防御与安全4

目录

安全策略

会话表和状态检测

servermap

用户认证

NAT

选路

可靠性


安全策略

在接口和路由配置完成的基础上直接增加安全策略,设置允许和拒绝的动作,如果允许通过后续还需要进行内容检测,相较于acl更精确

五元组:源ip、目标ip、源端口、目标端口、传输层协议

会话表和状态检测

会话表是基于流的包交换,只有首包需要检测,后续核对hash直接传,提高效率

状态检测就是检测是否符合协议规范对后续报文的定义,就是检测是否是同一个协议,再决定传输或者不传,避免客户端的端口全开启等着收包。

数据通过防火墙流程:如果是首包,匹配不上会话表且路由可达,就判断是否创建会话表,如果不是首包还不可达就直接丢弃。

servermap

ftp-网络传输协议-c/s架构(客户端/服务端)21用于控制链接端口,20用于数据传输。认证阶段都是客户端向服务端21发tcp建立链接,主动模式是客户端通过随机端口给服务器发包,然后服务器通过20建立连接,被动模式是服务器告知客户端一个随机端口等客户端连接。这种协议也叫多通道协议 。

随机端口:

计算公式:8x256+2=2050

tfpt-简单文件传输协议。

这两个的区别是tcp/udp的区别;有认证/无认证;对文件的可操作性高/仅上传下载。

ASPF是针对应用层的包过滤,抓取多通道协议的协商端口,将结果记录在server-map中,相当于开辟一个隐形通道。

用户认证

上网行为管理三要素是用户、行为、流量。

用户认证包括上网(三层认证,所有的跨网段通信,全网包括二层和三层)、入网(二层设备接入,例如网线接入交换机或者连接wifi)、接入(远程接入,vpn)。

认证方式包括本地认证(用户信息在防火墙上,整个认证过程都在防火墙上执行)、服务器认证 (对接第三方服务器,防火墙将用户信息传递给服务器,之后,服务器将认证结果返回,防火墙执行对应的动作即可)、单点登录 (和第三方服务器认证类似)。

认证策略包括Portal (仅需要流量触发对应的服务时,弹出窗口,输入用户名和密码进行认证)、免认证(需要在IP/MAC双向绑定的情况下使用)、匿名认证(登录者不需要输入用户名和密码,直接使用IP地址作为其身份进行登录)。

NAT

nat包括静态(1对1,多用于服务器映射)、动态(多对多)和napt(一对多(easyip),多对多)、服务器映射。

在防火墙组网环境下分类分成源nat(基于源IP地址进行转化,内网用户访问公网)、目标nat(基于目标地址进行转化,外网用户访问内网服务器)、双向nat(同时具备前两者功能)。

源nat在安全策略之后执行,目标nat在安全策略之前执行(安全策略的目标地址是nat转换后的地址,所以需要先转换地址才能走过这个安全策略)

配置nat地址池的时候配置黑洞路由可以避免出现环路(地址池中的地址和出接口地址不在同一个网段

动态nat+server-map:在动态nat触发访问流量后会生成两条server-map的记录,其中一条是反向记录。反向记录存在时,相当于是一条静态NAT记录,外网的任意地址,在安全策略放通的情况

下,可以访问到内网的设备;基于端口的NAT转换,是不会生成server-map表的。

三元组nat:在p2p(peer to peer)情况下端口转换的时候会导致使用五元组的客户端无法直接访问。利用三元组(去除源、目标端口)可以正常通信

选路

选路包括:就近选路、策略路由(策略主要先匹配流量,再执行动作。策略路由可以从多维度去匹配流量,之后,执行的动作就是定义其转发的出接口和下一跳)、智能选路(带宽、质量、权重负载分担、优先级主备备份)、DNS透明代理 (配合就近选路)

可靠性

做冗余!因为状态检测机制,也就是会话表是临时的,所以要依靠双机热备技术(目前防火墙的双机热备技术仅支持两台设备,两台设备同时运行,在一台设备出现故障的情况下,另一台设备可以立即替代原设备。)来同步会话表

主备分别称为Active和Standby。

vrrp:

备份组之间是相互独立的,当一台设备上出现多个VRRP组时,他们之间的状态无法同步。

然后有VGMP(VRRP Group Management Protocol)这个协议就是将一台设备上的多个VRRP组看成一个组,之后统一进行管理,统一切换的协议。以此来保证VRRP组状态的一致性。

HRP(Huawei Redundancy Protocol)传输备份配置信息和状态信息。前提是两台设备之间必须专门连一根用于备份的线路,这跟线路我们称为心跳线(广义上,任何两台设备之间的链路都可以叫做心跳线)心跳线的接口必须是一个三层接口,需要配置对应的IP地址。这条备份数据的链路不受路由策略限制(直连场景。非直连场景依然需要配置安全策略。);HRP协议本身算是VGMP协议的一部分,HRP的心跳线也会传递心跳报文,用于检测对端是否处于工作状态。这个周期时间默认1s,逻辑和vrrp一样,只有主设备会周期发送,备设备仅监听即可,如果在三个周期内都没有收到HRP的心跳报文,则将认定原主设备故障,则将进行失效判断,认定自身Active。(VGMP的报文也是通过这条心跳线发送的) 。

备份方式包括自动备份(默认开启,但是有10s左右延迟同步)、手工备份(看立即手工配置)、快速备份(在负载均衡场景下,两台设备都需要处于工作状态,为了避免因为状态信息同步不及时而导致业务流量中断。快速备份可以实时同步状态信息,但是不同步配置信息)。

场景:主故障,主备切换。主恢复后有两种情况,没有开启抢占原主设备仍保持备份,开启抢占就切换回来。

相关推荐
我要学编程(ಥ_ಥ)6 小时前
初始JavaEE篇 —— 网络原理---传输层协议:深入理解UDP/TCP
java·网络·tcp/ip·udp·java-ee
百事可乐☆7 小时前
全局webSocket 单个页面进行监听并移除单页面监听
网络·websocket·网络协议
深圳启明云端科技7 小时前
WiFi、蓝牙共存,物联网无线通信技术,设备无线连接数据传输应用
网络·物联网·智能家居
dengjiayue7 小时前
OSI 网络 7 层模型
网络
cnsinda_sdc8 小时前
信创数据防泄漏中信创沙箱是什么样的安全方案
运维·网络·安全·源代码管理·源代码防泄密·源代码加密
深圳启明云端科技8 小时前
潮玩设备AI语音交互方案,ESP32-S3芯片模组物联网通信技术
网络·物联网·音视频·智能家居
搬砖的果果9 小时前
爬虫代理服务要怎么挑选?
网络·爬虫·网络协议·tcp/ip
HackKong10 小时前
高校网络安全_网络安全之道
java·网络·c++·python·学习·web安全·黑客技术
只抄11 小时前
随身 WiFi 连接 X-Wrt 共享网络与 IPv6 中继配置
网络·智能路由器
coniting12311 小时前
【H3CNE邓方鸣】IPv6+2024.12.23
网络