防御与安全4

目录

安全策略

会话表和状态检测

servermap

用户认证

NAT

选路

可靠性


安全策略

在接口和路由配置完成的基础上直接增加安全策略,设置允许和拒绝的动作,如果允许通过后续还需要进行内容检测,相较于acl更精确

五元组:源ip、目标ip、源端口、目标端口、传输层协议

会话表和状态检测

会话表是基于流的包交换,只有首包需要检测,后续核对hash直接传,提高效率

状态检测就是检测是否符合协议规范对后续报文的定义,就是检测是否是同一个协议,再决定传输或者不传,避免客户端的端口全开启等着收包。

数据通过防火墙流程:如果是首包,匹配不上会话表且路由可达,就判断是否创建会话表,如果不是首包还不可达就直接丢弃。

servermap

ftp-网络传输协议-c/s架构(客户端/服务端)21用于控制链接端口,20用于数据传输。认证阶段都是客户端向服务端21发tcp建立链接,主动模式是客户端通过随机端口给服务器发包,然后服务器通过20建立连接,被动模式是服务器告知客户端一个随机端口等客户端连接。这种协议也叫多通道协议 。

随机端口:

计算公式:8x256+2=2050

tfpt-简单文件传输协议。

这两个的区别是tcp/udp的区别;有认证/无认证;对文件的可操作性高/仅上传下载。

ASPF是针对应用层的包过滤,抓取多通道协议的协商端口,将结果记录在server-map中,相当于开辟一个隐形通道。

用户认证

上网行为管理三要素是用户、行为、流量。

用户认证包括上网(三层认证,所有的跨网段通信,全网包括二层和三层)、入网(二层设备接入,例如网线接入交换机或者连接wifi)、接入(远程接入,vpn)。

认证方式包括本地认证(用户信息在防火墙上,整个认证过程都在防火墙上执行)、服务器认证 (对接第三方服务器,防火墙将用户信息传递给服务器,之后,服务器将认证结果返回,防火墙执行对应的动作即可)、单点登录 (和第三方服务器认证类似)。

认证策略包括Portal (仅需要流量触发对应的服务时,弹出窗口,输入用户名和密码进行认证)、免认证(需要在IP/MAC双向绑定的情况下使用)、匿名认证(登录者不需要输入用户名和密码,直接使用IP地址作为其身份进行登录)。

NAT

nat包括静态(1对1,多用于服务器映射)、动态(多对多)和napt(一对多(easyip),多对多)、服务器映射。

在防火墙组网环境下分类分成源nat(基于源IP地址进行转化,内网用户访问公网)、目标nat(基于目标地址进行转化,外网用户访问内网服务器)、双向nat(同时具备前两者功能)。

源nat在安全策略之后执行,目标nat在安全策略之前执行(安全策略的目标地址是nat转换后的地址,所以需要先转换地址才能走过这个安全策略)

配置nat地址池的时候配置黑洞路由可以避免出现环路(地址池中的地址和出接口地址不在同一个网段

动态nat+server-map:在动态nat触发访问流量后会生成两条server-map的记录,其中一条是反向记录。反向记录存在时,相当于是一条静态NAT记录,外网的任意地址,在安全策略放通的情况

下,可以访问到内网的设备;基于端口的NAT转换,是不会生成server-map表的。

三元组nat:在p2p(peer to peer)情况下端口转换的时候会导致使用五元组的客户端无法直接访问。利用三元组(去除源、目标端口)可以正常通信

选路

选路包括:就近选路、策略路由(策略主要先匹配流量,再执行动作。策略路由可以从多维度去匹配流量,之后,执行的动作就是定义其转发的出接口和下一跳)、智能选路(带宽、质量、权重负载分担、优先级主备备份)、DNS透明代理 (配合就近选路)

可靠性

做冗余!因为状态检测机制,也就是会话表是临时的,所以要依靠双机热备技术(目前防火墙的双机热备技术仅支持两台设备,两台设备同时运行,在一台设备出现故障的情况下,另一台设备可以立即替代原设备。)来同步会话表

主备分别称为Active和Standby。

vrrp:

备份组之间是相互独立的,当一台设备上出现多个VRRP组时,他们之间的状态无法同步。

然后有VGMP(VRRP Group Management Protocol)这个协议就是将一台设备上的多个VRRP组看成一个组,之后统一进行管理,统一切换的协议。以此来保证VRRP组状态的一致性。

HRP(Huawei Redundancy Protocol)传输备份配置信息和状态信息。前提是两台设备之间必须专门连一根用于备份的线路,这跟线路我们称为心跳线(广义上,任何两台设备之间的链路都可以叫做心跳线)心跳线的接口必须是一个三层接口,需要配置对应的IP地址。这条备份数据的链路不受路由策略限制(直连场景。非直连场景依然需要配置安全策略。);HRP协议本身算是VGMP协议的一部分,HRP的心跳线也会传递心跳报文,用于检测对端是否处于工作状态。这个周期时间默认1s,逻辑和vrrp一样,只有主设备会周期发送,备设备仅监听即可,如果在三个周期内都没有收到HRP的心跳报文,则将认定原主设备故障,则将进行失效判断,认定自身Active。(VGMP的报文也是通过这条心跳线发送的) 。

备份方式包括自动备份(默认开启,但是有10s左右延迟同步)、手工备份(看立即手工配置)、快速备份(在负载均衡场景下,两台设备都需要处于工作状态,为了避免因为状态信息同步不及时而导致业务流量中断。快速备份可以实时同步状态信息,但是不同步配置信息)。

场景:主故障,主备切换。主恢复后有两种情况,没有开启抢占原主设备仍保持备份,开启抢占就切换回来。

相关推荐
久绊A27 分钟前
网络信息系统的整个生命周期
网络
_PowerShell33 分钟前
[ DOS 命令基础 3 ] DOS 命令详解-文件操作相关命令
网络·dos命令入门到精通·dos命令基础·dos命令之文件操作命令详解·文件复制命令详解·文件对比命令详解·文件删除命令详解·文件查找命令详解
_.Switch3 小时前
高级Python自动化运维:容器安全与网络策略的深度解析
运维·网络·python·安全·自动化·devops
qq_254674413 小时前
工作流初始错误 泛微提交流程提示_泛微协同办公平台E-cology8.0版本后台维护手册(11)–系统参数设置
网络
JokerSZ.3 小时前
【基于LSM的ELF文件安全模块设计】参考
运维·网络·安全
小松学前端6 小时前
第六章 7.0 LinkList
java·开发语言·网络
城南vision6 小时前
计算机网络——TCP篇
网络·tcp/ip·计算机网络
Ciderw6 小时前
块存储、文件存储和对象存储详细介绍
网络·数据库·nvme·对象存储·存储·块存储·文件存储
Tony聊跨境7 小时前
独立站SEO类型及优化:来检查这些方面你有没有落下
网络·人工智能·tcp/ip·ip