练习时长两年半的网络安全防御“second”

news2024/11/25 1:59:30

目录

 

1.防火墙的安全区域

Trust区域

DMZ区域

Untrust区域

Local区域

安全区域的受信任程度与优先级

2. 安全策略

​编辑

安全域间、安全策略与报文流动方向 

安全域间是用来描述流量的传输通道,它是两个“区域”之间的唯一“道路”。如果希望对经过这条通

道的流量进行检测,就必须在通道上设立“关卡”,如防火墙安全策略。

对于防火墙流量有俩种

安全策略的匹配过程

3. 防火墙的发展史

包过滤防火墙----访问控制列表技术---三层技术

代理防火墙----中间人技术---应用层

状态防火墙---会话追踪技术---三层、四层

UTM---深度包检查技术----应用层

下一代防火墙

1. 传统防火墙的功能

2. IPS 与防火墙的深度集成

3. 应用感知与全栈可视化

4. 利用防火墙以外的信息,增强管控能力

4. 状态检查详解

状态检测机制

会话机制

会话表项中的五元组信息

5.防火墙配置策略

6. ASPF技术

STUN类型协议与server-map表 


1.防火墙的安全区域

在每一个被防火墙分割的网络内部中,所有的计算机之间是被认为 可信任的 ,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“ 策略 进行访问。
安全区域( Security Zone ):它是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“ 路线 ,当报文在不同的安全区域之间流动时,才会触发安全检查。

Trust区域

网络的受信任程度高;通常用来定义内部用户所在的网络。

DMZ区域

网络的受信任程度中等;通常用来定义内部服务器所在的网络。

Untrust区域

网络的受信任程度低;通常用来定义 Internet 等不安全的网络。

Local区域

    防火墙上提供的 Local 区域,代表防火墙本身。凡是由防火墙主动发出的报文均可认为是从 Local 区域中发出,凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local 区域接收。 Local 区域中不能添加任何接口,但防火墙上所有业务接口本身都属于Local 区域。由于 Local 区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与Local 区域之间的安全策略。例如 telnet登录、网页登录、接入 SNMP 网管等。

安全区域的受信任程度与优先级

    安全区域都有一个唯一的优先级,用 1至100的数字表示,数字越大,则代表该区域内的网络越可信。(用户可以根据实际组网需要,自行创建安全区域并定义其优先级。)

2. 安全策略

  • 防火墙的基本作用是对进出网络的访问行为进行控制,保护特定网络免受不信任网络的攻击,但同时还必须允许两个网络之间可以进行合法的通信。防火墙一般通过安全策略实现以上功能。
  • 安全策略是由匹配条件(五元组、用户、时间段等)和动作组成的控制规则,防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,并将流量的属性与安全策略的匹配条件进行匹配。

安全域间、安全策略与报文流动方向 

安全域间是用来描述流量的传输通道,它是两个区域之间的唯一道路。如果希望对经过这条通

道的流量进行检测,就必须在通道上设立关卡,如防火墙安全策略。

  • 任意两个安全区域都构成一个安全域间(Interzone),并具有单独的安全域间视图;
  • 安全域间的数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound)。

对于防火墙流量有俩种

  • 穿过防火墙的
  • 到达防火墙或从防火墙出发的

安全策略的匹配过程

防火墙最基本的设计原则一般是没有明确允许的流量默认都会被禁止,这样能够确保防火墙一旦接入网络就能保护网络的安全。如果想要允许某流量通过,可以创建安全策略。一般针对不同的业务流量,设备上会配置多条安全策略。

3. 防火墙的发展史

包过滤防火墙----访问控制列表技术---三层技术

  • 简单、速度慢
  • 检查的颗粒度粗--5元组

代理防火墙----中间人技术---应用层

降低包过滤颗粒度的一种做法,区域之间通信使用固定设备。
  • 代理技术只能针对特定的应用来实现,应用间不能通用。
  • 技术复杂,速度慢
  • 能防御应用层威胁,内容威胁

状态防火墙---会话追踪技术---三层、四层

在包过滤( ACL 表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
会话表可以用 hash 来处理形成定长值,使用 CAM 芯片处理,达到交换机的处理速度。
  • 首包机制
  • 细颗粒度
  • 速度快

UTM---深度包检查技术----应用层

统一威胁管理
把应用网关和 IPS 等设备在状态防火墙的基础上进行整合和统一。
  • 把原来分散的设备进行统一管理,有利于节约资金和学习成本
  • 统一有利于各设备之间协作。
  • 设备负荷较大并且检查也是逐个功能模块来进行的,貌合神离,速度慢。

