网络安全--防御保护02

这篇具有很好参考价值的文章主要介绍了网络安全--防御保护02。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

第二天重要的一个点是区域这个概念

网络安全--防御保护02,网络安全-防御,web安全,安全

防火墙的主要职责在于控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作

防火墙的分类:

网络安全--防御保护02,网络安全-防御,web安全,安全

单一主机防火墙:专门有设备作为防火墙

路由集成:核心设备,可流量转发

分布式防火墙:部署多个

吞吐量 --- 防火墙同一时间处理的数据量

防火墙发展历史:

网络安全--防御保护02,网络安全-防御,web安全,安全

网络安全--防御保护02,网络安全-防御,web安全,安全

说白了就是ACL

五元组是用来标识一条数据流的(协议类型是网络层)

缺点:

1.很多安全风险集中在应用层,所以仅关注三四层的数据无法做到完全隔离安全风险

2.逐包进行包过滤检测,将导致防火墙的转发效率过低,成为网络中的瓶颈

在ACL列表中,华为体系下,末尾是没有隐含规则的,即就是如果匹配不到ACL列表,则认为ACl列表不存在,之前可以通过,则还可以通过;但是在防火墙的安全策略中,为了保证安全,末尾会隐含一条拒绝所有的规则,即就是只要没有放通的流量,都是不能通过的

网络安全--防御保护02,网络安全-防御,web安全,安全

1.因为需要防火墙进行先一步安全识别,所以,转发效率会降低(原来的三次握手会变成六次握手)

2.可伸缩性差:每一种应用程序需要代理的话,都需要开发对应的代理功能,如果没有开发,则无法代理

网络安全--防御保护02,网络安全-防御,web安全,安全

“会话包技术” ---首包检测

网络安全--防御保护02,网络安全-防御,web安全,安全

入侵检测设备为独立的设备(检测日志的)

IDS---一种侧重于风险管理的安全机制---滞后性

旁路部署为电路思想中的并联部署

网络安全--防御保护02,网络安全-防御,web安全,安全

旁路:不影响本来的情况

网络安全--防御保护02,网络安全-防御,web安全,安全

针对主题为流量

网络安全--防御保护02,网络安全-防御,web安全,安全

针对主体为文件

网络安全--防御保护02,网络安全-防御,web安全,安全

因为众多的专用设备导致企业在部署安全防护时,需要同时部署大量的设备进行防护,则设备维护成本大大提高,所有设备都需要对流量进行检测,所以,效率很低

网络安全--防御保护02,网络安全-防御,web安全,安全

UTM中,各功能模块是串联工作的,所以检测效率并没有得到提升,但是因为集成在一台设备中,所以维护成本得到了降低

网络安全--防御保护02,网络安全-防御,web安全,安全

改进点核心:相较于之前UTM中各模块的串联部署变为了并联部署,仅需要一次检测,所有功能板块都可以做出相应的处理,大大提高了工作效率

多点部署:范围问题,性能问题

网络安全--防御保护02,网络安全-防御,web安全,安全

防火墙的其他功能

网络安全--防御保护02,网络安全-防御,web安全,安全

网络环境支持:三层交换机特点---像路由器也像交换机

二层口:只能解封装二层不能配ip

三层口:能配ip

防火墙的控制

带内管理---通过网络环境对设备进行控制---telnetsshweb---登录设备和被登录设备需要联通

网络安全--防御保护02,网络安全-防御,web安全,安全

带外管理---console线连接,mini usb线(备用)

网络安全--防御保护02,网络安全-防御,web安全,安全

华为防火墙的MGMT接口也就是G0/0/0接口默认出厂时,默认配置有ip地址192.168.0.1/24,并且该接口默认开启了DHCPWeb登录的功能,方便进行web管理

网络安全--防御保护02,网络安全-防御,web安全,安全

防火墙管理员

网络安全--防御保护02,网络安全-防御,web安全,安全

用户权限等级

网络安全--防御保护02,网络安全-防御,web安全,安全

网络安全--防御保护02,网络安全-防御,web安全,安全

本地认证 --- 用户信息存储在防火墙上,登录时防火墙根据输入的用户名和密码进行判断,如果通过认证,则成功登录

服务器认证 ---  和第三方的认证服务器对接,登录时,防火墙将登录信息发送给第三方服务器之后由第三方服务器来进行验证,通过则反馈给防火墙,防火墙放行。

一般适用于企业本身使用第三方服务器来存储用户信息,则用户信息不需要重复创建。

服务器/本地认证---优先使用服务器认证,如果服务器认证失败,则也不进行本地认证。只有在服务器对接不上的时候,才用本地认证

信任主机:添加一个ip或一个网段,则其含义是只有在该地址或者地址段内可以登录管理设备---最多可以添加10个信任主机

防火墙的组网

物理接口

二层口---不能配IP

普通的二层口

接口对---”透明网线“(深信服)---可以将两个接口绑定成为接口对,如果流量从一个接口进入,则必定从另一个接口出去,不需要查看MAC地址表。---其实一个接口也可以做接口对,从该接口进再从该接口出

旁路检测接口---主要用于防火墙的旁路部署,用于接收防火墙的镜像流量

三层口---可以配IP

虚拟接口

环回接口

子接口

链路聚合

telnet接口

VLAN接口

Bypass --- 4个千兆口其实是两队bypass口(容错机制,内部直通)---如果设备故障,则两个接口直通,保证流量不中断

虚拟系统 --- VRF技术,相当于逻辑上将一台设备分割为多太设备,平行工作,互不影响。需要通过接口区分虚拟系统的范围

管理口和其余物理接口默认不在同一个虚拟接口中

网络安全--防御保护02,网络安全-防御,web安全,安全

高于安全策略 

接口队默认为truck

网络安全--防御保护02,网络安全-防御,web安全,安全

不同的虚拟空间之间通信使用的虚拟接口,只需要配置IP地址即可,新创建一个虚拟系统会自动生成一个虚拟的接口

安全区域

Trust --- 一般企业内网会被规划在Trust区域中

Untrust --- 一般公网区域被规划在untrust区域中

我们将一个接口规划到某一个区域,则代表该接口所连接的所有网络都被规划到该区域

Local---指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的,凡是需要设备响应并处理的报文,均可以认为是有Local区接收。我们无法修改Local区的配置,并且我们无法将接口划入该区域。接口本身属于该区域。

