防御保护---安全策略

文章目录

一.安全策略概述

概述:

安全策略的作用:

包过滤防火墙的安全风险

 状态检测防火墙访问过程

安全策略与传统防火墙的区别

二.案例分析

 基础配置:(正常数通)

 安全策略配置

练习


一.安全策略概述

概述:

        防火墙安全策略的作用在于加强网络系统的安全性,保护网络免受恶意攻击、非法访问和数据泄露的威胁。它可以限制和控制网络流量,识别和阻止网络攻击,过滤和审查数据内容,提供安全的远程访问,并监控和记录网络活动。

安全策略的作用:

  1. 访问控制:防火墙通过在网络边界上设置访问规则,控制网络流量的进出,限制不必要的访问并阻止潜在的威胁。它可以根据源IP地址、目标IP地址、端口号和协议类型等信息来定义规则,仅允许经过授权的流量通过。

  2. 防止网络攻击:防火墙可以检测和阻止常见的网络攻击,如端口扫描、DDoS攻击、SQL注入和跨站脚本攻击等。它可以根据预定义的攻击模式或异常行为来识别和阻止恶意流量。

  3. 数据过滤和内容审查:防火墙可以根据设定的规则对网络流量进行内容过滤和审查。它可以检测和阻止包含敏感数据、恶意软件或违反政策的数据传输。这有助于保护网络系统免受数据泄露、恶意软件和非法内容的影响。

  4. 虚拟专用网络(VPN)安全:防火墙可以提供VPN服务,通过加密和隧道技术为远程访问用户提供安全的连接。它可以验证用户的身份并加密数据传输,确保远程访问的安全性和隐私性。

  5. 监控和日志记录:防火墙可以监控网络流量,记录和分析网络活动。它可以生成日志文件,记录访问尝试、攻击行为和异常流量等信息。这有助于及时检测和应对网络安全事件,并进行安全审计和调查。

具体流程如下图:

包过滤防火墙的安全风险

        包过滤防火墙的主要缺点是在检测攻击状态方面有限。它主要通过检查网络数据包的源和目的IP地址、端口号以及协议类型来判断是否允许数据包通过。这种方法容易被攻击者绕过,因为攻击者可以使用各种技术来隐藏其攻击的特征,例如使用动态IP地址、改变端口号或使用其他协议等。

状态检测防火墙

  • 命令行开启状态检测
[USG6000V1]display firewall session table --- 查看会话表
[USG6000V1]display firewall session table verbose -- 查看会话表详情
  • Web页面开启状态检测 

 状态检测防火墙访问过程

        状态检测防火墙引入了状态跟踪机制。它不仅仅检查每个数据包的源和目的地址、端口和协议等基本信息,还会记录每个连接的状态信息,以便能够识别和分析应用层协议的特征和上下文。

通过跟踪每个连接的状态,状态检测防火墙可以实施更精细的访问控制策略。它可以识别和过滤具有恶意意图的数据包,如针对特定应用层协议的攻击。此外,它还可以执行会话管理和应用层代理功能,以提供更高级的安全功能。

会话表概念

        会话表会将报文中的五元组进行哈希计算并利用哈希算法任意长度输入,定长输出的特点,哈希计算将这些属性结合起来生成一个唯一的哈希值,用于标识每个会话表项。这样,防火墙可以根据哈希值快速查找和识别会话表项,并对数据包进行相应的处理。

        会话表中的记录存在老化时间,若长时间没有流量经过防火墙从而触发会话表更新,该会话表将被删除;如果会话表中的记录被删掉之后,相同五元组的流量再通过防火墙,则应该由其首包重新匹配安全策略,创建会 话表,如果无法创建会话表,则将丢弃该数据流的数据。

安全策略与传统防火墙的区别

防火墙安全策略和传统防火墙列表在实现网络安全方面有一些区别。以下是一些主要的区别:

  1. 精细化的访问控制:传统防火墙列表通常基于IP地址、端口号等常规规则进行访问控制。而防火墙安全策略可以更灵活地基于更多因素来决定是否允许或禁止特定流量,例如应用程序、用户身份、数据包内容等。这样可以实现更精细化的访问控制。

  2. 上下文感知的安全策略:传统防火墙列表通常只能基于单个数据包进行决策,而防火墙安全策略可以基于整个会话的上下文信息来做出决策。这意味着它可以考虑到会话的历史、状态和目的地等信息,从而更全面地评估安全威胁。

  3. 内容过滤和检测:防火墙安全策略可以对数据包内容进行更深入的检测和过滤。它可以检测和拦截包含恶意代码、病毒、垃圾邮件等不安全内容的数据包。

  4. 适应性安全策略:防火墙安全策略可以根据实时的网络情况和威胁情报进行调整和更新。它可以通过学习网络流量模式和威胁情报来自动适应不断变化的安全环境。

总的来说,防火墙安全策略相对于传统防火墙列表具有更高的灵活性、精细化的访问控制、上下文感知的安全决策、内容过滤和适应性安全策略等优势,颗粒度更细致,这使得它能够更有效地保护网络免受各种威胁和攻击。

