huawei USG6001v1学习---防火墙相关知识(2)

目录

1.安全策略

2.防火墙的状态检测和会话表技术

3.FTP

4.用户认证

5.认证策略


1.安全策略

传统包过滤技术 --- 其本质就是ACL访问控制列表,根据数据包的特征进行过滤,对比规则,
执行对应的动作;
这里数据包的特征 --- 数据包的五元组 --- 源IP,目标IP,源端口,目标端口,协议

ACL功能-------1抓流量 2.对流量允许、拒绝

而安全策略 比ACL多一个对内容安全的识别

配置:


所有匹配项之间的关系是"与",一条中如果可以多选,则多个选项之间为"或"关系

2.防火墙的状态检测和会话表技术

主要机制就是以数据流作为单位,仅针对首包进行检测,检测之后,将数据包的特征记录在本
地的会话表中,之后,数据流中的其他数据包来到防火墙,不再匹配安全策略,则匹配会话
表,根据会话表来进行转发

pc访问web服务器检测允许通过后,会建立会话,后面当web服务器回应pc直接就匹配会话,匹配成功则允许通过。
1,会话表技术;2,状态检测技术
会话表技术 作用: 提高转发效率的关键
老化机制
1,当会话表老化时间过长 会占用资源,导致一些会话无法正常建立
2,当老化时间过短 会导致一些需要长时间发送一次的报文强行终端,影响正常业务
查看会话和老化时间:


常见协议老化时间:


命令行查看
<USG6000V1>display firewall session table

状态检测技术:
1,检测数据包是否符合协议的逻辑顺序;
2,检查是否是逻辑上的首包,只有首包可以创建会话表。
这个首报可以理解为tcp三次握手的首包是SYN,如果首包不是SYN就丢弃,就不会创建会话表了


[USG6000V1]firewall session link-state tcp ?
check Indicate link state check
[USG6000V1]firewall session link-state tcp check --- 命令行中开启状态检测功能的命令,如果需
要关闭,则在该命令前面加undo
数据转发会查询会话表

ASPF --- 针对应用层的包过滤 --- 将识别到的端口信息记录在server-map的表中,在根据这
个表中的记录,创建会话表。

查看server-map表

3.FTP

FTP --- 文件传输协议

ASCII方式:用以传输文本文件(TXT、LOG、CFG )。发送端的字符在发送前被转换成ASCII码格式之后进行传输,接收端收到之后再将其转换成字符。

Binary方式(二进制):用以传输图像、声音、压缩文件等非文本文件(cc、BIN、EXE、PNG)。发送端在发送这些文件时无需转换格式,即可传输。
FTP还分为了两种工作模式 --- 主动模式,被动模式
主动模式

抓包:

192,168,1,2,8,2 --- IP地址为:192.168.1.2,端口号:8 * 256 + 2 = 2050

抓包:

  • 主动模式: 服务器主动连接客户端的数据端口(21端口)。

  • 被动模式: 服务器被动地等待客户端连接自己的数据端口(一个大于1024的端口)。

Tftp --- 简单文件传输协议
SSH File Transfer Protocol(SFTP)是建立在SSH(Secure Shell,安全外壳)协议之上的安全文件传输协议。相比于FTP和TFTP,SFTP提供了加密的通信通道,更适用于对安全性有较高要求的文件传输场景。

认情况下,FTP使用 2021这两个端口,其中 20用于数据连接(传递数据), 21用于控制连接(传递控制信息)。

4.用户认证

防火墙管理员认证 ---- 校验登录者身份合法性
用户认证 --- 上网行为管理中的一环
上网用户认证 --- 三层认证 --- 将用户和行为进行绑定
入网用户认证 --- 二层认证
接入用户认证 --- VPN --- 对身份合法性进行认证
认证方式
本地认证
服务器认证
单点登录 --- 和服务器认证的逻辑类似
认证域 --- 可以定义用户的认证方式以及用户的组织结构

登录名 --- 用于登录的凭证,同一个认证域下不可以重复
显示名 --- 用来方便区分用户,不用的登录使用,可以重复,也不是必要项。


在到期之前,登录到期后不会强制下线,主动下线后,将无法再次登录
允许多人同时使用该账号登录
私有用户
公有用户

单向绑定 --- 该用户只能在设定的IP或者MAC或者IP/MAC的设备上登录,但该设备也可以让
其他用户登录
双向绑定 --- 该用户可以在设定的IP或者MAC或者IP/MAC的设备上登录,且其他用户不允许
在该设备上登录
安全组和用户组 --- 安全组和用户组都可以关联策略,但是,用户组关联的策略将递归执行,
即其下子用户组均需遵循策略,安全组不递归执行,只有选中的安全组执行策略。

5.认证策略


Portal --- 网页认证,在触发需要认证的流量后,将提供网页认证界面,需要在界面中输入用
户明和密码进行认证
免认证 --- 认证透明化,在符合单点登录或者IP/MAC双向绑定的前提下,可以不需要进行认
证环节,直接通过IP/MAC地址信息来追溯用户信息。
匿名认证 --- 通过流量中的IP地址来作为用户的身份标识,不需要输入用户名和密码
免认证和匿名认证不需要输入密码,但是从员工上网那一刻就已经被监视了,一些企业可以通过这种方法对员工进行上网行为管理。

Portal认证 --- 则认证策略里面的动作需要选择protal;
免认证 --- 则认证策略里面需要选择免认证
单点登录 --- 则认证策略里面也选择免认证
如果认证策略里面选择匿名认证,则不触发这里的认证方式
两个认证域之间是"或"的关系

tfp详细的原文链接:https://blog.csdn.net/DontDash/article/details/139929641

相关推荐
Young_202202021 分钟前
学习笔记——KMP
笔记·学习
行然梦实17 分钟前
学习日记_20241110_聚类方法(K-Means)
学习·kmeans·聚类
Hacker_Nightrain19 分钟前
网络安全CTF比赛规则
网络·安全·web安全
马船长22 分钟前
制作图片木马
学习
秀儿还能再秀34 分钟前
机器学习——简单线性回归、逻辑回归
笔记·python·学习·机器学习
WCF向光而行38 分钟前
Getting accurate time estimates from your tea(从您的团队获得准确的时间估计)
笔记·学习
看山还是山,看水还是。1 小时前
Redis 配置
运维·数据库·redis·安全·缓存·测试覆盖率
学编程的小程1 小时前
【安全通信】告别信息泄露:搭建你的开源视频聊天系统briefing
安全·开源·音视频
网络安全指导员1 小时前
恶意PDF文档分析记录
网络·安全·web安全·pdf
wang09071 小时前
工作和学习遇到的技术问题
学习