Dmz---非军事化管理区域--这个区域主要是为内网的服务器所设定的区域。这些服务器本身在内网,但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以,这个区域就代表的是严格管理和松散管理之间的部分管理区域

优先级--- 1-100 --- 取值是越大越优 ---流量从优先级高的区域到优先级低的区域 --- 出方向(outbound

      流量从优先级低的区域到优先级高的区域 --- 入方向  (inbound)

路由模式---

网络安全--防御保护02,网络安全-防御,web安全,安全

1,接口,区域配置完成

2,内网配置回包路由

3,是否需要配置服务器映射

4,配置内网访问外网的NAT

5、针对内外网的安全策略

透明模式---

网络安全--防御保护02,网络安全-防御,web安全,安全

旁路模式---

网络安全--防御保护02,网络安全-防御,web安全,安全

混合模式---

网络安全--防御保护02,网络安全-防御,web安全,安全

 文章来源地址https://www.toymoban.com/news/detail-820537.html

到了这里,关于网络安全--防御保护02的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 保障Web安全:构建可靠的网络防御体系

    在当今数字化时代,Web安全已成为互联网世界中至关重要的议题。随着网络攻击手段的不断演进和网络犯罪的增加,保护用户数据和确保系统安全性已成为任何Web应用程序的首要任务。本文将深入探讨Web安全的重要性以及构建可靠的网络防御体系的关键要素。我们将介绍常见

    2024年02月11日
    浏览(44)
  • 24个网络应用安全实操要点,全方位保护 Web 应用的安全

    本文这份清单将介绍 24 个实操要点,让你全方位保护你的 Web 应用程序。各位看官,准备入坑啦! 1、用且仅用 HTTPS,防范网络攻击 众所周知,一个安全的应用需要对浏览器和 Web 服务器之间的所有连接进行加密。此外,建议禁用一些旧的密码套件和协议。 使用 HTTPS 时,仅加

    2024年02月02日
    浏览(80)
  • 安全防御——三、网络安全理论知识

    下边基于这次攻击演示我们介绍一下网络安全的一些常识和术语。 资产 任何对组织业务具有价值的信息资产,包括计算机硬件、通信设施、IT 环境、数据库、软件、文档资料、信息服务和人员等。 网络安全 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不

    2024年02月04日
    浏览(42)
  • 网络安全-防御需知

    目录 网络安全-防御 1.网络安全常识及术语 资产 漏洞 0day 1day 后门 exploit APT 2.什么会出现网络安全问题? 网络环境的开放性 协议栈自身的脆弱性 操作系统自身的漏洞 人为原因 客观原因 硬件原因 缓冲区溢出攻击 缓冲区溢出攻击原理 其他攻击 社工攻击 防御手段: 人为因素

    2024年02月15日
    浏览(38)
  • 网络安全威胁与防御策略

      随着数字化时代的快速发展,网络已经成为人们生活和工作中不可或缺的一部分。然而,网络的广泛应用也引发了一系列严峻的网络安全威胁。恶意软件、网络攻击、数据泄露等问题层出不穷,给个人和企业带来了巨大的风险。本文将深入探讨网络安全领域的主要威胁,并

    2024年02月11日
    浏览(42)
  • 网络防御之传输安全

    1.什么是数据认证,有什么作用,有哪些实现的技术手段? 数据认证是一种权威的电子文档 作用:它能保证数据的完整性、可靠性、真实性 技术手段有数字签名、加密算法、哈希函数等 2.什么是身份认证,有什么作用,有哪些实现的技术手段? 身份认证是指确认用户的身份以

    2024年02月12日
    浏览(34)
  • 网络信息安全之纵深防御

    什么是“纵深防御”?很多人和资料都有不同的解释,有许多资料将“纵深防御”和“分层防护”等同起来, 上次文章介绍了“分层防护”,分层防护是根据网络的应用现状情况和网络的结构,将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全

    2024年02月05日
    浏览(37)
  • 网络安全产品之认识入侵防御系统

    由于网络安全威胁的不断演变和增长。随着网络技术的不断发展和普及,网络攻击的种类和数量也在不断增加,给企业和个人带来了巨大的安全风险。传统的防火墙、入侵检测防护体系等安全产品在面对这些威胁时,存在一定的局限性和不足,无法满足当前网络安全的需求。

    2024年01月22日
    浏览(41)
  • 网络安全等级保护等级保护对象的安全保护等级

    2017年6月1号,《中华人民共和国网络安全法》出台,国家实行网络安全等级保护制度。网络安全等级保护以《中华人民共和国网络安全法》为法律依据,以2019年5月发布的《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》为指导标准的网络安全等级保护办法,业内简称

    2024年02月05日
    浏览(40)
  • 网络信息安全的防御措施有哪些?

    网络信息安全是指保护计算机网络中的信息和资产免受未经授权的访问、窃取、破坏、篡改等威胁的一系列技术和措施。以下是网络信息安全的一些防御措施: 防火墙:防火墙是一个网络安全设备,可帮助防止未经授权的网络访问。它可以过滤网络流量并阻止未经授权的访问

    2024年02月06日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包