网络安全--防御保护02

第二天重要的一个点是区域这个概念

防火墙的主要职责在于控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作

防火墙的分类:

单一主机防火墙:专门有设备作为防火墙

路由集成:核心设备,可流量转发

分布式防火墙:部署多个

吞吐量 --- 防火墙同一时间处理的数据量

防火墙发展历史:

说白了就是ACL

五元组是用来标识一条数据流的(协议类型是网络层)

缺点:

1.很多安全风险集中在应用层,所以仅关注三四层的数据无法做到完全隔离安全风险

2.逐包进行包过滤检测,将导致防火墙的转发效率过低,成为网络中的瓶颈

在ACL列表中,华为体系下,末尾是没有隐含规则的,即就是如果匹配不到ACL列表,则认为ACl列表不存在,之前可以通过,则还可以通过;但是在防火墙的安全策略中,为了保证安全,末尾会隐含一条拒绝所有的规则,即就是只要没有放通的流量,都是不能通过的

1.因为需要防火墙进行先一步安全识别,所以,转发效率会降低(原来的三次握手会变成六次握手)

2.可伸缩性差:每一种应用程序需要代理的话,都需要开发对应的代理功能,如果没有开发,则无法代理

“会话包技术” ---首包检测

入侵检测设备为独立的设备(检测日志的)

IDS---一种侧重于风险管理的安全机制---滞后性

旁路部署为电路思想中的并联部署

旁路:不影响本来的情况

针对主题为流量

针对主体为文件

因为众多的专用设备导致企业在部署安全防护时,需要同时部署大量的设备进行防护,则设备维护成本大大提高,所有设备都需要对流量进行检测,所以,效率很低

UTM中,各功能模块是串联工作的,所以检测效率并没有得到提升,但是因为集成在一台设备中,所以维护成本得到了降低

改进点核心:相较于之前UTM中各模块的串联部署变为了并联部署,仅需要一次检测,所有功能板块都可以做出相应的处理,大大提高了工作效率

多点部署:范围问题,性能问题

防火墙的其他功能

网络环境支持:三层交换机特点---像路由器也像交换机

二层口:只能解封装二层不能配ip

三层口:能配ip

防火墙的控制

带内管理---通过网络环境对设备进行控制---telnetsshweb---登录设备和被登录设备需要联通

带外管理---console线连接,mini usb线(备用)

华为防火墙的MGMT接口也就是G0/0/0接口默认出厂时,默认配置有ip地址192.168.0.1/24,并且该接口默认开启了DHCPWeb登录的功能,方便进行web管理

防火墙管理员

用户权限等级

本地认证 --- 用户信息存储在防火墙上,登录时防火墙根据输入的用户名和密码进行判断,如果通过认证,则成功登录

服务器认证 ---  和第三方的认证服务器对接,登录时,防火墙将登录信息发送给第三方服务器之后由第三方服务器来进行验证,通过则反馈给防火墙,防火墙放行。

一般适用于企业本身使用第三方服务器来存储用户信息,则用户信息不需要重复创建。

服务器/本地认证---优先使用服务器认证,如果服务器认证失败,则也不进行本地认证。只有在服务器对接不上的时候,才用本地认证

信任主机:添加一个ip或一个网段,则其含义是只有在该地址或者地址段内可以登录管理设备---最多可以添加10个信任主机

防火墙的组网

物理接口

二层口---不能配IP

普通的二层口

接口对---”透明网线“(深信服)---可以将两个接口绑定成为接口对,如果流量从一个接口进入,则必定从另一个接口出去,不需要查看MAC地址表。---其实一个接口也可以做接口对,从该接口进再从该接口出