具体区别如下图:

二.案例分析

需求:

DMZ区存在两台服务器,现在要求生产区的设备仅能在办公时间(9:00 - 18:00)访问,办公区的设备全天都可以访问。

 基础配置:(正常数通)

  • SW3配置
[Huawei]sysname sw3	
[sw3]undo info-center enable 
Info: Information center is disabled.
[sw3]vlan 2
[sw3-vlan2]q
[sw3]vlan 3
[sw3-vlan3]q
[sw3]interface GigabitEthernet 0/0/2
[sw3-GigabitEthernet0/0/2]port link-type access 	
[sw3-GigabitEthernet0/0/2]port default vlan 2
[sw3-GigabitEthernet0/0/2]q
[sw3]interface GigabitEthernet 0/0/3
[sw3-GigabitEthernet0/0/3]port link-type access 
[sw3-GigabitEthernet0/0/3]port default vlan 3
[sw3-GigabitEthernet0/0/3]q
[sw3]interface GigabitEthernet 0/0/1
[sw3-GigabitEthernet0/0/1]port link-type trunk 
[sw3-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
  •  FW1配置
[USG6000V1]interface GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 169.254.93.22 16
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
  • 防火墙管理DMZ区域的接口

  • 分别创建两个安全区域对应办公区和生产区

  •  创建子接口分别对应办公区以及生产区

 

  • 完成剩余设备基础配置实现正常通信

 安全策略配置

注:未设置任何安全策略时防火墙默认采用拒绝所有访问的策略

  • 新建生产区域和DMZ区域的安全策略

:新建策略中顶栏有策略模板可供使用,提高生产效率

注:下述条件为安全策略中的条件匹配,各条件之间是“”的关系

  •  配置生产区策略满足:生产区的设备仅能在办公时间(9:00 - 18:00)访问

 验证生产区域安全策略是否生效

  •  配置办公区域安全策略:办公区的设备全天都可以访问。

  •  验证办公区域安全策略是否生效

 


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/246472.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

数据挖掘笔记1

课程:清华大学-数据挖掘:理论与算法(国家级精品课)_哔哩哔哩_bilibili 一、Learning Resources 二、Data 数据是最底层的一种表现形式。数据具有连续性。从存储上来讲,数据分为逻辑上的和物理层的。大数据&#xff1…

Elasticsearch8.11集群部署

集群就是多个node统一对外提供服务,避免单机故障带来的服务中断,保证了服务的高可用,也因为多台节点协同运作,提高了集群服务的计算能力和吞吐量。ES是一个去中心化的集群,操作一个节点和操作一个集群是一样的&#xf…

Jmeter接口测试总结

🍅 视频学习:文末有免费的配套视频可观看 🍅 关注公众号【互联网杂货铺】,回复 1 ,免费获取软件测试全套资料,资料在手,涨薪更快 Jmeter介绍&测试准备 Jmeter介绍:Jmeter是软件…

LeetCode:1706. 球会落何处(Java 模拟)

目录 1706. 球会落何处 题目描述: 实现代码与解析: 原理思路: 1706. 球会落何处 题目描述: 用一个大小为 m x n 的二维网格 grid 表示一个箱子。你有 n 颗球。箱子的顶部和底部都是开着的。 箱子中的每个单元格都有一个对角线…

ubuntu 20.04 使用 webrtc-streamer自动退出,报错GLIBC 问题解决方法

文章目录 前言Ubuntu 20.4中使用webrtc-streamer报错总结 前言 前端vue2 项目需要播放海康的视频流,本地启动起来了,现在需要的服务器上部署,服务器是Ubuntu 20.04,下面是部署时遇到的问题及解决方法,总耗时2天。 不知…

Chain-of-Thought Prompting Elicits Reasoning in Large Language Models导读

通过生成一系列中间推理步骤(即“思维链”)显著提高大型语言模型进行复杂推理的能力 这篇论文探讨了如何通过生成一系列中间推理步骤(即“思维链”)显著提高大型语言模型进行复杂推理的能力。研究人员使用一种简单的方法——思维…

司铭宇老师:汽车销售培训:汽车销售员培训:汽车销售技巧培训:汽车销售技巧和话术

汽车销售培训:汽车销售员培训:汽车销售技巧培训:汽车销售技巧和话术 汽车销售是一项充满挑战性的工作,它需要销售人员具备良好的沟通技巧、谈判技巧以及产品讲解能力。在这篇文章中,我们将详细探讨汽车销售中的技巧和话…

iOS推送通知

文章目录 一、推送通知的介绍1. 简介2. 通知的分类 二、本地通知1. 本地通知的介绍2. 实现本地通知3. 监听本地通知的点击 三、远程通知1. 什么是远程通知2. 为什么需要远程通知3. 远程通知的原理4. 如何做远程通知5. 远程通知证书配置6. 获取远程推送要用的 DeviceToken7. 测试…

