- 定义
- 在安全要求不同的网络区域之间,通过即定原则访问和控制网络通信强度的安全设备
- 目的
- 隔离外网和内网,保护网络安全
- 功能
- 路由,交换
-
- 防火墙本质:
,部署在网络边界,控制进出网络的核心特征:安全防护控制 - 交换机的本质:
。交换机通过二层/三层交换机快速转发报文转发 - 路由器的本质:
。连接不同的网络,确保互联互通,确保向目的地发送报纸转发
- 防火墙本质:
-
- 基本功能
- 隔离
- 访问控制
- 其他功能
- 基本组网及防护功能
- 记录监控网络访问和访问的记录
- 限制内部用户访问特殊网站
- 限制暴露用户点
网络地址转换(nat技术) - 产生原因
- ipv地址逐渐枯竭
- ipv6技术不能立即大面积替换
- 各种延长IPv4寿命的技术不断出现,NAT就是其中之一
- 目的
- 在保证通信节约的基础上,实现大量私网地址对少量公网地址的转换IP地址资源
- 私网地址不能在公网中路由,否则会导致通信混乱
- 对IP转换报文头中的源地址或目的地址,使大量私网IP共享少量公网地址IP来访问公网
- 在保证通信节约的基础上,实现大量私网地址对少量公网地址的转换IP地址资源
- 分类
- 基于源IP地址
- 转换的方向
- Inbound (低到高) Outbound(高到低)
- 端口是否转换
- No-Pat
- 用于一对一IP地址转换,端口不转换
- 局限性
- 如果地址池中的地址已经全部分配出去,则剩余内网主机访问外网时不会进行NAT转换直到地址池中有空闲地址NAT转换。
- No-Pat
- NAPT
- 源端口和源IP所有转换,不同的内部地址映射到同一共同地址的不同端口,多对一转换
- 转换的方向
- 基于源IP地址
- 内网→外网,放行T到U的流量
- EASY-IP
- 利用出接口的公网地址作为nat转换后的地址
- 产生原因
- 基于目的IP地址
- NAT sever
- 使用一个公网地址来代表内部服务器对外地址
- 外网→内网,放行U到T的HTTP流量
- 使用一个公网地址来代表内部服务器对外地址
- 目的NAT
- 使设备自动将终端发往错误wap网关地址的报文自动转发给正确的wap网关
- no-reverse参数
- 配置参数no-reverse后,设备只将公网地址转换成私网地址,不能将私网地址转换成公网地址。当内部服务器主动访问外部网络时需要执行outbound的nat策略。
- 不带no-reverse参数的nat server后,当公网用户访问服务器时,设备能将服务器的公网地址转换成私网地址;同时,当服务器主动访问公网时,设备也能将服务器的私网地址转换成公网地址。
- NAT sever
- 双向NAT技术
- 分类
- NAT server+NAT Inbound(域间双向nat)
- U到T
- NAT server+域内NAT
- U到T NAT Server的流量,T到T的NAT流量
- 防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址
- 防火墙将FTP服务器回应报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址。
- NAT server+NAT Inbound(域间双向nat)
- 分类
- 优点
- 实现IP复用,节约宝贵的地址资源
- 地址转换过程对用户透明
- 对内网用户提供隐私保护
- 可实现内部服务器的负载均衡
- 缺点
- 网络监控难度加大
- 限制某些具体应用
- nat地址池
- 连续IP地址的集合,当来自私网的报文通过地址转换到公网IP时,将会选择地址池的某个地址作为转换后的地址
- NAT ALG(应用级网关)
- 特定应用协议的转换代理,可完成应用层数据携带的地址号及端口号信息的转换
- 生成server map表
