的应用。对于不安全的应用全部拒绝即可,不会影响正常业务。正常的应用程序常常会伴随不安全的流量。网络攻击由传统的单包攻击转为木马、黑客等信息窃取技术,应用和数据库存在大量的风险。
防火墙转发流程
  • 在防火墙收到一个数据报文后,处理和转发流程一共可以分为三个阶段:

    • 1、查询会话表前的基本处理。

    • 2、首包建立会话,非首包查询会话。

    • 3、对查询会话后的报文进行处理。

与传统包过滤的区别

  • 在安全策略中,可以执行两块内容,第一块做访问控制,允许或者拒绝通过;第二块是在允许通过的情况下,可以进行内容安全的检测,一体化检测。

创建安全策略

  • 所有匹配项之间的关系是“与”,一条中如果可以多选,则多个选项之间为“或”关系

  • 防火墙的状态检测和会话表技术

  • 主要机制就是以数据流作为单位,仅针对首包进行检测,检测之后,将数据包的特征记录在本地的会话表中,之后,数据流中的其他数据包来到防火墙,不再匹配安全策略,则匹配会话表,根据会话表来进行转发

会话表技术
  • 概念:会话表是一个动态的数据结构,用于记录网络中各个会话的状态信息。每个会话由一个源IP地址、目的IP地址、源端口、目的端口和传输协议(TCP/UDP)组成。会话表通过跟踪这些信息,能够快速地确定网络流量的合法性,从而有效地过滤和拦截恶意流量。

  • 实现

    • 会话表的创建:当一个合法的网络请求通过防火墙时,防火墙会创建一个会话条目,记录请求的相关信息。这些信息包括源IP地址、目的IP地址、源端口、目的端口和传输协议等。

    • 会话表的更新:当网络流量在同一个会话中继续传输时,防火墙会更新该会话条目的状态信息。例如,当一个TCP连接的后续数据包到达时,防火墙会更新该会话的字节数和时间戳等信息。

    • 会话表的删除:当一个会话结束时,防火墙会从会话表中删除该会话条目。删除操作通常在一段时间后自动执行,以防止会话表过度增长。

  • 会话表技术---提高转发效率的关键---老化机制

    1. 会话表老化时间过长---占用资源,导致一些会话无法正常建立

    2. 老化时间过短---会导致一些需要长时间发送一次的报文强行终端,影响正常业务

  • 查看会话表

  • 查看防火墙丢包原因

display firewall statistics system discard 
状态检测技术
  • 1,检测数据包是否符合协议的逻辑顺序;

  • 2,检查是否是逻辑上的首包,只有首包可以创建会话表。

  • 状态检测机制可以选择关闭或者开启

[USG6000V1]firewall session link-state tcp check --- 命令行中开启状态检测功能的命令,如果需
要关闭,则在该命令前面加undo
  • 防火墙转发流程图

ASPF协议
  • ASPF,即Application Specific Packet Filter,应用层的包过滤,及给予状态的报文过滤。ASPF能够检测试图通过设备的应用层号会话信息,通过维护会话的状态和检查会话报文的协议和端口号等信息,使得某些特殊应用的报文能够正常转发。

  • 记录临时协商的数据连接的表项称为Server-map 表,这相当于在防火墙上开通了“隐形通道”,使得像FTP 这样的特殊应用的报文可以正常转发。当然这个通道不是随意开的,是防火墙分析了报文的应用层信息之后,提前预测到后面报文的行为方式,所以才打开了这样的一个通道。

  • ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议在通信过程中自动协商一些随机端口,在严格安全策略的情况下,这些随机端口发出的报文可能得不到正常转发。通过ASPF功能,可以对这些协议的应用层数据进行解析,识别这些协议协商出来的端口号,从而自动为其开发相应的访问规则,解决这些协议不能正常转发的过程。

FTP与TFTP
  • FTP --- 文件传输协议

  • TFTP --- 简单文件传输协议

区别

  • FTP 是完整、面向会话、常规用途文件传输协议;而 TFTP 用作 bones bare - 特殊目的文件传输协议。

  • 因为 TFTP 不支持验证, 所以Windows NT FTP服务器不支持 TFTP

  • 可以以交互方式使用 FTP; TFTP 允许文件只能单向的传送。

  • FTP 提供用户身份验证; TFTP 却不。

  • FTP 依赖于 TCP 是面向连接并提供可靠的控件; TFTP 依赖 UDP,需要减少开销, 几乎不提供控件。

  • FTP 使用周知 TCP 端口号: 数据和连接对话框的 21 20; TFTP 使用它的文件传输活动 UDP 端口号 69。

  • FTP使用的是TCP21端口,而TFTP使用的是UDP69端口; 一般防火墙都会封TCP端口而不会封UDP的,所以TFTP有时比FTP好用,不过TFTP传输的文件一般较小,你要传大文件就要用FTP了

