练习时长两年半的网络安全防御“second”

这篇具有很好参考价值的文章主要介绍了练习时长两年半的网络安全防御“second”。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

 

1.防火墙的安全区域

Trust区域

DMZ区域

Untrust区域

Local区域

安全区域的受信任程度与优先级

2. 安全策略

​编辑

安全域间、安全策略与报文流动方向 

安全域间是用来描述流量的传输通道,它是两个“区域”之间的唯一“道路”。如果希望对经过这条通

道的流量进行检测,就必须在通道上设立“关卡”,如防火墙安全策略。

对于防火墙流量有俩种

安全策略的匹配过程

3. 防火墙的发展史

包过滤防火墙----访问控制列表技术---三层技术

代理防火墙----中间人技术---应用层

状态防火墙---会话追踪技术---三层、四层

UTM---深度包检查技术----应用层

下一代防火墙

1. 传统防火墙的功能

2. IPS 与防火墙的深度集成

3. 应用感知与全栈可视化

4. 利用防火墙以外的信息,增强管控能力

4. 状态检查详解

状态检测机制

会话机制

会话表项中的五元组信息

5.防火墙配置策略

6. ASPF技术

STUN类型协议与server-map表 


1.防火墙的安全区域

练习时长两年半的网络安全防御“second”,web安全,安全,网络

在每一个被防火墙分割的网络内部中,所有的计算机之间是被认为 可信任的 ,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“ 策略 进行访问。
安全区域( Security Zone ):它是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“ 路线 ,当报文在不同的安全区域之间流动时,才会触发安全检查。

练习时长两年半的网络安全防御“second”,web安全,安全,网络

Trust区域

网络的受信任程度高;通常用来定义内部用户所在的网络。

DMZ区域

网络的受信任程度中等;通常用来定义内部服务器所在的网络。

Untrust区域

网络的受信任程度低;通常用来定义 Internet 等不安全的网络。

Local区域

    防火墙上提供的 Local 区域,代表防火墙本身。凡是由防火墙主动发出的报文均可认为是从 Local 区域中发出,凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由Local 区域接收。 Local 区域中不能添加任何接口,但防火墙上所有业务接口本身都属于Local 区域。由于 Local 区域的特殊性,在很多需要设备本身进行报文收发的应用中,需要开放对端所在安全区域与Local 区域之间的安全策略。例如 telnet登录、网页登录、接入 SNMP 网管等。

安全区域的受信任程度与优先级

    安全区域都有一个唯一的优先级,用 1至100的数字表示,数字越大,则代表该区域内的网络越可信。(用户可以根据实际组网需要,自行创建安全区域并定义其优先级。) 练习时长两年半的网络安全防御“second”,web安全,安全,网络

2. 安全策略

  • 防火墙的基本作用是对进出网络的访问行为进行控制,保护特定网络免受不信任网络的攻击,但同时还必须允许两个网络之间可以进行合法的通信。防火墙一般通过安全策略实现以上功能。
  • 安全策略是由匹配条件(五元组、用户、时间段等)和动作组成的控制规则,防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,并将流量的属性与安全策略的匹配条件进行匹配。

练习时长两年半的网络安全防御“second”,web安全,安全,网络

安全域间、安全策略与报文流动方向 

练习时长两年半的网络安全防御“second”,web安全,安全,网络

安全域间是用来描述流量的传输通道,它是两个区域之间的唯一道路。如果希望对经过这条通

道的流量进行检测,就必须在通道上设立关卡,如防火墙安全策略。

  • 任意两个安全区域都构成一个安全域间(Interzone),并具有单独的安全域间视图;
  • 安全域间的数据流动具有方向性,包括入方向(Inbound)和出方向(Outbound)。

对于防火墙流量有俩种

  • 穿过防火墙的
  • 到达防火墙或从防火墙出发的

安全策略的匹配过程

防火墙最基本的设计原则一般是没有明确允许的流量默认都会被禁止,这样能够确保防火墙一旦接入网络就能保护网络的安全。如果想要允许某流量通过,可以创建安全策略。一般针对不同的业务流量,设备上会配置多条安全策略。