- 配置nat server
- 自动生成,用于存放global地址与Internet地址的映射关系
- 配置nat no pat
- 设备为已配置多通道协议产生的有实际流量的数据流建立server-map表
- 配置nat server
- 路由,交换
虚拟专用网(VPN) - 定义:vpn是指依靠Internet服务提供商ISP和网络服务提供商NSP在公共网络中建立的虚拟专用通信网络
- 特点
- 专用
- 虚拟
- 用户获得逻辑意义上的专网,这个公共网络称为:VPN骨干网
- 优点
- 安全
- 廉价
- 支持移动业务
- 支持随时随地可办公
- 服务质量保证
-
- VPN网关通过对数据包加密和目标地址转换实现远程访问
-
分类 - 组网类型分类
- 网关与网关之间的VPN链路
- 数据流在公网VPN节点之间转发,数据包转发在网络层实现,公网每个节点需为每个VPN建立专用的路由转发表
- 为实现局域网之间的互通而产生
- 包括ATM, Frame Relay, GRE, MPLS VPN, IPSec VPN
- 主机与网关之间的VPN链路
- 家庭或远程办公室通过拨号技术实现访问企业内部服务器,建立私有的网络连接
- 包括;IPSec, PPTP, L2TP over IPSec, SSL VPN
- 网关与网关之间的VPN链路
- 业务用途划分
- 远程访问虚拟网
- 企业内部或远程办公需要,或商家提供B2C的安全访问服务
- 企业内部虚拟网络
- 总部与分支机构
- 企业扩展虚拟网
- 同行业进行访问
- 远程访问虚拟网
- 实现层次分类
- Layer 2 VPN数据链路层
- 包括
- pptp
- L2F
- L2TP
- 分支机构
- 用户端
- secoclent
- 提供PPP链路数据包的通道传输支持
- 组件
- L2TP接入集中器LAC(ISP)
- 用户拨号连接
- L2TP接入集中器LAC(ISP)
- L2TP网络服务器LNS
- 连接总部
- 协议号是1701
- 分类
- 客户初始化方式L2TP VPN
- 一对一的连接
- 只有一条隧道
- 客户协商LNS建立会话
- L2TP NAS-Initiated VPN
- 一对lac和lns可存在多条隧道,隧道中可承载多条会话
- 客户拨号触动LAC与LNS协商,建立会话
- 安全性最好
- L2TP LAC-Auto-Initiated VPN
- LAC与LNS建立永久隧道,且只承载一条永久的会话和PPP连接,不需要自己拨号
- 无公网IP ,最后只有一个公网IP
- lac可以建立easy-ip建立回程路由
- lac主动拨号,与LNS协商建立会话
- 安全性最差
- 客户初始化方式L2TP VPN
- 包括
- Layer 2 VPN数据链路层
- 优点:
- 能够封装各类三层流量,IP,ipx,apple talk,IP multicast
- 很好的QOS保障
- 更安全,很好的支持三层协议,用户网络对骨干网络影响小,对传统wan兼容性好,用户自己管理
- 用于接入层和汇聚层
- 利用公共网络的拨号功能实现接入虚拟网络
- 组网类型分类
- Layer 3 VPN网络层
- GRE
- 完整VPN功能,但缺乏安全性
- 针对网络层协议的数据报进行封装
- 包含元素
- 源地址
- 目的地址
- 隧道接口IP地址
- 虚拟的接口
- 封装类型
- 应用场景
- 内部局域网之间配置隧道来实现,数据未被加密,只是进行封装(安全性不好)
- MPLS VPN
- any-to-any,但需要sp接入点,缺乏安全性
- IPsec VPN
- 省钱,安全,但带宽不能保障
- 工业标准的网络安全协议,提供透明安全服务,保护tcp/ip免遭窃听和篡改,可抵抗攻击,并保持易用性
- 建立对等体双向安全联盟,形成一个安全的IPSec隧道
- 结构
- AH:验证头