  • FTP拥有一套完整的命令集;而TFTP没有

FTP两种工作模式
  • 主动模式

  • 被动模式

数据传输端口号的确定

  • 192,168,1,2,8,2 --- IP地址为:192.168.1.2,端口号:8 * 256 + 2 = 2050

  • 向FTP这样的多进程的协议我们叫多通道协议

ASPF与FTP
  • ASPF --- 针对应用层的包过滤 --- 将识别到的端口信息记录在server-map的表中,在根据这个表中的记录,创建会话表

  • server-map表在web界面是不显示的,通过命令行查看

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1946726.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

新手小白的pytorch学习第十一弹-----Computer Vision创建基础模型使用FashionMNIST

目录 PyTorch Computer Vision0 PyTorch 中 Computer vision 的库1 获得一个数据集1.1 查看数据的输入和输出形状1.2 可视化数据 2 准备 DataLoader3 Model 0: 创建一个 baseline model3.1 设置损失函数、优化器和评估指标3.2 创建一个函数来给我们的实验计时3.3 在批量数据集上…

09-软件易用性

易用性是用户体验的一个重要方面,网站建设者一般会沉溺于自己的思维习惯,而造成用户使用的不畅。易用性不仅是专业UI/UE人员需要研究,对于网站建设其他岗位的人也应该了解一定的方法去检验和提升网站的易用性。通常对易用性有如下定义: 易理解…

书生浦语多模态简述——学习笔记

多模态学习概念 多模态它是研究异构且相互连接数据的科学。它涵盖了从原始的器官信号到抽象概念的多种模态。 比如说我们语音和语言是我们理解人类交流的关键模态,而情感和图像就为我们提供了对环境和对象的感知,通过分析这些模态,我们就可…

视频生成【文章汇总】SVD, Sora, Latte, VideoCrafter12, DiT...

视频生成【文章汇总】SVD, Sora, Latte, VideoCrafter12, DiT... 数据集指标 【arXiv 2024】MiraData: A Large-Scale Video Dataset with Long Durations and Structured Captions【CVPR 2024】VBench : Comprehensive Benchmark Suite for Video Generative Models【arxiv 20…

SpringBoot自动配置(面试重点)

自动配置是指: 自动配置是指在应用程序启动时,SpringBoot根据classpath路径下的jar包自动配置应用程序所需的一系列bean和组件,从而减少开发者的配置工作,提高开发效率。 一:Condition Condition是spring4.0之后添加…

HTML5 + CSS3

HTML 基础 准备开发环境 1.vscode 使用 新建文件夹 ---> 左键拖入 vscode 中 2.安装插件 扩展 → 搜索插件 → 安装打开网页插件:open in browser汉化菜单插件:Chinese 3.缩放代码字号 放大,缩小:Ctrl 加号,减号 4.设…

【BUG】已解决:You are using pip version 10.0.1, however version 21.3.1 is available.

You are using pip version 10.0.1, however version 21.3.1 is available. 目录 You are using pip version 10.0.1, however version 21.3.1 is available. 【常见模块错误】 【解决方案】 欢迎来到英杰社区https://bbs.csdn.net/topics/617804998 欢迎来到我的主页&#…

硅纪元视角 | 语音克隆突破:微软VALL-E 2,Deepfake新纪元!