旁路检测接口---主要用于防火墙的旁路部署,用于接收防火墙的镜像流量

三层口---可以配IP

虚拟接口

环回接口

子接口

链路聚合

telnet接口

VLAN接口

Bypass --- 4个千兆口其实是两队bypass口(容错机制,内部直通)---如果设备故障,则两个接口直通,保证流量不中断

虚拟系统 --- VRF技术,相当于逻辑上将一台设备分割为多太设备,平行工作,互不影响。需要通过接口区分虚拟系统的范围

管理口和其余物理接口默认不在同一个虚拟接口中

高于安全策略 

接口队默认为truck

不同的虚拟空间之间通信使用的虚拟接口,只需要配置IP地址即可,新创建一个虚拟系统会自动生成一个虚拟的接口

安全区域

Trust --- 一般企业内网会被规划在Trust区域中

Untrust --- 一般公网区域被规划在untrust区域中

我们将一个接口规划到某一个区域,则代表该接口所连接的所有网络都被规划到该区域

Local---指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的,凡是需要设备响应并处理的报文,均可以认为是有Local区接收。我们无法修改Local区的配置,并且我们无法将接口划入该区域。接口本身属于该区域。

Dmz---非军事化管理区域--这个区域主要是为内网的服务器所设定的区域。这些服务器本身在内网,但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以,这个区域就代表的是严格管理和松散管理之间的部分管理区域

优先级--- 1-100 --- 取值是越大越优 ---流量从优先级高的区域到优先级低的区域 --- 出方向(outbound

      流量从优先级低的区域到优先级高的区域 --- 入方向  (inbound)

路由模式---

1,接口,区域配置完成

2,内网配置回包路由

3,是否需要配置服务器映射

4,配置内网访问外网的NAT

5、针对内外网的安全策略

透明模式---

旁路模式---

混合模式---

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/244557.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

php基础学习之变量

php使用变量的必要性 PHP 是一种动态网站开发的脚本语言,动态语言特点是交互性,会有数据的传递,而 PHP作为“中间人”,需要进行数据的传递,传递的前提就是 PHP 能自己存储数据(临时存储) php变量的命名规则 必须以do…

【昕宝爸爸小模块】深入浅出之为什么POI的SXSSFWorkbook占用内存更小

➡️博客首页 https://blog.csdn.net/Java_Yangxiaoyuan 欢迎优秀的你👍点赞、🗂️收藏、加❤️关注哦。 本文章CSDN首发,欢迎转载,要注明出处哦! 先感谢优秀的你能认真的看完本文&…

Python爬虫之协程

Python爬虫之协程 为什么要用协程 协程声明 await aiohttp aiofiles 案例修改 案例完整代码 为什么要用协程 轻量级:协程是轻量级的执行单元,可以在同一个线程中并发执行。相比于多线程或多进程,创建和切换协程的开销更小。高效利用资源&…

Git 入门精讲

我们为什么要学习git? 就当下的发展而言,只要你从事开发就一定会接触git。作为最强大的分布式版本控制器,git 与 svn 有着本质上的区别。 Git是一种分布式版本控制系统,每个开发者都可以在本地维护完整的代码库,可以离…

Nas-FPN(CVPR 2019)原理与代码解析

paper:NAS-FPN: Learning Scalable Feature Pyramid Architecture for Object Detection third-party implementation:https://github.com/open-mmlab/mmdetection/tree/main/configs/nas_fpn 本文的创新点 本文采用神经网络结构搜索(Neur…

ctfshow-反序列化(web267-web270)

目录 web267 web268 web269 web270 总结 web267 页面用的什么框架不知道 看源码看一下 框架就是一种软件工具,它提供了一些基础功能和规范,可以帮助开发者更快地构建应用程序。比如Yii框架和ThinkPHP框架就是两个流行的PHP框架,它们提供…

SpringBoot集成mybatis时idea控制台中文乱码问题解决

在application.yml中配置好映射文件打印数据库日志文件时,控制台出现乱码的情况解决如下 问题 在执行查询操作的时候,查询时可以查看是没有问题的,但是控制台乱码了 解决 在File-Setting-Editor-File Encodings中设置如图所示就可以了 现在…

激光无人机打击系统——光束控制和指向系统

激光无人机(UAV)打击系统中的光束控制和指向系统通常包括以下几个关键组件和技术: 激光发射器:这是系统的核心,负责生成高能量的激光束。常用的激光类型包括固体激光器、化学激光器、光纤激光器等,选择取决…

Hive-SQL语法大全

Hive SQL 语法大全 基于语法描述说明 CREATE DATABASE [IF NOT EXISTS] db_name [LOCATION] path; SELECT expr, ... FROM tbl ORDER BY col_name [ASC | DESC] (A | B | C)如上语法,在语法描述中出现: [],表示可选,如上[LOCATI…

学单片机前先学什么?