下一代防火墙

2008 Palo Alto Networks 公司发布了下一代防火墙( Next-Generation Firewall ),解决了多个功能同时运行时性能下降的问题。同时,下一代防火墙还可以基于用户、应用和内容来进行管控。2009 年 Gartner(一家 IT 咨询公司) 对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。Gartner把 NGFW 看做不同信任级别的网络之间的一个线速( wire-speed )实时防护设备,能够对流量执行深度检测,并阻断攻击。Gartner 认为, NGFW 必须具备以下能力:

1. 传统防火墙的功能

NGFW 是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状态检测、NAT VPN 等。

2. IPS 与防火墙的深度集成

NGFW 要支持 IPS 功能,且实现与防火墙功能的深度融合,实现 1+1>2 的效果。 Gartner 特别强调 IPS 与防火墙的“ 集成 而不仅仅是 联动 。例如,防火墙应根据 IPS 检测到的恶意流量自动更新下发安全策略,而不需要管理员的介入。换言之,集成IPS 的防火墙将更加智能。 Gartner 发现, NGFW 产品和独立 IPS 产品的市场正在融合,尤其是在企业边界的部署场景下,NGFW 正在吸收独立 IPS 产品的市场。

3. 应用感知与全栈可视化

具备应用感知能力,并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段,是 NGFW 引进的最重要的能力。传统的状态检测防火墙工作在二到四层,不会对报文的载荷进行检查。NGFW 能对七层检测,可以清楚地呈现网络中的具体业务,并实行管控。

4. 利用防火墙以外的信息,增强管控能力

防火墙能够利用其他 IT系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进和优化安全策略。例如,通过集成用户认证系统,实现基于用户的安全策略,以应对移动办公场景下,IP地址变化带来的管控难题。

 

4. 状态检查详解

状态检测机制

状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整个数据流来对待。在状态检测防火墙看来,同一个数据流内的报文不再是孤立的个体,而是存在联系的。
状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发。

 

会话机制

防火墙会将属于同一连接的所有报文作为一个整体的数据流(会话)来对待。会话表是用来记录 TCP 、 UDP、 ICMP 等协议连接状态的表项,是防火墙转发报文的重要依据。

 

会话表项中的五元组信息

会话是通信双方的连接在防火墙上的具体体现,代表两者的连接状态,一条会话就表示通信双方的
一个连接。
  • 通过会话中的五元组信息可以唯一确定通信双方的一条连接;
  • 防火墙将要删除会话的时间称为会话的老化时间;
  • 一条会话表示通信双方的一个连接,多条会话的集合叫做会话表。

防火墙为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配,则会被从会话表中删除。这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗。但是对于某些特殊业务中,一条会话的两个连续报文可能间隔时间很长。
例如:
  • 用户通过FTP下载大文件,需要间隔很长时间才会在控制通道继续发送控制报文;
  • 用户需要查询数据库服务器上的数据,这些查询操作的时间间隔远大于TCP的会话老化时间

在以上的场景中,如果会话表项被删除,则对应的业务就会中断。长连接(Long Link)机制可以给部分连接设定超长的老化时间,有效解决这个问题

5.防火墙配置策略

安全策略配置

安全策略工作流程

 

查询和创建会话 

6. ASPF技术

FTP 协议
主机之间传输文件是 IP 网络的一个重要功能,如今人们可以方便地使用网页、邮箱进行文件传输。
然而在互联网早期, Web World Wide Web ,万维网)还未出现,操作系统使用命令行的时代,用户使用命令行工具进行文件传输。其中最通用的方式就是使用FTP File Transfer Protocol ,文件传输协议)以及TFTP Trivial File Transfer Protocol ,简单文件传输协议)。
FTP 采用典型的 C/S 架构(即服务器端与客户端模型),客户端与服务器端建立 TCP 连接之后即可实现文件的上传、下载。
针对传输的文件类型不同, FTP 可以采用不同的传输模式:
  • ASCII模式:传输文本文件(TXTLOGCFG )时会对文本内容进行编码方式转换,提高传输效率。当传输网络设备的配置文件、日志文件时推荐使用该模式。
  • Binary(二进制)模式:非文本文件(ccBINEXEPNG),如图片、可执行程序等,以二进制直接传输原始文件内容。当传输网络设备的版本文件时推荐使用该模式。这些文件无需转换格式即可传输。