- 提供数据来源认证,数据完整性校验,报文抗重放功能
- 在每个数据包的标准IP报头后加一个AH报头。对数据包和认证密钥进行HASH计算
- 协议号:51
- 传输模式:验证整个IP报文
- 隧道模式:验证新IP头 及整个IP报文
- ESP:封装安全荷载
- 除AH的功能外,还对有效载荷的加密功能
- 在IP报头后加ESP报头,并在数据包尾加ESP尾(用于对数据提供来源认证和完整性校验,并将数据的有效载荷加密后封装)
- 序列号唯一:防重放
- 协议号:50
- 隧道模式加密原始头部,对封装头部尾部的部分验证
- AH:验证头
- 特性
- 访问控制
- 无连接的完整性,数据来源验证
- 防重放
- 机密性(加密)
- 组件
- ipsec对等体
- IPSec隧道
- 安全联盟(SA)
- 单向逻辑连接,通信对等体对某些要素的约定,符合SA约定内容
- 由三元组:安全参数索引spi,目的IP地址(SA的终端地址),使用的安全协议50,51
- 数据的封装模式
- Transport Mode
- Tunnel Mode
- 安全协议
- 主要用在核心层,用户路由由服务商管理
- ike技术
- ipsec可以用它创建一个动态的安全联盟
- 混合型协议
- 定义
- Oakley 基于DH算法的自由形态协议
- SKEME 定义了如何验证密钥交换
- ISAKMP 定义了沟通方式,信息格式,保障通信安全的状态变换过程
- 安全机制实现(先于报文传输)
- DH算法,密钥分发
- 身份保护
- 身份验证
- 前向安全性
- 在ipsec中的作用
- 降低手工配置的复杂度
- 安全联盟定时更新
- 密钥定时更新
- 允许ipsec提供反重放服务
- ESP,AH会占用更多资源,
- 允许在端与端之间动态认证
- 安全联盟SA
- 建立ipsec之前建立的算法验证
- 交换阶段
- 通信双方彼此建立一个已通过身份验证和安全保护的隧道,即IKE SA。
- 协商模式
- 主模式
- 六个报文
- 最后两个消息有加密,可进行身份保护
- 六个报文
- 只能采用IP地址方式标识对等体;通信双方
- 主模式
- 野蛮模式
- 三个报文
- 消息1交换SA载荷,密钥材料,身份信息
- 消息2交换信息1内容的同时增加了hash认证载荷
- 消息3是相应方对发起方的认证
- 可以采用IP地址方式或Name方式标识对等体
- IPSec隧道存在nat设备时,需启用nat穿越功能,而nat转换会改变对等体IP地址,只能采用野蛮模式
- 发起方IP地址不固定或无法预知,且双方都想采用预共享密钥来创建IKS SA
- 发起方已知相应方策略,或有全面了解,能更快创建
- 三个报文
- 协商模式
- 认证方式
- 预共享密钥
- 数字签名方式
- 第三方提供
- 公钥加密
- 通信双方彼此建立一个已通过身份验证和安全保护的隧道,即IKE SA。
- 用在第一阶段建立的安全隧道为ipsec协商安全服务,建立ipsec SA。用于最终IP数据传送。
- 协商模式
- 快速模式
- 消息1和2中,交换SA,KEY,Nonce和ID。用来协商算法,保证PFS以及提供在场证据
- 消息3用于验证响应者是否可以通信,相当于确认信息
- 快速模式
- 协商模式
- 密钥保护
- 密钥生存周期
- 完美向前保护
- 两个密钥间无任何关系
- 短暂的一次性密钥
- 两个密钥间无任何关系
- DH组
- 版本
- IKEv1
- IKEv2
- 简化协商过程,一次协商中可直接产生ipsec密钥,生成ipsec sa
- GRE
- 常见技术
- 利用隧道技术,把vpn报文封装在隧道中,利用VPN骨干网络建立专用的数据传输通道,实现报文透明传输
- 隧道技术:是公共电话交换网pstn/综合业务数字网isdn链路的逻辑延伸,使用上与实际物理链路相同
- 身份认证
- 合法用户才可以使用
- 数字认证
- 合法用户才可以使用
