状态检测防火墙

这篇具有很好参考价值的文章主要介绍了状态检测防火墙。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

状态检测防火墙原理

状态检测防火墙,路由交换配置,安全,网络,网络安全,防火墙

对于已经存在会话表的报文的检测过程比没有会话表的报文要短很多。通过对一条连接的首包进行检测并建立会话后,该条连接的绝大部分报文都不再需要重新检测。这就是状态检测防火墙的“状态检测机制”,相对于包过滤防火墙的“逐包检测机制”的改进之处。这种改进使得状态检测防火墙在检测和转发效率上大有提升。

会话是状态检测防火墙的基础,每一个通过防火墙的数据流都会在防火墙上建立一个会话表,以五元组(源目IP地址、源目端口、协议号)为Key值,通过建立动态的会话表提供域间转发数据流更高的安全性。下一代防火墙在五元组基础上增加用户、应用字段扩展为七元组。

安全策略匹配原则

状态检测防火墙,路由交换配置,安全,网络,网络安全,防火墙

首包会做安全策略过滤,后续包不做安全策略过滤。

状态检测防火墙,路由交换配置,安全,网络,网络安全,防火墙

 NGFW配置安全策略时不要忽略内容过滤,能够通过安全策略实现内容安全检测,阻断病毒、黑客等入侵,更好的保护内部网络。

状态检测防火墙,路由交换配置,安全,网络,网络安全,防火墙

状态检测防火墙,路由交换配置,安全,网络,网络安全,防火墙

状态检测防火墙,路由交换配置,安全,网络,网络安全,防火墙

 哪些业务需要开放安全策略注意事项

安全策略仅控制单播报文,你需要为所有合法的单播报文开放安全策略。缺省情况下,组播报文和广播报文不受防火墙的安全策略控制。防火墙直接转发组播报文和广播报文,不需要开发安全策略。

源和目的在同一个安全区域内的域内流量,默认不需要配置安全策略。域内的设备具有相同的安全登记,域内流量缺省转发,不需要安全检查。也可以为某些域内流量配置安全策略,阻断特定的流量,或者为某些放行的流量添加内容安全检查。

华为防火墙都是状态检测防火墙,只需要允许业务的主动发起方建立连接,回程流量就可以顺利通过。只有在通信双方都需要主动发起连接的情况下,才需要配置双向安全策略。

管理与配置的原则

1、使用安全区域划分网络

除了trust、untrust、dmz之外,自己也可以创建安全区域,并给其优先级赋值,之后再创建新建区域与其他区域流量的安全策略。总之,划分越细,网络越安全,但是相应的运维越复杂。

2、遵循最小授权原则

企业管理防火墙安全方面一般有以下原则:

  • 全部禁止
  • 没有明确允许,则禁止
  • 没有明确禁止,则允许
  • 全部允许

防火墙默认禁止所有域间流量,所有未明确允许的流量都被禁止,这是在防火墙上落实最小授权原则的基础。在此基础上,仅为合法流量开放安全策略,可以有效减小攻击面。

3、顺序先精确后宽泛,先常用后少用

防火墙收到报文后,按照安全策略列表的顺序来匹配。一旦匹配到某一条安全策略就不再向下匹配,否则会一直检查到策略列表底部,命中默认策略。

关于安全策略的顺序,参考以下顺序

(1)防欺骗的安全策略。

如果来自公网的访问使用了私网地址,说明其有意伪装成内部设备发起的流量,需要禁止此类流量。

(2)允许合法的用户业务的安全策略。

例如,允许内网用户访问外部WEB服务的HTTP流量。

(3)允许合法的管理业务的安全策略。

例如,防火墙与网管之间的SNMP流量,防火墙向网管发送SNMP Trap等。

(4)阻断非法流量的安全策略。

对于明确需要禁止的非法业务,配置阻断策略,用于快速丢弃,以提高匹配速度。

(5)阻断可疑流量的安全策略。

可以流量通常需要管理员及时关注,因此需要阻断的同时记录日志,以便分析和调整安全策略的动作。

4、出入方向的流量都要识别和控制

攻击者可能主动从外网发起攻击,也可能在受害者经常访问的网站上挂马或设置陷阱,使得恶意软件隐藏在合法流量中进入内网,攻击者渗透成功以后,通过还需要继续下载恶意软件,连接C&C服务器、通过隐蔽通道向外传输数据,等等。

实施严格的出入方向流量控制是保证网络安全的关键手段。

例如:渗透到内网的恶意软件通常都通过DNS隐蔽通道来建立C&C连接、窃取数据。一个最有效的办法就是限制DNS请求的目的地址为组织自建的DNS服务器,或者组织验证可信的DNS服务器。ege:只允许114.114.114.114和8.8.8.8的DNS服务通过,阻止内部设备访问其他的DNS的请求流量。

状态检测防火墙,路由交换配置,安全,网络,网络安全,防火墙

5、日志记录

状态检测防火墙,路由交换配置,安全,网络,网络安全,防火墙

 6、定期审计和优化安全策略

随着网络的不断变化,安全策略也会过时。定期审计安全策略过时与是否满足当下需求是非常必要的。通过审计,精简和优化安全策略,帮助防火墙在性能和安全性之间实现相对理想的平衡。

