网络安全基础

一、网络设备基础

1.1 园区网络安全部署场景

  • 一般园区网络中,由最基础的路由器与交换机组成网络,为了安全,在网络中部署防火墙
  • 在那些区域需要部署防火墙
    • 在网络的出入口区域部署
    • 在重要的服务器区域部署
  • 数据中心区的服务器一般只对内网用户提供服务,而DMZ区域面向外部用户提供服务。
  • 分支/合作伙伴出口处也会部署防火墙,这样就可以在两个防火墙之间部署IPSec VPN实现两个区域内网的互访。

1.2 三级等保解决方案

  • Huawei NGFW防火墙集成了IPS与WAF功能,但如果一台设备将这些功能全部实现,必然会造成设备性能的下降,所以为了实现更安全的内部网络,不同功能由专门的设备来实现最安全。
  • 安全产品
    • NGFW(华为防火墙)访问行为控制、身份认证、VPN技术、入侵防御...
    • ASG(上网行为管理)流量控制、应用控制、行为控制...
    • IPS(入侵防御系统)入侵检测、病毒检测...
    • AntiDDos(DDos防御)防止DDos分布式拒绝服务攻击...
    • 安全态势感知(可视化感知)
    • 网络安全管理(可视化管理)
    • WAF(Web服务安全设备)
    • APT(沙箱)病毒检测...

1.3 华为安全产品线

二、防火墙基础

2.1 eNSP中防火墙基本操作

本机通过Web访问防火墙不需要添加环回网卡,在eNSP中进行桥接,具体操作如下:

  1. Telnet管理防火墙,现网中不安全不推荐

  2. Web界面管理防火墙推荐

  3. SSH管理防火墙安全(配置命令👇)

system-view
 user-interface vty 0 4
  authentication-mode aaa
  user privilege level 15
  quit
 ssh authentication-type default password
 rsa local-key-pair create
 stelnet server enable
 ssh user nc086
 ssh user nc086 authentication-type password
 ssh user nc086 service-type stelnet
 int g0/0/0
 service-manage ssh permit

2.2 防火墙特征

  • 防火墙将每一个网络理解成一个逻辑区域,所以连接该网络的接口必须划入一个安全区域,防火墙的接口必须划入安全区域,该接口无法工作,因为无法判断流量如何流动。
  • 一个安全区域可以包含多个接口,一个接口只能属于一个安全区域(本地意义)。
  • 默认安全区域:
    • 本地区域:防火墙所有接口都属于Local区域且无法修改。
    • 信任区域:一般将内网划入Trust区域。
    • 非军事化管理区域:一般将服务器划入DMZ区域。
    • 非信任区域:一般将外网划入到Untrust区域。
  • 安全级别按顺序从高(出)低(入):100,85,50,5(及自定义区域不能重复使用级别)。
  • 区域之间访问:
    • 上一代防火墙默认级别高可以访问级别低区域,低区域不能访问高区域。
    • 下一代防火墙默认所有区域之间都不安全拒绝,同区域之间互相默认允许。

2.3 防火墙的分类

按照访问控制的方式分为:

  • 包过滤防火墙
  • 应用代理防火墙
  • 状态检测防火墙

2.3.1 关于传统防火墙