- 数据认证
- 保证数据正确
- 散列算法(任意长度输入变成固定长度输出)
- MD5
- SHA-1 256
- 散列算法(任意长度输入变成固定长度输出)
- 保证数据正确
- 加解密技术
- 保证安全性
- 加密服务
- 保密性
- 完整性
- 抗抵赖性
- 鉴别性
- 分类
- 对称加密
- 使用同一个密钥
- 流加密算法(逐步形成)RC4用在数据通信信道,浏览器或网络链路上
- 分组加密(明文分成两部分)长度64位 DES(56) 3DES(128) AES(128,256)
- 特点
- 加密速度快
- 密钥分发有问题
- 使用同一个密钥
- 非对称加密
- 两个密钥
- 公钥
- 私钥
- 特点
- 安全性高
- 加解密速度慢
- 两个密钥
- 对称加密
- 密钥管理技术
- 密钥产生
- 动态产生
- 传送分为集中和分散传送(用于不安全信道)
- 更换与销毁
- 核心密钥分散保存
- 密钥产生
- 利用隧道技术,把vpn报文封装在隧道中,利用VPN骨干网络建立专用的数据传输通道,实现报文透明传输
- 作用
- 对数据包的安全处理
- 禁止
- 允许
- 其他附加功能
- 路由器功能
- nat
- 动,静态路由
- 日志
- 局限性
- 典型边界防护设备
- 对不经自身的网络数据无法控制,尤其是内部网络之间
- 策略配置相对复杂,专业
- l2到l4层过滤设备
- 无法解决tcp/ip协议洞导致的安全威胁
- 很难解决应用层的安全威胁
- 数据包的深层分析严重影响性能
- 典型边界防护设备
- 对数据包的安全处理
特点 - 防火墙的多功能与性能成反比
- 防火墙的安全性与性能成反比
- 防火墙的安全性与易操作性成反比
相关术语 - 吞吐量 极限值
- 定义:在不丢包的情况下能够达到的最大速率
- 衡量标准:重要指标。百分比越大,速率越大,性能越好
- 单位:线速百分比或流量速率
- 延时
- 定义:防火墙处理数据消耗的时间
- 衡量标准:延时值大小,值越小,性能越好
- 并发连接数
- 定义:指在同一地点上,防火墙所能维护的最大网络连接数
- 衡量标准:并发连接数越大,防火墙适应大流量的网络能力越强
- 单位:个
- 包过滤
- 根据预置的包过滤规则,对穿越自身的数据包采取通过或丢弃的功能
- 检查:源地址,目的地址,源端口,目的端口,协议(五元组)
- 透明模式
- 修改网络拓扑较小的部署方式,不需对原有的网络设备进行配置上的变更
- 防火墙不对数据包做任何三层(路由)转发工作,但是做二层(交换)转发工作
- HA(高可用性)
- 网络环境中消除单点故障的主要手段之一
- 通常指双机或多机备份,集群
- 动态服务
- 指tcp应用中,在客户端通过固定端口登录服务器,与服务器协商出一个新的随机通讯端口,随后使用通讯端口传输后续数据
- FTP被动模式
- SQL-NET
- PPTP(GRE-VPN)
- H.323
- SIP
- 会话
- 表示两者的连接状态,一个会话表示通信双方的一个连接
- 会话表(动态链接状态表)
- 多个会话的集合
- 记录当前活动的合法连接,进行更新
- 过滤规则是静态的,状态表是动态的
- 会话机制
- 新连接通过验证就在状态表添加条目,完成就删除条目
- 吞吐量 极限值
发展史 - 第一代
- 包过滤防火墙
- 第二代
- 代理防火墙
- 第三代
- 状态检测防火墙
- 第一代
UTM(统一威胁管理) - 防病毒,入侵检测,防火墙安全设备规划统一威胁管理
- 由硬件,软件,网络技术组成的具有专门途径的设备
- 缺点:处理能力分散,网关防御弊端,过度集成带来的风险,性能和稳定性
攻击防御功能 - 有效过滤并阻止非正常报文或攻击报文进入内网
- 下一代防火墙提供的功能
- 恶意扫描防御
- IP地址欺骗防御
- 网络层攻击防御
- 应用层攻击防御
- DHCP防御
- 畸形报文攻击防御
- Sumurf攻击
