防火墙——网络环境支持

目录

网络环境支持

防火墙的组网

web连接上防火墙

web管理口

让防火墙接到网络环境中

​编辑

管理员用户管理

缺省管理员

接口

配置一个普通接口

创建安全区域

路由模式

透明模式

混合模式

防火墙的安全策略

防火墙转发流程

与传统包过滤的区别

创建安全策略

会话表技术

状态检测技术

ASPF协议

FTP与TFTP

FTP两种工作模式

数据传输端口号的确定

ASPF与FTP


网络环境支持

防火墙的组网
  • 带内管理

  • Telnet,SSH,web,SNMP

  • 带外管理

    • Console、MINI USB

web连接上防火墙
web管理口
  • 在 G0/0/0 初上配有IP地址192.168.0.1/24,自动开启了web控制

  • 用户名:admin

  • 密码:Admin@123 登陆后要求更改密码,选择Y,密码设复制点

  • 进入G0/0/0口:

    • [USG6000V1-GigabitEthernet0/0/0]service-manage all permit --- 开启管理服务
让防火墙接到网络环境中
  • 不要用公网的本地上网网卡

  • 创建一张本地换回网

管理员用户管理

缺省角色说明
系统管理员(system-admin)拥有除审计功能以外的所有权限。
配置管理员(device-admin)拥有业务配置和设备监控权限。
配置管理员(监控)(device-admin(monitor))拥有设备监控权限。
审计管理员(audit-admin)配置审计策略和查看审计日志的专用管理员角色。
用户登记命令等级名称说明
00参观级可使用网络诊断工具命令( ping. tracert )、从本设备出发访问外部设备的命令( Telnet客户端命令)、部分display命令等。
10 and 1监控级用于系统维护,可使用display等命令。
20,1 and 2配置级可使用业务配置命令,包括路由、各个网络层次的命令,向用户提供直接网络服务。
3-150,1,2 and 3管理级文件系统、FTP、TFTP下载、命令级别设置命令以及用于业务故障诊断的debugging命令等。文件系统、FTP、TFTP下载、命令级别设置命令以及用于业务故障诊断的debugging命令等。
缺省管理员
账号密码角色说明
adminAdmin@123系统管理员首次登录使用此管理员通过Web界面或Console口登录设备。然后根据需要创建更多管理员。只有系统管理员有创建其他管理员的权限。
audit-adminAdmin@123审计管理员审计管理员拥有配置审计策略、查看审计日志、获取AV及IPS攻击取证数据包、查看及导出所有日志(沙箱检测日志除外》的权限。其中配置审计策略、查看审计日志、获取AV及IPS攻击取证数据包的权限只有审计管理员拥有。其他角色的管理员没有。只有审计管理员audit-admin可以设置审计日志的权限管理,其他审计管理员角色不能设置审计日志的权限管理.
api-adminAdmin@123API管理员

译过调用API访问FW.

  • 认证方式

    • 本地认证 --- 用户密码信息存储在防火墙本地,有防火墙判断是否通过认证

    • 服务器认证 --- 对接第三方服务器,用户信息存储在第三方服务器上,由防火墙将用户信息推送给服务器,由服务器进行判断,并返回结果,防火墙做出登录与否的操作。

    • 服务器/本地认证 --- 正常情况使用服务器认证,如果服务器认证失败,则直接认证失败,不进行本地认证,只有在服务器对接失败的时候,才采取本地认证。

  • 信任主机 --- 只有信任主机中的地址或者网段才能登录控制设备最多可以添加10条信任主机,如果没有配置,则不做限制

接口

接口 --- 物理接口

  • 三层口 --- 可以配置IP地址的接口

  • 二层口

    • 普通二层口

    • 接口对 --- “透明网线” --- 可以将一个或者两个接口配置成为接口对,则

    • 数据从一个接口进,将不需要查看MAC地址表,直接从另一个接口出;

