huawei USG6001v1学习---防火墙相关知识（2）

1.安全策略

传统包过滤技术 --- 其本质就是ACL访问控制列表，根据数据包的特征进行过滤，对比规则，
执行对应的动作；
这里数据包的特征 --- 数据包的五元组 --- 源IP，目标IP，源端口，目标端口，协议

ACL功能-------1抓流量 2.对流量允许、拒绝

而安全策略比ACL多一个对内容安全的识别

配置：

所有匹配项之间的关系是"与"，一条中如果可以多选，则多个选项之间为"或"关系

2.防火墙的状态检测和会话表技术

主要机制就是以数据流作为单位，仅针对首包进行检测，检测之后，将数据包的特征记录在本
地的会话表中，之后，数据流中的其他数据包来到防火墙，不再匹配安全策略，则匹配会话
表，根据会话表来进行转发

pc访问web服务器检测允许通过后，会建立会话，后面当web服务器回应pc直接就匹配会话，匹配成功则允许通过。
1，会话表技术；2，状态检测技术
会话表技术作用： 提高转发效率的关键
老化机制
1，当会话表老化时间过长会占用资源，导致一些会话无法正常建立
2，当老化时间过短会导致一些需要长时间发送一次的报文强行终端，影响正常业务
查看会话和老化时间：

常见协议老化时间：

命令行查看
<USG6000V1>display firewall session table

状态检测技术：
1，检测数据包是否符合协议的逻辑顺序；
2，检查是否是逻辑上的首包，只有首包可以创建会话表。
这个首报可以理解为tcp三次握手的首包是SYN，如果首包不是SYN就丢弃，就不会创建会话表了

USG6000V1\]firewall session link-state tcp ? check Indicate link state check \[USG6000V1\]firewall session link-state tcp check --- 命令行中开启状态检测功能的命令，如果需 要关闭，则在该命令前面加undo 数据转发会查询会话表 ![](https://i-blog.csdnimg.cn/direct/ba71b051be5143d997810b55d8590234.png) ASPF --- 针对应用层的包过滤 --- 将识别到的端口信息记录在server-map的表中，在根据这 个表中的记录，创建会话表。 ![](https://i-blog.csdnimg.cn/direct/823c0d975ae6481e9f51af83cdacefc0.png) 查看server-map表 ![](https://i-blog.csdnimg.cn/direct/a2bd10d409df4ad7acf172253358b237.png) ## 3.FTP FTP --- 文件传输协议 ![](https://i-blog.csdnimg.cn/direct/7f34874f839c4b88bbd192249b8d66ef.png) ASCII方式：用以传输文本文件（TXT、LOG、CFG ）。发送端的字符在发送前被转换成ASCII码格式之后进行传输，接收端收到之后再将其转换成字符。 Binary方式（二进制）：用以传输图像、声音、压缩文件等非文本文件（cc、BIN、EXE、PNG）。发送端在发送这些文件时无需转换格式，即可传输。 FTP还分为了两种工作模式 --- 主动模式，被动模式 主动模式 ![](https://i-blog.csdnimg.cn/direct/8519bca945d64f4bbc7685ae6738e5c9.png) 抓包： ![](https://i-blog.csdnimg.cn/direct/a4a0f556dbfc4db0b48dd766bf90b133.png) 192，168，1，2，8，2 --- IP地址为：192.168.1.2，端口号：8 \* 256 + 2 = 2050 ![](https://i-blog.csdnimg.cn/direct/b39204ca271845e48464c5d34bb6e1d9.png) 抓包： ![](https://i-blog.csdnimg.cn/direct/d7146e0d944247218df92cc05a4b4b02.png) * 主动模式： 服务器主动连接客户端的数据端口（21端口）。 * 被动模式： 服务器被动地等待客户端连接自己的数据端口（一个大于1024的端口）。 Tftp --- 简单文件传输协议 SSH File Transfer Protocol（SFTP）是建立在SSH（Secure Shell，安全外壳）协议之上的安全文件传输协议。相比于FTP和TFTP，SFTP提供了加密的通信通道，更适用于对安全性有较高要求的文件传输场景。 ![](https://i-blog.csdnimg.cn/direct/a14001b81fdc4998a833614cf9a4fda4.png) 认情况下，FTP使用 `20`和 `21`这两个端口，其中 `20`用于数据连接（传递数据）， `21`用于控制连接（传递控制信息）。 ## 4.用户认证 防火墙管理员认证 ---- 校验登录者身份合法性 用户认证 --- 上网行为管理中的一环 上网用户认证 --- 三层认证 --- 将用户和行为进行绑定 入网用户认证 --- 二层认证 接入用户认证 --- VPN --- 对身份合法性进行认证 认证方式 本地认证 服务器认证 单点登录 --- 和服务器认证的逻辑类似 ![](https://i-blog.csdnimg.cn/direct/3a311bb780dc4fdb9933dd59c66b9cf3.png) 认证域 --- 可以定义用户的认证方式以及用户的组织结构 ![](https://i-blog.csdnimg.cn/direct/e601ac870c2742388e20cf44690e5700.png) 登录名 --- 用于登录的凭证，同一个认证域下不可以重复 显示名 --- 用来方便区分用户，不用的登录使用，可以重复，也不是必要项。 ![](https://i-blog.csdnimg.cn/direct/2a05d9372d1e4f34a41568c54bb50437.png) 在到期之前，登录到期后不会强制下线，主动下线后，将无法再次登录 允许多人同时使用该账号登录 私有用户 公有用户 ![](https://i-blog.csdnimg.cn/direct/39f31bd963ed4038bf39ef9fecaadf80.png) 单向绑定 --- 该用户只能在设定的IP或者MAC或者IP/MAC的设备上登录，但**该设备也可以让** **其他用户登录** 双向绑定 --- 该用户可以在设定的IP或者MAC或者IP/MAC的设备上登录，且其他用户**不允许** 在该设备上登录 安全组和用户组 --- 安全组和用户组都可以关联策略，但是，用户组关联的策略将递归执行， 即其下子用户组均需遵循策略，安全组不递归执行，只有选中的安全组执行策略。 ## 5.认证策略 ![](https://i-blog.csdnimg.cn/direct/78fbe52c65084e3db6263cf162826cf9.png) Portal --- 网页认证，在触发需要认证的流量后，将提供网页认证界面，需要在界面中输入用 户明和密码进行认证 免认证 --- 认证透明化，在符合单点登录或者IP/MAC双向绑定的前提下，可以不需要进行认 证环节，直接通过IP/MAC地址信息来追溯用户信息。 匿名认证 --- 通过流量中的IP地址来作为用户的身份标识，不需要输入用户名和密码 免认证和匿名认证不需要输入密码，但是从员工上网那一刻就已经被监视了，一些企业可以通过这种方法对员工进行上网行为管理。 ![](https://i-blog.csdnimg.cn/direct/b475c0c537fd49d88c2069725ba5b744.png) Portal认证 --- 则认证策略里面的动作需要选择protal； 免认证 --- 则认证策略里面需要选择免认证 单点登录 --- 则认证策略里面也选择免认证 如果认证策略里面选择匿名认证，则不触发这里的认证方式 两个认证域之间是"或"的关系 ![](https://i-blog.csdnimg.cn/direct/8de7e01b50134bf8874594eeaaf1a46e.png) tfp详细的原文链接：https://blog.csdn.net/DontDash/article/details/139929641