 FTP存在两种工作方式:主动模式(PORT)和被动模式(PASV)。

  • 主动模式

 

  • 被动模式 

 

多于多通道协议比如 FTP VOIP 等协议,通道是随机协商出的,防火墙不能设置策略也无法形成会话表 。
解决办法,使用 ASPF 技术,查看协商端口号并动态建立 server-map 表放过协商通道的数据。
ASPF Application Specific Packet Filter ,针对应用层的包过滤)也叫基于状态的报文过滤, ASPF 功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则, 开启 ASPF 功能后, FW 通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map 表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“ 安全策略
通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的 Server-map 表,当数据通道的首包经过防火墙时,防火墙根据Server-map 生成一条 session ,用于放行后续数据通道的报文,相当于自动创建了一条精细的“ 安全策略 。对于特定应用协议的所有连接,每一个连接状态信息都将被 ASPF 维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。

 

Server-map 表与会话表的关系如下:
  • Server-map表记录了应用层数据中的关键信息,报文命中该表后,不再受安全策略的控制;
  • 会话表是通信双方连接状态的具体体现;
  • Server-map表不是当前的连接信息,而是防火墙对当前连接分析后得到的即将到来报文的预测。

防火墙接收报文的处理过程如图所示:防火墙收到报文先检查是否命中会话表;如果没有命中则检查是 否命中Server-map表;命中Server-map表的报文不受安全策略控制;防火墙最后为命Server-map的数据创建会话表

STUN类型协议与server-map 

转发 QQ/MSN STUN Simple Traversal of UDP over NATs NAT UDP 简单穿越)类型会生成的三元组Server-map 表项
要实现 QQ2 在外网主动向 QQ1 内网的语音或者视频连接,也需要防火墙对该应用采用 ASPF 的方式处理来监听协商端口。 MSN 等用户连接服务器时,设备会记录下用户的 IP 地址和端口信息,并动态生成 STUN 类型的 Server-map。这个 Server-map 表项中仅包含三元组信息,即通信一方的 IP 地址,端口号和协议号。这样其他用户可以直接通过该IP 和端口与该用户进行通信。只要有相关的流量存在, STUN 动态的 Server-map 就将一直存在。在所有相关流量结束后,Server-map 表开始老化。
抓包结果:

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/783857.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C++初阶 - 4.类和对象(下)

目录 1.再谈构造函数 1.1 构造函数体赋值 1.2 初始化列表 ---- 是构造函数的一部分 1.3 explicit 关键字 2.static成员 2.1概念 2.2 特性 3.友元 3.1友元函数 3.2 友元类 4.内部类 5.再次理解类和对象 1.再谈构造函数 1.1 构造函数体赋值 在创建对象时&#xff0…

Hadoop中HDFS的架构

一、Switch语句 语法规则: ①语句中的变量类型可以是byte、short、int或者char;从javaSE5开始支持枚举类型; javaSE7开始,switch支持String。 ②没有break时,后续case的语句都会执行 二、修饰符 访问修饰符 Java中&#xff0c…

机器人导航(2):导航实现

文章目录 SLAM建图gmapping简介gmapping节点说明gmapping使用 地图服务map_server简介map_server使用之地图保存节点(map_saver)map_server使用之地图服务(map_server)map_server节点说明地图读取地图显示 定位amcl简介amcl节点说明订阅的Topic发布的Topic服务调用的服务参数坐…

prometheus直方图实践

目录 1.简介 2.方案 1.简介 Prometheus提供了Counter、Gauge、Histogram、Summary四类指标(详见Metric types | Prometheus),可以通过"github.com/prometheus/client_golang/prometheus"自定义采集指标、注册、采集数据、发布UR…

gerrit 提交搞了一天的账号密码

搞了一整天的账号密码怎么输入都不对 以为输入了也不对,查找各种文档也不太行 参考也不太行: https://blog.csdn.net/qq_43279637/article/details/103595122 最后发现 是使用了git clone http 脑残方式,正确应该使用 git clone ssh 就可以…

XILINX ZYNQ 7000 AXI总线 (三) AXI GPIO

一步一步来搭建一下AXI GPIO 创建ZYNQ 后先来看下各个接口的含义 1.M_AXI_GP0_ACKL和M_AXI_GP0 ZYNQ的PS部分是有一个GP接口,32 Bit 的AXI master接口,默认是打开的,如果双击绿框可以看到是打开的 M_AXI_GP0 就是AXI的主机接口&#xff…