学单片机前先学什么? 在开始前我有一些资料,是我根据网友给的问题精心整理了一份「单片机的资料从专业入门到高级教程」, 点个关注在评论区回复“888”之后私信回复“888”,全部无偿共享给大家!!&#xff…

[计算机网络]基本概念

目录 1.ip地址和端口号 1.1IP地址 1.2端口号 2.认识协议 2.1概念: 2.2知名协议的默认端口 3.五元组 4.协议分层 4.1分层的作用 4.2OSI七层模型 4.3TCP/IP五层(四层)模型 ​编辑4.4网络设备对应的分层: ​编辑以下为跨…

使用PHP自定义一个加密算法,实现编码配合加密,将自己姓名的明文加密一下

<meta charset"UTF-8"> <?phpfunction customEncrypt($lin, $key mySecretKey){// 定义一个简单的替换规则$li array(L > M, I > Y, Y > O, A > N, E > Q, );$yan ;for($i 0; $i < strlen($lin); $i){$char $lin[$i];if(isset($li[…

这才是问界M9惊艳到你的10大配置

文 | AUTO芯球 作者 | 李诞 盘点M9的十项科技&#xff0c;看看有没有惊艳到你&#xff1f; 一、猫头转向&#xff0c;5米2的大型SUV转弯可5.8米&#xff0c; 比很多我们的额家用小车的转弯半径都小&#xff0c;好开。 二、大灯抠图&#xff0c;夜晚开启大灯可以不晃对面车的…

Python列表与元组

Python 列表和元组是Python编程语言中两种重要的数据结构&#xff0c;它们在实际的编程中扮演着不可或缺的角色。本文将深入探讨Python列表和元组的特性、用法以及它们之间的区别&#xff0c;帮助读者更好地理解和运用这两种数据结构。 Python 列表 Python 列表是一种有序、可…

SpringBoot+Vue充电桩管理系统 附带详细运行指导视频

文章目录 一、项目演示二、项目介绍三、运行截图四、主要代码1. 分页获取预约数据代码2.保存预约信息代码3.修改订单状态代码 一、项目演示 项目演示地址&#xff1a; 视频地址 二、项目介绍 项目描述&#xff1a;这是一个基于SpringBootVue框架开发的充电桩管理系统。首先&…

postgresql(Windows)初始化数据库教程

省流&#xff1a;本文章内容讲的是如何初始化postgresql数据库环境&#xff0c;前提是已经安装好postgresql数据库&#xff0c;安装步骤参考postgresql&#xff08;Windows&#xff09;安装教程 # 开始&#xff1a;安装postgresql-12.14-2-windows-x64.exe完成后进行初始化数据…

指针-回调函数

回调函数的含义 回调函数通常作为参数传递给其他函数&#xff0c;它是一个通过函数指针调用的函数。简单来说这个函数的作用就是用来在特殊的条件满足时用来调用其他函数的一个函数。 回调函数的使用 当相同或者相似的函数出现多份的时候&#xff0c;那么由于相同的部分出现…

【后端技术】术有千法,道本归一

目录 1.概述 2.机器的问题 2.1.计算 2.2.存储 2.3.传输 3.人的问题 3.1.代码工程的管理 3.2.过程的把控 4.总结 1.概述 术有千法&#xff0c;道本归一。 之所以这样说&#xff0c;是因为当前出现的纷繁复杂的后端技术&#xff0c;其本质其实都是为了解决同一套问题。…

Node.JS CreateWriteStream(大容量写入文件流优化)

Why I Need Node.JS Stream 如果你的程序收到以下错误&#xff0c;或者需要大容量写入很多内容(几十几百MB甚至GB级别)&#xff0c;则必须使用Stream文件流甚至更高级的技术。 Error: EMFILE, too many open files 业务场景&#xff0c;我们有一个IntradayMissingRecord的补…

Webpack5 基本使用 - 3(完结)

环境区分 可以定义多个配置文件&#xff0c;通过 webpack-merge 合并配置文件。 安装 webpack-merge yarn add webpack-merge公共配置 // webpack.common.js const path require(path) const HtmlWebpackPlugin require(html-webpack-plugin)module.exports {entry: path…