Spring Security 存储密码之 JDBC

Spring Security的JdbcDaoImpl实现了UserDetailsService接口,通过使用JDBC提供支持基于用户名和密码的身份验证。 JdbcUserDetailsManager扩展了JdbcDaoImpl,通过UserDetailsManager接口提供UserDetails的管理功能。 当Spring Security配置为接受用户名/密码进行身份验证时,…

5|领域建模实践(上):怎样既准确又深刻地理解业务知识?

上节课咱们完成了事件风暴,梳理了系统的行为需求。但你可能也发现了,其实还有些微妙的业务概念还没有澄清,这就要靠领域建模来完成了。 建立领域模型是 DDD 的核心。要建好领域建模,需要理论和实践相结合。由于我们的模型有一定的…

vue3+elementPlus pc和小程序ai聊天文生图

websocket封装可以看上一篇文章 //pc端 <template><div class"common-layout theme-white"><el-container><el-aside><div class"title-box"><span>AI Chat</span></div><div class"chat-list&…

【软件测试】学习笔记-构建并执行 JMeter 脚本的正确姿势

有些团队在组建之初往往并没有配置性能测试人员&#xff0c;后来随着公司业务体量的上升&#xff0c;开始有了性能测试的需求&#xff0c;很多公司为了节约成本会在业务测试团队里选一些技术能力不错的同学进行性能测试&#xff0c;但这些同学也是摸着石头过河。他们会去网上寻…

一天吃透计算机网络面试八股文

面试网站&#xff1a;topjavaer.cn 目录&#xff1a; 网络分层结构三次握手两次握手可以吗&#xff1f;四次挥手第四次挥手为什么要等待2MSL&#xff1f;为什么是四次挥手&#xff1f;TCP有哪些特点&#xff1f;说说TCP报文首部有哪些字段&#xff0c;其作用又分别是什么&…

idea结合git回到某个提交点

概述&#xff1a;在IntelliJ IDEA中&#xff0c;你可以使用Git工具来回到某个提交点。 第一步&#xff1a;打开idea&#xff0c;打开git的管理面 可以看到&#xff0c;由于我的大改动&#xff0c;导致现在出问题了&#xff0c;所以我准备回退到某一版本。 点击左下角的git 点…

使用IntelliJ IDEA快速搭建springboot 基础模板项目

使用IntelliJ IDEA快速搭建springboot 基础模板项目&#xff01;今天和大家分享一下&#xff0c;如何使用IntelliJ IDEA里面的maven插件&#xff0c;来快速搭建一个简单的Springboot基础项目。 第一步&#xff0c;菜单里面找到&#xff0c;文件-》新建-项目。如图。我们勾选了是…

这是一片测试文章

这是一片测试文章 这是一片测试文章 这是一片测试文章 这是一片测试文章 这是一片测试文章 这是一片测试文章 真的是测试文章 -111122225555444433333333222211111 dddddaaa

sklearn 学习-混淆矩阵 Confusion matrix

混淆矩阵Confusion matrix&#xff1a;也称为误差矩阵&#xff0c;通过计算得出矩阵的结果用来表示分类器的精度。其每一列代表预测值&#xff0c;每一行代表的是实际的类别。 from sklearn.metrics import confusion_matrixy_true [2, 0, 2, 2, 0, 1] y_pred [0, 0, 2, 2, 0…

高中数学:集合

一、基本概念与关系 1、元素 2、集合 集合中元素的特性 1、确定性。2、无序性。3、互异性。 3、空集&#xff0c;用∅符号表示 4、元素与集合的关系是属于关系&#xff0c;用∈符号表示 5、集合与集合的关系是包含关系。用⊆或者⊊符号表示 子集与真子集。 A⊊B > A⊆B 反之…

Microsoft Remote Desktop for Mac(远程桌面连接)激活版

Microsoft Remote Desktop是一款由微软开发的远程桌面连接工具&#xff0c;它允许用户从另一台计算机或移动设备远程连接到Windows桌面或服务器。 以下是该软件的一些主要特点和功能&#xff1a; 跨平台支持&#xff1a;Microsoft Remote Desktop支持Windows、macOS、iOS和Andr…

数据结构(顺序表)

文章目录 一、线性表1、线性表1.1、线性表的定义1.2、线性表的操作 2、顺序表2.1、顺序表的实现--静态分配2.2、顺序表的实现--动态分配2.2、顺序表的特点 3、顺序表的基本操作3.1、插入操作3.2、删除操作3.3、查找操作3.2、按位查找3.2、按值查找 一、线性表 1、线性表 1.1、…