电脑C盘空间大小调整 --- 扩容(扩大/缩小)--磁盘分区大小调整/移动

概述: 此方法适合C盘右边没有可分配空间(空闲空间)的情况,D盘有数据不方便删除D盘分区的情况下,可以使用傲梅分区助手软件进行跨分区调整分区大小,不会损坏数据。反之可直接使用系统的磁盘管理工具进行调整…

HTTPS连接过程中的中间人攻击

HTTPS连接过程中的中间人攻击 HTTPS连接过程中间人劫持攻击 HTTPS连接过程 https协议就是httpssl/tls协议,如下图所示为其连接过程: HTTPS连接的整个工程如下: https请求:客户端向服务端发送https请求;生成公钥和私…

Android Hook 剪切板相关方法

想起之前做过的项目有安全合规要求:主动弹窗获取用户同意了才能调用剪切板相关方法,否则属于违规调用,如果是自己项目的相关调用可以自己加一层if判断 但是一些第三方的jar包里面也有在调用的话,我们就无能为力了,而且…

云原生容器内的一次pg_repack排错和解决过程

postgresql的pg_repack 这个cronjob一直执行不了。 排错过程: 用命令 kubectl describe job pg-repack-scheduler-manual-wv82r -n xxx没有查看用有用信息想办法进它启动的pod查看,于是在执行pg_repack.sh命令前,先加一个睡眠时间,如下: - …

Megatron-LM:Transformer模型专用分布式张量模型并行方法

论文标题:Megatron-LM: Training Multi-Billion Parameter Language Models Using Model Parallelism 论文链接:https://arxiv.org/abs/1909.08053 论文来源:NVIDIA 一、概述 随着自然语言处理领域预训练语言模型的规模变得越来越大&#xff…

access跨库查询

服务器上面安装了安全狗、Waf这样的安全软件,没有办法下载数据库内容 都在同一个服务器的不同网站,从11查12的数据库 12数据库路径在C:\wwwtest\2AspCMS\AspCms_data 把data.asp后缀改成mdb就能看到里面的表了,data.mdb如下 语句 当前网站…

CSS自学框架之表格和项目列表

表格和项目列表很直观的显示数据,是我们web开发中经常遇到的最简单表现信息形式。具体代码如下: 一、css代码 ul,ol{margin-left: 1.25em;} /* - 表格 */.myth-table{width: 100%;overflow-x: auto;overflow-y: hidden;border-radius: var(--radius);…

《Pytorch深度学习和图神经网络(卷 2)》学习笔记——第二章

基于图片内容的处理任务 主要包括目标检测、图片分割两大任务。 目标检测:精度相对较高,主要是以检测框的方式,找出图片中目标物体所在坐标。模型运算量相对较小,相对较快。 图片分割:精度相对较低,主要是…

【工具-jmeter】jmeter 入门级 demo 练习

目录 前言: 1. Jmeter 准备 1.1 jmeter 安装包下载 1.2 jmeter 启动 1.3 jmeter 语言选择 2. Jmeter 运行 1 个 Web 请求的 demo 2.1 添加 1 个 Thread Group 线程组 2.2 添加 1 个 HTTP Request 请求 2.3 乱码问题 2.4 添加 1 个 HTTP Header 请求头 2.…

开发中遇到的 cookie 问题

1. cookie 无法跨域携带问题 尽管已经登录,但是请求接口返回状态码:202,msg: 未登录,如下图所示; 1.1 XMLHttpRequest.withCredentials未设置 如果需要跨域 AJAX 请求发送 Cookie,需要withCre…

【UE】虚幻网络同步

UE网络官方文档链接:https://docs.unrealengine.com/5.2/zh-CN/networking-overview-for-unreal-engine/ 虚幻的网络模式 服务器作为游戏主机,保留一个真实授权的游戏状态。换句话说,服务器是多人游戏实际发生的地方。客户端会远程控制其在服…

SpringBoot Redis 使用Lettuce和Jedis配置哨兵模式

Redis 从入门到精通【应用篇】之SpringBoot Redis 配置哨兵模式 Lettuce 和Jedis 文章目录 Redis 从入门到精通【应用篇】之SpringBoot Redis 配置哨兵模式 Lettuce 和Jedis前言Lettuce和Jedis区别1. 连接方式2. 线程安全性 教程如下1. Lettuce 方式配置1.1. 添加 Redis 和 Let…

Java项目里添加python解析器

java项目里配置了SDK为1.8,添加python文件时会无法解析。 提示让模块配置Python解析器,点击 配置python解析器 ,弹出如下: 应用即可。