    • 旁路检测接口

  • 虚拟接口

    • 环回接口

    • 子接口

    • Vlanif

    • Tunnel

    • 链路聚合

  • 虚拟系统 --- VRF

    • 虚拟系统:虚拟设备,用一台设备当多个设备使用。

  • 虚拟接口

  • 虚拟系统互通使用的接口,每创建一个虚拟系统,将自动生成一个虚拟接口,仅需要配置IP地址即可 。

配置一个普通接口

  • 添加网关,将自动生成一条指向网关的缺省

  • 多出口数据向外发送时有多个出口可以使用,可以用于策略路由

    • 缺省路由:默认创建一条本地的缺省

    • 源进源出:在多出口时同一条会话从一个接口出去,会从同一个接口回来

  • 这里管理的优先级高于安全策略,安全策略未放通,但是,这里勾选,则可以正常访问

  • 区域

    • Trust --- 信任区

    • Untrust --- 非信任区

    • Local --- 防火墙上所有的接口都属于这个区域

    • DMZ --- 非军事化管理区域 --- 放置一些对外开放的服务器

    • 将一个接口划入某一个区域,则代表将这个接口所连接的网络划分到对应区域中,而接口本身,永远属于Local。

    • 不同区域间的主机没有安全策略不能互通

创建安全区域

  • 优先级

    • 1 - 100 --- 从优先级高的区域到优先级低的区域 ---- 出方向 --- Outbound

    • 从优先级低的区域到优先级高的区域 ---- 入方向 ---- inbound

  • 接口对:默认是trunk干道,接口对可以直接转发,及一个接口入一定会从接口出,在防火墙上的作用专门让防火墙做流量检测。

  • 链路接口:用于在做策略路由时使用

路由模式
  • 充当路由器

  1. 接口IP地址,区域划分

  2. 写内网的回报路由

  3. 安全策略

  4. 内到外的NAT

  5. 服务器映射

透明模式
  • 充当核心交换机

  1. 接口配置VLAN,以及划分区域

  2. 安全策略

  3. 增加设备的管理接口,用于控制管理设备以及设备的自我升级旁路检测模式

混合模式
  • 既是路由器,也是交换机

防火墙的安全策略
  • 传统包过滤技术---其本质就是ACL访问控制列表,根据数据包的特征进行过滤,对比规则,执行对应的动作;

  • 这里数据包的特征---数据包的五元组---源IP,目标IP,源端口,目标端口,协议

传统网络的特点新时代网络特点
用户等于IP(例如市场部=192.168.1.0/24),用户的区分只能通过网段或安全区域的划分来实现。如果用户的IP地址不固定,则无法将用户与lP地址关联。因为用户移动办公,IP地址不固定,所以企业管理者希望将用户与IP地址动态关联起来,从而能够以可视化方式查看用户的活动,根据用户信息来审计和控制穿越网络的应用程序和内容。
应用等于端口,例如浏览网页的端口为80,FTP的端口为21。如果想允许或限制某种应用,直接允许或禁用端口就能解决问题。大多数应用集中在少数端口(例如80和443),应用程序越来越Web化(例如微博、Web Mail)。允许访问80端口将不仅仅是允许浏览Internet网页,同时也可使用多种多样的基于网页的应用程序。
网络是黑白分明的,只有安全和不安全之分,即要么是安全的应用,要么是不安全的应用。对于不安全的应用全部拒绝即可,不会影响正常业务。正常的应用程序常常会伴随不安全的流量。网络攻击由传统的单包攻击转为木马、黑客等信息窃取技术,应用和数据库存在大量的风险。
防火墙转发流程
  • 在防火墙收到一个数据报文后,处理和转发流程一共可以分为三个阶段:

    • 1、查询会话表前的基本处理。

    • 2、首包建立会话,非首包查询会话。

    • 3、对查询会话后的报文进行处理。

与传统包过滤的区别

  • 在安全策略中,可以执行两块内容,第一块做访问控制,允许或者拒绝通过;第二块是在允许通过的情况下,可以进行内容安全的检测,一体化检测。

创建安全策略

  • 所有匹配项之间的关系是“与”,一条中如果可以多选,则多个选项之间为“或”关系

  • 防火墙的状态检测和会话表技术

  • 主要机制就是以数据流作为单位,仅针对首包进行检测,检测之后,将数据包的特征记录在本地的会话表中,之后,数据流中的其他数据包来到防火墙,不再匹配安全策略,则匹配会话表,根据会话表来进行转发