练习时长两年半的网络安全防御“second”,web安全,安全,网络

3. 防火墙的发展史

包过滤防火墙----访问控制列表技术---三层技术

  • 简单、速度慢
  • 检查的颗粒度粗--5元组

代理防火墙----中间人技术---应用层

降低包过滤颗粒度的一种做法,区域之间通信使用固定设备。
  • 代理技术只能针对特定的应用来实现,应用间不能通用。
  • 技术复杂,速度慢
  • 能防御应用层威胁,内容威胁

状态防火墙---会话追踪技术---三层、四层

在包过滤( ACL 表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
会话表可以用 hash 来处理形成定长值,使用 CAM 芯片处理,达到交换机的处理速度。
  • 首包机制
  • 细颗粒度
  • 速度快 练习时长两年半的网络安全防御“second”,web安全,安全,网络

UTM---深度包检查技术----应用层

统一威胁管理
把应用网关和 IPS 等设备在状态防火墙的基础上进行整合和统一。
  • 把原来分散的设备进行统一管理,有利于节约资金和学习成本
  • 统一有利于各设备之间协作。
  • 设备负荷较大并且检查也是逐个功能模块来进行的,貌合神离,速度慢。

练习时长两年半的网络安全防御“second”,web安全,安全,网络

下一代防火墙

2008 Palo Alto Networks 公司发布了下一代防火墙( Next-Generation Firewall ),解决了多个功能同时运行时性能下降的问题。同时,下一代防火墙还可以基于用户、应用和内容来进行管控。2009 年 Gartner(一家 IT 咨询公司) 对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。Gartner把 NGFW 看做不同信任级别的网络之间的一个线速( wire-speed )实时防护设备,能够对流量执行深度检测,并阻断攻击。Gartner 认为, NGFW 必须具备以下能力:

1. 传统防火墙的功能

NGFW 是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状态检测、NAT VPN 等。

2. IPS 与防火墙的深度集成

NGFW 要支持 IPS 功能,且实现与防火墙功能的深度融合,实现 1+1>2 的效果。 Gartner 特别强调 IPS 与防火墙的“ 集成 而不仅仅是 联动 。例如,防火墙应根据 IPS 检测到的恶意流量自动更新下发安全策略,而不需要管理员的介入。换言之,集成IPS 的防火墙将更加智能。 Gartner 发现, NGFW 产品和独立 IPS 产品的市场正在融合,尤其是在企业边界的部署场景下,NGFW 正在吸收独立 IPS 产品的市场。

3. 应用感知与全栈可视化

具备应用感知能力,并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段,是 NGFW 引进的最重要的能力。传统的状态检测防火墙工作在二到四层,不会对报文的载荷进行检查。NGFW 能对七层检测,可以清楚地呈现网络中的具体业务,并实行管控。

4. 利用防火墙以外的信息,增强管控能力

防火墙能够利用其他 IT系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进和优化安全策略。例如,通过集成用户认证系统,实现基于用户的安全策略,以应对移动办公场景下,IP地址变化带来的管控难题。 练习时长两年半的网络安全防御“second”,web安全,安全,网络

 练习时长两年半的网络安全防御“second”,web安全,安全,网络

4. 状态检查详解

状态检测机制

状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整个数据流来对待。在状态检测防火墙看来,同一个数据流内的报文不再是孤立的个体,而是存在联系的。
状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发。

 练习时长两年半的网络安全防御“second”,web安全,安全,网络

会话机制

防火墙会将属于同一连接的所有报文作为一个整体的数据流(会话)来对待。会话表是用来记录 TCP 、 UDP、 ICMP 等协议连接状态的表项,是防火墙转发报文的重要依据。

 练习时长两年半的网络安全防御“second”,web安全,安全,网络

会话表项中的五元组信息

会话是通信双方的连接在防火墙上的具体体现,代表两者的连接状态,一条会话就表示通信双方的
一个连接。
  • 通过会话中的五元组信息可以唯一确定通信双方的一条连接;
  • 防火墙将要删除会话的时间称为会话的老化时间;
  • 一条会话表示通信双方的一个连接,多条会话的集合叫做会话表。练习时长两年半的网络安全防御“second”,web安全,安全,网络
防火墙为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配,则会被从会话表中删除。这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗。但是对于某些特殊业务中,一条会话的两个连续报文可能间隔时间很长。
例如:
  • 用户通过FTP下载大文件,需要间隔很长时间才会在控制通道继续发送控制报文;
  • 用户需要查询数据库服务器上的数据,这些查询操作的时间间隔远大于TCP的会话老化时间