在数字化浪潮的推动下,人工智能(AI)正成为塑造未来的关键力量。硅纪元视角栏目紧跟AI科技的最新发展,捕捉行业动态;提供深入的新闻解读,助您洞悉技术背后的逻辑;汇聚行业专家的见解,…

SSL/TLS和SSL VPN

1、SSL/TLS SSL安全套接字层:是一种加密协议,用于在网络通信中建立安全连接。它在应用层和传输层(TCP/IP)之间提供数据加密、服务器身份验证以及信息完整性验证 SSL只保护TCP流量,不保护UDP协议 TLS:传输层…

自定义webIpad证件相机(webRTC)

该技术方案可用于各浏览器自定义相机开发 相机UI&#xff08;index.html&#xff09; <!DOCTYPE html> <html lang"zh" prew"-1"><head><meta charset"UTF-8"><meta name"viewport"content"user-sc…

江苏 | 南京恒建视角下混凝土企业的根基和未来

第一视角带您走进本期标杆企业&#xff1a;南京恒建混凝土有限公司 “有根基才有未来。” ——走进南京恒建混凝土有限公司的办公楼&#xff0c;首先映入眼帘的就是这句话。所谓万丈高楼平地起&#xff0c;一砖一瓦皆根基。简单几个字&#xff0c;既能看到脚踏实地的坚守&…

机器学习笔记-01-初识基础(问题-解答自查版)

前言 以下问题以Q&A形式记录&#xff0c;基本上都是笔者在初学一轮后&#xff0c;掌握不牢或者频繁忘记的点 Q&A的形式有助于学习过程中时刻关注自己的输入与输出关系&#xff0c;也适合做查漏补缺和复盘。 本文对读者可以用作自查&#xff0c;答案在后面&#xff0…

DNS续集

1、DNS多域名解析 [rootdns ~]# vim /etc/named.rfc1912.zones 复制5行放在最后面 zone "z.a" IN { type master; file "z.a.zone"; allow-update { none; }; }; zone "4.168.192.in-addr.arpa" IN { type ma…

<数据集>玉米地杂草识别数据集<目标检测>

数据集格式&#xff1a;VOCYOLO格式 图片数量&#xff1a;9900张 标注数量(xml文件个数)&#xff1a;9900 标注数量(txt文件个数)&#xff1a;9900 标注类别数&#xff1a;2 标注类别名称&#xff1a;[Maize, Weed] 序号类别名称图片数框数1Maize8439125142Weed959231048…

rk3588s 定制版 USB adb , USB2.0与USB3.0 区别,adb 由typeC 转换到USB3.0(第二部分)

硬件资源&#xff1a; rk3588s 核心板定制的地板 软件资源&#xff1a; 网盘上的 android12 源码 1 硬件上 客户只想使用 type c 接口中的 usb2.0 OTG 。在硬件上&#xff0c;甚至连 CC芯片都没有连接。 关于一些前置的知识。 1 USB2.0 与 USB3.0 的区别。 usb3.0 兼容2.0 …

USUART代码例程和库函数

USUART代码例程和库函数 一、USUART中重要的寄存器二、USART中发送数据。三、接收数据四、USART发送数据示例代码&#xff08;print重定向&#xff09;五、USART接收数据示例代码六、USART常用的库函数usart_deinit&#xff08;&#xff09;&#xff1a;复位外设USARTusart_bau…

什么是大型语言模型 (LLM)

本章探讨下&#xff0c;人工智能如何彻底改变我们理解和与语言互动的方式 大型语言模型 (LLM) 代表了人工智能的突破&#xff0c;它采用具有广泛参数的神经网络技术进行高级语言处理。 本文探讨了 LLM 的演变、架构、应用和挑战&#xff0c;重点关注其在自然语言处理 (NLP) 领…

【ARM】MDK-STM32g0xx.h文件与Define规则记录

【更多软件使用问题请点击亿道电子官方网站】 1、 文档目标 记录问题STM32g0xx.h等有关ST的可读文件&#xff0c;尽量勿修改文件格式及对其代码进行添加和删减&#xff0c;记录查找问题的过程中的疑惑&#xff0c;并如何给予客户正确的回复&#xff0c;帮助销售完成验收&…

VBA实例-从Excel整理数据到Word

实现目录 功能需求数据结构复制数据到新sheet并分类数据添加序号、日期、时间三列数据添加序号列添加时间列 将名称和类别复制到word文件中将参数5和参数9中的一个复制到word文件中 实例 功能需求 1、将原始数据中不要的数据剔除 2、原始数据中增加序号、日期和时间三列数据&a…

富唯智能转运机器人:高效、智能、未来的选择

在现代工业中&#xff0c;高效的物流和物料处理是提升生产效率的关键。富唯智能转运机器人&#xff0c;以其卓越的技术和智能化的设计&#xff0c;为各行业提供了完美的解决方案。 产品概述 富唯智能转运机器人搭载ICD系列核心控制器&#xff0c;拥有多种移载平台&#xff0c…