会话表技术
  • 概念:会话表是一个动态的数据结构,用于记录网络中各个会话的状态信息。每个会话由一个源IP地址、目的IP地址、源端口、目的端口和传输协议(TCP/UDP)组成。会话表通过跟踪这些信息,能够快速地确定网络流量的合法性,从而有效地过滤和拦截恶意流量。

  • 实现

    • 会话表的创建:当一个合法的网络请求通过防火墙时,防火墙会创建一个会话条目,记录请求的相关信息。这些信息包括源IP地址、目的IP地址、源端口、目的端口和传输协议等。

    • 会话表的更新:当网络流量在同一个会话中继续传输时,防火墙会更新该会话条目的状态信息。例如,当一个TCP连接的后续数据包到达时,防火墙会更新该会话的字节数和时间戳等信息。

    • 会话表的删除:当一个会话结束时,防火墙会从会话表中删除该会话条目。删除操作通常在一段时间后自动执行,以防止会话表过度增长。

  • 会话表技术---提高转发效率的关键---老化机制

    1. 会话表老化时间过长---占用资源,导致一些会话无法正常建立

    2. 老化时间过短---会导致一些需要长时间发送一次的报文强行终端,影响正常业务

  • 查看会话表

  • 查看防火墙丢包原因

display firewall statistics system discard 
状态检测技术
  • 1,检测数据包是否符合协议的逻辑顺序;

  • 2,检查是否是逻辑上的首包,只有首包可以创建会话表。

  • 状态检测机制可以选择关闭或者开启

[USG6000V1]firewall session link-state tcp check --- 命令行中开启状态检测功能的命令,如果需
要关闭,则在该命令前面加undo
  • 防火墙转发流程图

ASPF协议
  • ASPF,即Application Specific Packet Filter,应用层的包过滤,及给予状态的报文过滤。ASPF能够检测试图通过设备的应用层号会话信息,通过维护会话的状态和检查会话报文的协议和端口号等信息,使得某些特殊应用的报文能够正常转发。

  • 记录临时协商的数据连接的表项称为Server-map 表,这相当于在防火墙上开通了“隐形通道”,使得像FTP 这样的特殊应用的报文可以正常转发。当然这个通道不是随意开的,是防火墙分析了报文的应用层信息之后,提前预测到后面报文的行为方式,所以才打开了这样的一个通道。

  • ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议在通信过程中自动协商一些随机端口,在严格安全策略的情况下,这些随机端口发出的报文可能得不到正常转发。通过ASPF功能,可以对这些协议的应用层数据进行解析,识别这些协议协商出来的端口号,从而自动为其开发相应的访问规则,解决这些协议不能正常转发的过程。

FTP与TFTP
  • FTP --- 文件传输协议

  • TFTP --- 简单文件传输协议

区别

  • FTP 是完整、面向会话、常规用途文件传输协议;而 TFTP 用作 bones bare - 特殊目的文件传输协议。

  • 因为 TFTP 不支持验证, 所以Windows NT FTP服务器不支持 TFTP

  • 可以以交互方式使用 FTP; TFTP 允许文件只能单向的传送。

  • FTP 提供用户身份验证; TFTP 却不。

  • FTP 依赖于 TCP 是面向连接并提供可靠的控件; TFTP 依赖 UDP,需要减少开销, 几乎不提供控件。

  • FTP 使用周知 TCP 端口号: 数据和连接对话框的 21 20; TFTP 使用它的文件传输活动 UDP 端口号 69。

  • FTP使用的是TCP21端口,而TFTP使用的是UDP69端口; 一般防火墙都会封TCP端口而不会封UDP的,所以TFTP有时比FTP好用,不过TFTP传输的文件一般较小,你要传大文件就要用FTP了

  • FTP拥有一套完整的命令集;而TFTP没有

FTP两种工作模式
  • 主动模式

  • 被动模式

数据传输端口号的确定

  • 192,168,1,2,8,2 --- IP地址为:192.168.1.2,端口号:8 * 256 + 2 = 2050

  • 向FTP这样的多进程的协议我们叫多通道协议

ASPF与FTP
  • ASPF --- 针对应用层的包过滤 --- 将识别到的端口信息记录在server-map的表中,在根据这个表中的记录,创建会话表

  • server-map表在web界面是不显示的,通过命令行查看

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/382949.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