在以上的场景中,如果会话表项被删除,则对应的业务就会中断。长连接(Long Link)机制可以给部分连接设定超长的老化时间,有效解决这个问题

5.防火墙配置策略

安全策略配置

练习时长两年半的网络安全防御“second”,web安全,安全,网络安全策略工作流程

 练习时长两年半的网络安全防御“second”,web安全,安全,网络

查询和创建会话练习时长两年半的网络安全防御“second”,web安全,安全,网络 

6. ASPF技术

FTP 协议
主机之间传输文件是 IP 网络的一个重要功能,如今人们可以方便地使用网页、邮箱进行文件传输。
然而在互联网早期, Web World Wide Web ,万维网)还未出现,操作系统使用命令行的时代,用户使用命令行工具进行文件传输。其中最通用的方式就是使用FTP File Transfer Protocol ,文件传输协议)以及TFTP Trivial File Transfer Protocol ,简单文件传输协议)。
练习时长两年半的网络安全防御“second”,web安全,安全,网络
FTP 采用典型的 C/S 架构(即服务器端与客户端模型),客户端与服务器端建立 TCP 连接之后即可实现文件的上传、下载。
练习时长两年半的网络安全防御“second”,web安全,安全,网络
针对传输的文件类型不同, FTP 可以采用不同的传输模式:
  • ASCII模式:传输文本文件(TXTLOGCFG )时会对文本内容进行编码方式转换,提高传输效率。当传输网络设备的配置文件、日志文件时推荐使用该模式。
  • Binary(二进制)模式:非文本文件(ccBINEXEPNG),如图片、可执行程序等,以二进制直接传输原始文件内容。当传输网络设备的版本文件时推荐使用该模式。这些文件无需转换格式即可传输。

 FTP存在两种工作方式:主动模式(PORT)和被动模式(PASV)。

  • 主动模式

 练习时长两年半的网络安全防御“second”,web安全,安全,网络

  • 被动模式 

 练习时长两年半的网络安全防御“second”,web安全,安全,网络

多于多通道协议比如 FTP VOIP 等协议,通道是随机协商出的,防火墙不能设置策略也无法形成会话表 。
解决办法,使用 ASPF 技术,查看协商端口号并动态建立 server-map 表放过协商通道的数据。
ASPF Application Specific Packet Filter ,针对应用层的包过滤)也叫基于状态的报文过滤, ASPF 功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则, 开启 ASPF 功能后, FW 通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map 表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“ 安全策略
通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的 Server-map 表,当数据通道的首包经过防火墙时,防火墙根据Server-map 生成一条 session ,用于放行后续数据通道的报文,相当于自动创建了一条精细的“ 安全策略 。对于特定应用协议的所有连接,每一个连接状态信息都将被 ASPF 维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。
练习时长两年半的网络安全防御“second”,web安全,安全,网络

 练习时长两年半的网络安全防御“second”,web安全,安全,网络

Server-map 表与会话表的关系如下:
  • Server-map表记录了应用层数据中的关键信息,报文命中该表后,不再受安全策略的控制;
  • 会话表是通信双方连接状态的具体体现;
  • Server-map表不是当前的连接信息,而是防火墙对当前连接分析后得到的即将到来报文的预测。

防火墙接收报文的处理过程如图所示:防火墙收到报文先检查是否命中会话表;如果没有命中则检查是 否命中Server-map表;命中Server-map表的报文不受安全策略控制;防火墙最后为命Server-map的数据创建会话表

练习时长两年半的网络安全防御“second”,web安全,安全,网络

练习时长两年半的网络安全防御“second”,web安全,安全,网络

STUN类型协议与server-map 

转发 QQ/MSN STUN Simple Traversal of UDP over NATs NAT UDP 简单穿越)类型会生成的三元组Server-map 表项
练习时长两年半的网络安全防御“second”,web安全,安全,网络
要实现 QQ2 在外网主动向 QQ1 内网的语音或者视频连接,也需要防火墙对该应用采用 ASPF 的方式处理来监听协商端口。 MSN 等用户连接服务器时,设备会记录下用户的 IP 地址和端口信息,并动态生成 STUN 类型的 Server-map。这个 Server-map 表项中仅包含三元组信息,即通信一方的 IP 地址,端口号和协议号。这样其他用户可以直接通过该IP 和端口与该用户进行通信。只要有相关的流量存在, STUN 动态的 Server-map 就将一直存在。在所有相关流量结束后,Server-map 表开始老化。
抓包结果:
练习时长两年半的网络安全防御“second”,web安全,安全,网络