(1)理解当前的安全策略,了解其意图和背景
(2)检查描述字段为空的安全策略

虽然描述字段为空本身不是问题,但是这确实增加了安全策略的管理复杂度。

(3)删除过期失效的安全策略
(4)检查是否有重复使用的安全策略。

如果多人维护防火墙安全策略,很可能出现重复策略。因此可以集中分析命中次数为0的安全策略,根据分析结果,删除冗余策略

(5)检查是否有匹配条件交叉的安全策略。

如果交叉策略动作相同,请合并它们,如果交叉策略的动作不同,请确认合理的动作,并调整配置。

(6)检查匹配条件中带有Any的策略

要确认此安全策略是否必须,是否可以限制该匹配条件的范围。通常情况下,服务不应该设置为Any。

(7)检查是否放行了不安全的服务,如FTP、Telnet等,这些服务明文传输,存在安全风险。

注意:删除策略之前,建议先禁用,确认不影响业务之后再删除。禁用后,如发现该安全策略还有必要,可以快速启用。文章来源地址https://www.toymoban.com/news/detail-529673.html

到了这里,关于状态检测防火墙的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络设备(防火墙、路由器、交换机)日志分析监控

    外围网络设备(如防火墙、路由器、交换机等)是关键组件,因为它们控制进出公司网络的流量。因此,监视这些设备的活动有助于 IT 管理员解决操作问题,并保护网络免受攻击者的攻击。通过收集和分析这些设备的日志来监控这些设备是修复操作问题、发现和缓解入侵以及

    2024年02月12日
    浏览(53)
  • 云计算重要概念之:虚拟机、网卡、交换机、路由器、防火墙

    虚拟化软件通过在单个物理硬件上创建和管理多个虚拟环境(虚拟机),实现资源的高效利用、灵活部署、隔离安全以及便捷管理,是构建云计算和现代化数据中心的核心技术。 虚拟机是一种软件模拟的计算机系统,它在一个物理计算机(宿主机)上运行,并通过虚拟化技术

    2024年04月16日
    浏览(44)
  • 华为二层交换机与防火墙配置实例

    组网图形 图1  二层交换机与防火墙对接上网组网图 二层交换机简介 配置注意事项 组网需求 配置思路 操作步骤 配置文件 相关信息 二层交换机简介 二层交换机指的是仅能够进行二层转发,不能进行三层转发的交换机。也就是说仅支持二层特性,不支持路由等三层特性的交

    2024年02月04日
    浏览(55)
  • 如何使用交换机、路由器及防火墙进行组网以及他们之间的功能和区别

    如何使用交换机、路由器及防火墙进行组网以及他们之间的功能和区别。 几乎大部分网络都有交换机、路由器和防火墙这三种基本设备,因此这三种设备对于网络而言非常重要,很多人对这三种设备的使用容易弄混。 一般网络部署: 或者抽象为这种部署模式: 几乎每个网络

    2024年02月12日
    浏览(47)
  • 思科双核心交换机双出口防火墙配置案例

    拓扑图如下: 一、组网设计: 该网络采用典型的三层结构:接入层,汇聚层,核心层。为了实现企业高速互联,核心由两个核心节点组成,核心之间采用链路聚合的方式以获得更高的传输效率跟冗余性。核心与防火墙之间采用SLA端口检测功能的方式实现利用ping包检测ISP端口

    2024年02月05日
    浏览(106)
  • 路由器防火墙配置(14)

    实验目的 通过本实验,理解路由器的防火墙工作原理,掌握路由器的防火墙功能配置方法,主要包括网络地址转换功能和数据包过滤功能的配置。 培养根据具体环境与实际需求进行网络地址转换及数据包过滤的能力。     预备知识 网络地址转换 网络地址转换(NAT,Network

    2024年02月06日
    浏览(44)
  • H3C-防火墙-交换机基础配置,值得收藏学习

    路由器或防火墙的管理方式 1.web界面 直接浏览器输入ip即可(图形化操作,暂不介绍) 2.命令行 2.1命令行的接入 1).把PC机和路由器(交换机)的console口相连 2).开启远程终端即可(linux 需要安装minicom.rpm包)   二:视图简介 对于市面上各种交换机和防火墙都有各自的视图,而

    2024年02月09日
    浏览(42)
  • 华为防火墙与三层交换机对接配置VLAN上网设置

    拓扑图 一、交换机设置  1、创建VLAN 2、VLANIF配置DHCP  3、配置默认路由 二、防火墙设置 1、配置连接交换机的接口与公网接口 2、配置安全区域 3、创建地址列表 4、配置安全策略 5、配置NAT策略 6、配置默认路由 7、配置DNS 三、测试验证 1、查看PC1 PC2 获取IP 2、验证 PC1 PC

    2024年02月11日
    浏览(49)
  • Packet Tracer - 综合技能练习(配置各种 IOS 功能,包括 AAA、SSH 和基于区域的策略防火墙 (ZPF),以保护路由器的安全)

    Packet Tracer - 综合技能练习 地址分配表 设备 接口 IP 地址 子网掩码 默认网关 R1 G0/0 209.165.200.233 255.255.255.248 不适用 S0/0/0 (DCE) 10.10.10.1 255.255.255.252 不适用 环回接口 1 172.20.1.1 255.255.255.0 不适用 R2 S0/0/0 10.10.10.2 255.255.255.252 不适用 S0/0/1 (DCE) 10.20.20.2 255.255.255.252 不适用 R3 G0/1 172.

    2024年02月11日
    浏览(37)
  • 锐捷防火墙(WEB)—— 接口—端口聚合配置、IP-MAC地址绑定、软交换配置

    目录 Ⅰ  端口聚合配置 Ⅱ  IP-MAC地址绑定 Ⅲ  软交换配置   一、端口聚合(LACP)应用场景 该功能高端设备上支持,S3100,S3600型号不支持。 1、在带宽比较紧张的情况下,可以通过逻辑聚合可以扩展带宽到原链路的n倍 2、在需要对链路进行动态备份的情况下,可以通过配置

    2024年02月04日
    浏览(66)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包