神经网络新范式——LNDP:可终身学习的自主发育程序

近年来人工智能的高速发展离不开深度神经网络的应用,深度神经网络的发展是从大数据和硬件算力设备大规模发展之后才逐渐占据了人工智能的核心研究地位的,在此之前人工智能的研究都是以可解释性强、计算力小的统计学模型为主,但是以统计学为主…

c生万物系列(封装)

为了对c语言进行封装,笔者参考了lw_oopc等开源库,决定使用宏对结构体进行封装。 先说一下大致思想:通过宏,结构体和文件来实现封装。 大概步骤:抽象出类-> 使用lw_oopc库进行封装->定义接口封装底层实现 ->…

【概率论】-2-概率论公理(Axioms of Probability)

上一篇文章我们学习了基本的概率论内容-排列组合,本次我们学习概率论公理的内容,正式开始计算概率,在开始前我们需要学习一些基本概念。 目录 一.样本空间和事件 1.样本空间 2.事件 3.交并补 二、概率公理 1.基本公理 2.对称差 2.布尔…

【Docker】Docker-consul容器服务自动发现与注册

目录 一.Consul概述 1.解决了什么问题 2.什么叫微服务或者注册与发现 3.consul的模式 4.相关命令 二.consul 部署 1.consul服务器部署 2.部署docker容器 3.Nginx负载均衡器 3.1.安装启动nginx 3.2.配置nginx负载均衡 3.3.创建配置consul complate模板文件 3.4.添加…

【Gitlab】SSH配置和克隆仓库

生成SSH Key ssh-keygen -t rsa -b 4096 私钥文件: id_rsa 公钥文件:id_rsa.pub 复制生成的ssh公钥到此处 克隆仓库 git clone repo-address 需要进行推送和同步来更新本地和服务器的文件 推送更新内容 git push <remote><branch> 拉取更新内容 git pull &…

【进阶篇-Day12:JAVA中stream流、File类的介绍】

目录 1、stream流1.1 stream流的作用1.2 stream流的思想1.3 获取stream流对象1.4 stream流中间操作方法1.5 stream流终结操作方法1.6 stream收集操作1.7 stream的综合案例 2、File类2.1 File类创建文件对象2.2 File类的常用方法2.3 File类的创建和删除方法2.4 File类的遍历方法…

CSS实现表格无限轮播

<div className{styles.tableTh}><div className{styles.thItem} style{{ width: 40% }}>报警名称</div><div className{styles.thItem} style{{ width: 35% }}>开始时间</div><div className{styles.thItem} style{{ width: 25% }}>状态&…

rk3588s 定制版 USB adb , USB2.0与USB3.0 区别,adb 由typeC 转换到USB3.0(第二部分)

硬件资源&#xff1a; rk3588s 核心板定制的地板 软件资源&#xff1a; 网盘上的 android12 源码 1 硬件上 客户只想使用 type c 接口中的 usb2.0 OTG 。在硬件上&#xff0c;甚至连 CC芯片都没有连接。 关于一些前置的知识。 1 USB2.0 与 USB3.0 的区别。 usb3.0 兼容2.0 …

mysql面试(二)

前言 这是mysql面试基础的第二节&#xff0c;主要是了解一下mysql数据更新的基本流程&#xff0c;还有三大日志的作用。但是具体的比如undolog是如何应用在mvcc机制中的&#xff0c;由于篇幅问题就放在下一在章节 数据更新流程 上面是说了更新真正数据之前的大致流程&#x…

邮件安全篇:如何防止邮件泄密?