- Land攻击
- Ping of Death攻击
- 特殊控制报文攻击防御
- 超大ICMP报文
- ICMP重定向报文
- Tracert报文攻击
- 流量型攻击防御
- 木马专项查杀
部署 - 网络安全域
- 同一系统内,根据信息的性质,使用主体,安全目标和策略等元素的不同来划分的不同的逻辑子网或网络
- trust
- 级别85
- 受网络信任度高,定义内部用户所在网络
- DMZ
- 级别50
- 企业内部网络和外部网络之间(小型网络)
- Untrust
- Internet
- 级别5
- local
- 防火墙本身,不能添加接口
- 级别100
- 步骤
- 规划安全域
- 明确不同等级安全域互访的策略
- 明确防火墙部署位置及接口的工作模式
- 支持
- 透明网桥模式
- 适用于不希望改变网络结构,路由配置,IP配置环境
- 透明网桥体现:在二层区域转发时,根据mac地址寻找出接口(IP报文需到上层处理检查)
- 路由模式
- 接口都配置IP地址,安全区域均是三层
- 三层区域中,表现为路由器,支持NAT和动态路由协议
- 支持流量管理,行为控制,安全防护
- 混合模式
- 部分接口配IP地址,部分不配(透明和路由模式结合)
- 旁路模式
- 透明网桥模式
- 数据流向
- 入方向
- 低到高
- 出方向
- 高到低
- 入方向
- 网络安全域
防火墙攻击 - 单包攻击
- 扫描窥探攻击 IP地址扫描与端口扫描 识别潜在攻击目标 识别目标弱点
- IP地址扫描攻击
- 端口扫描攻击
- 畸形报文攻击
- Smurf攻击
- 发送源IP伪造为受害者的ICMP报文
- land攻击
- Fraggle攻击
- IP分片报文攻击
- IP欺骗攻击
- Ping of Death攻击
- TCP报文标志位攻击
- Teardrop攻击
- WinNuke攻击
- Smurf攻击
- 特殊报文攻击
- 超大ICMP报文攻击
- ICMP重定向攻击
- ICMP不可达报文
- 带路由记录项的IP报文攻击
- 带源路由选项的IP报文攻击
- Tracert报文攻击
- 带时间戳选项的IP报文攻击
- 流量型攻击:flood方式攻击 耗尽网络带宽,耗尽服务器资源
- ARP攻击
- 解决:配置接口,区域或IP的防范参数,限制ARP报文的总数
- SYN flood攻击
- 采用TCP proxy 方式防护
- 反向源探测技术
- 目标主机进行SYN报文限速的方式防御
- Connection Flood攻击
- USG统计用户向服务器发送的报文,如果少于设定的值,则是不合法用户
- 统计连接数,如果大于设定值,不合法
- USG将该IP加入黑名单
- ICMP/udp flood攻击
- 检测通向特定目标地址UDP报文速率,超过上限时,设定攻击标志并做car处理,记录日志。低于就取消攻击标志,允许所有报文通过
- DNS Flood攻击
- GET Flood攻击
- ARP攻击
- 扫描窥探攻击 IP地址扫描与端口扫描 识别潜在攻击目标 识别目标弱点
- 单包攻击
- 攻击防范
- 黑名单
- IP-MAC地址绑定
- 端口映射
- 日志
- 联动
- URPF场景说明
- 单播逆向路径转发的简称,主要是防止基于源地址欺骗的网络攻击行为
工作原理 - 安全功能
- 抗攻击性
- 安全规则
- 带宽管理
- 用户认证
- 蠕虫过滤
- P2P/IM限制
- 连接限制
- 网络功能
- 二层转发
- 三层转发
- 链路探测
- HA+VRRP
- ADSL接入
- IP与MAC绑定
- 网口联动
- 应用层
- IM/P2P限制
- URL过滤
- URL重定向
- 代理规则与定义
- 传输层
- 安全规则
- 对象定义-服务(动态服务)
- 抗攻击
- 蠕虫过滤
- 安全助手
- 链路探测
- 标签: 集成电路icmp1411dh
- 安全功能