练习时长两年半的网络安全防御“second”,web安全,安全,网络文章来源地址https://www.toymoban.com/news/detail-606689.html

到了这里,关于练习时长两年半的网络安全防御“second”的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全--防御保护02

    第二天重要的一个点是 区域 这个概念 防火墙的主要职责在于控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作 单一主机防火墙:专门有设备作为防火墙 路由集成:核心设备,可流量转发 分布式防火墙:部署多个 吞吐量 --- 防火墙同一时间处

    2024年01月24日
    浏览(44)
  • 网络安全威胁与防御策略

      随着数字化时代的快速发展,网络已经成为人们生活和工作中不可或缺的一部分。然而,网络的广泛应用也引发了一系列严峻的网络安全威胁。恶意软件、网络攻击、数据泄露等问题层出不穷,给个人和企业带来了巨大的风险。本文将深入探讨网络安全领域的主要威胁,并

    2024年02月11日
    浏览(45)
  • 网络信息安全之纵深防御

    什么是“纵深防御”?很多人和资料都有不同的解释,有许多资料将“纵深防御”和“分层防护”等同起来, 上次文章介绍了“分层防护”,分层防护是根据网络的应用现状情况和网络的结构,将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全

    2024年02月05日
    浏览(40)
  • 网络防御之传输安全

    1.什么是数据认证,有什么作用,有哪些实现的技术手段? 数据认证是一种权威的电子文档 作用:它能保证数据的完整性、可靠性、真实性 技术手段有数字签名、加密算法、哈希函数等 2.什么是身份认证,有什么作用,有哪些实现的技术手段? 身份认证是指确认用户的身份以

    2024年02月12日
    浏览(38)
  • 网络安全产品之认识入侵防御系统

    由于网络安全威胁的不断演变和增长。随着网络技术的不断发展和普及,网络攻击的种类和数量也在不断增加,给企业和个人带来了巨大的安全风险。传统的防火墙、入侵检测防护体系等安全产品在面对这些威胁时,存在一定的局限性和不足,无法满足当前网络安全的需求。

    2024年01月22日
    浏览(44)
  • 【网络安全 -> 防御与保护】专栏文章索引

    为了方便 快速定位 和 便于文章间的相互引用等 作为一个快速准确的导航工具 网络安全——防御与保护 (一).信息安全概述 (二).防火墙组网

    2024年01月23日
    浏览(40)
  • 网络安全防御保护 Day5

    今天的任务如下 要求一的解决方法: 前面这些都是在 防火墙FW1 上的配置。 首先创建电信的NAT策略 这里新建转换后的地址池 移动同理,不过地址池不一样 要求二的解决方法: 切换至服务器映射选项,点击新建,配置外网通过电信链路访问DMZ区的http服务器 移动同理 从图中

    2024年02月20日
    浏览(37)
  • 网络信息安全的防御措施有哪些?

    网络信息安全是指保护计算机网络中的信息和资产免受未经授权的访问、窃取、破坏、篡改等威胁的一系列技术和措施。以下是网络信息安全的一些防御措施: 防火墙:防火墙是一个网络安全设备,可帮助防止未经授权的网络访问。它可以过滤网络流量并阻止未经授权的访问

    2024年02月06日
    浏览(52)
  • ChatGPT:你真的了解网络安全吗?浅谈网络安全攻击防御进行时之传统的网络安全

    ChatGPT(全名:Chat Generative Pre-trained Transformer),美国OpenAI 研发的聊天机器人程序,是人工智能技术驱动的自然语言处理工具。 基于其语言模型庞大、可控制、具有高度扩展性的特点,本文通过对话ChatGPT,浅谈网络安全攻击防御进行时。 ChatGPT:你真的了解网络安全吗?浅谈

    2024年02月06日
    浏览(38)
  • 入侵防御系统(IPS)网络安全设备介绍

    IPS定义 IPS(Intrusion Prevention System)是一种网络安全设备或系统,用于监视、检测和阻止网络上的入侵尝试和恶意活动。它是网络安全架构中的重要组成部分,通过分析网络流量,检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式,实时地中止入侵行为

    2024年02月08日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包