本文主要讨论组织内部用户违反保密规定通过邮件泄密的场景。其他场景导致邮箱泄密的问题&#xff08;如账号被盗、邮件系统存在安全漏洞等&#xff09;不在本文的讨论范围。本文主要从邮件系架构设计、邮件数据防泄漏系统、建立健全规章制度、安全意识培训等方面分别探讨。 1. …

sql-libs通关详解

1-4关 1.第一关 我们输入?id1 看回显&#xff0c;通过回显来判断是否存在注入&#xff0c;以及用什么方式进行注入&#xff0c;直接上图 可以根据结果指定是字符型且存在sql注入漏洞。因为该页面存在回显&#xff0c;所以我们可以使用联合查询。联合查询原理简单说一下&…

科研绘图系列:R语言组合堆积图(stacked barplot with multiple groups)

介绍 通常堆积图的X轴表示样本,样本可能会存在较多的分组信息,通过组合堆积图和样本标签分组信息,我们可以得到一张能展示更多信息的可发表图形。 加载R包 knitr::opts_chunk$set(warning = F, message = F) library(tidyverse) library(cowplot) library(patchwork)导入…

【React】JSX:从基础语法到高级用法的深入解析

文章目录 一、什么是 JSX&#xff1f;1. 基础语法2. 嵌入表达式3. 使用属性4. JSX 是表达式 二、JSX 的注意事项1. 必须包含在单个父元素内2. JSX 中的注释3. 避免注入攻击 三、JSX 的高级用法1. 条件渲染2. 列表渲染3. 内联样式4. 函数作为子组件 四、最佳实践 在 React 开发中…

科研绘图系列:R语言组合热图和散点图

介绍 热图展示参与者的属性,散点图表示样本的时间跨度。 加载R包 library(tidyverse) library(ComplexHeatmap) library(circlize) library(cowplot)导入数据 数据可从以下链接下载(画图所需要的所有数据): 百度云盘链接: https://pan.baidu.com/s/1iEE9seTLdrrC3WDHJy…

P2p网络性能测度及监测系统模型

P2p网络性能测度及监测系统模型 网络IP性能参数 IP包传输时延时延变化误差率丢失率虚假率吞吐量可用性连接性测度单向延迟测度单向分组丢失测度往返延迟测度 OSI中的位置-> 网络层 用途 面相业务的网络分布式计算网络游戏IP软件电话流媒体分发多媒体通信 业务质量 通过…

富唯智能转运机器人:高效、智能、未来的选择

在现代工业中&#xff0c;高效的物流和物料处理是提升生产效率的关键。富唯智能转运机器人&#xff0c;以其卓越的技术和智能化的设计&#xff0c;为各行业提供了完美的解决方案。 产品概述 富唯智能转运机器人搭载ICD系列核心控制器&#xff0c;拥有多种移载平台&#xff0c…

学习记录day18——数据结构 算法

算法的相关概念 程序 数据结构 算法 算法是程序设计的灵魂&#xff0c;结构式程序设计的肉体 算法&#xff1a;计算机解决问题的方法护额步骤 算法的特性 1、确定性&#xff1a;算法中每一条语句都有确定的含义&#xff0c;不能模棱两可 2、有穷性&#xff1a;程序执行一…

Kafka知识总结(基本介绍+基本概念)

文章收录在网站&#xff1a;http://hardyfish.top/ 文章收录在网站&#xff1a;http://hardyfish.top/ 文章收录在网站&#xff1a;http://hardyfish.top/ 文章收录在网站&#xff1a;http://hardyfish.top/ 消息队列应用场景&#xff1a; 通过异步处理提高系统性能&#xf…

3GPP眼中的XR及其技术特点

3GPP R18 支持了XR Services。XR需要高数据速率和低延迟通信&#xff0c;这也真是5G可以大展身手的地方。这篇就从3GPP的角度看下XR是什么以及XR有哪些技术特点。 Extended Reality (XR) 是指由计算机技术和可穿戴设备生成的所有现实与虚拟相结合的环境和人机交互技术。 实际上…

【相机与图像】1. 相机模型的介绍:内参、外参、畸变参数

想着整理下相机模型&#xff08;内容上参考 slam十四讲&#xff09;、相机的内外参标定。方便自己的使用和回顾。 不过&#xff0c;内外参标定啥时候记录随缘 -_- 概述 【构建相机模型】 相机将三位世界中的坐标点&#xff08;单位为米&#xff09;映射到二维图像平面&#xff…