防火墙组网

防火墙的职责

控制和防护——在安全策略上即可体现,防火墙可以根据安全策略来抓取流量,之后做出对应的动作。吞吐量表示防火墙同一时间处理的数据量。传统防火墙(包过滤防火墙),相当于一个严格的规则表,和ACL(访问控制列表)类似。

判断信息:数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口(五元组)
工作范围:网络层、传输层(3-4层)

防火墙和路由器的区别

普通的路由器只检查数据包的目标地址,并选择一个达到目的地址的最佳路径,防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否”。

传统包过滤防火墙

优势

对于小型站点容易实现,处理速度快,价格便宜

劣势

1、规则表很快会变得庞大、复杂、难运维,只能基于五元组
2、很多安全风险集中在应用层的,所以,仅关注三四层的数据无法做到完全隔离安全风险
3、逐包进行包过滤检测,将导致防火墙的转发效率过低,成为网络中的瓶颈。

在ACL列表中,华为体系下,末尾是没有隐含规则的,如果匹配不到ACL列表,则认为ACL列表不存在,之前可以通过,则还可以通过;但是,在防火墙的安全策略中,为了保证安全,未尾会隐含一条拒绝所有的规则,即只要没有放通的流量,都是不能通过的。

应用代理防火墙的缺点

1、因为需要防火墙进行先一步安全识别,所以,转发效率会降低(原来的3次握手就会变成6次握手);
2、可伸缩性差:每一种应用程序需要代理的话,都需要开发对应的代理功能,如果没有开发,则无法进行代理。

会话表检测 ----首包检测

入侵检测系统(IDS) ——网络摄像头

部善方式:旁路郎署,可多点部署
工作范围:2-7层(主要监控应用层)
工作特点:根据能署位置监控到的流量进行攻击事件监控,属于一个事后的系统,相当于网络上的监控摄像头
目的:传统防火墙只能基于规则执行“是”或“否”的策略,IDS主要是为了帮助管理员清晰了解到网络环境中发生了什么事情。

IDS----侧重于风险管理的安全机制----滞后性(缺点)

旁路部署的好处:对原有的网络没有影响,镜像接口

入侵防御系统(IPS)——抵御2-7层已知威胁

部署方式:串联部署
工作范围:2-7层
工作特点:根据已知的安全威胁生成对应的过滤器(规则),对于识别流量的阻断,对于未识别的放通
目的:IDS只能对网络环境进行检测,但却无法进行防御,IPS主要是针对已知威胁进行防御
UTM 各功能模块串联工作,检测效率低,维护成本降低

IPS和IDS都是基于特征库进行对比,都为独立的设备

下一代防火墙(NGFW)——升级版UTM

包含功能:FW、IDS、IPS、AV、WAF
工作范围:2-7层
和UTM的区别:与UTM相比增加的web应用防护功能,UTM是串行处理机制,NGFW是并行处理,机制NGFW的性能更强,管理更高效

改进点核心

相较于之前UTM中各模块的 串联部署,变为了并联部署,仅需要一次检测,所有功能模块都可以做出对应的处理,大大提高了工作效率。从接口的角度看,三层口可配IP,二层口不能配IP。防火墙既可以在二层使用也可以在三层。这里我们重点了解华为NGFW防火墙,体现一体化检测的重要性。

防火墙的其他功能

  1. 访问控制(包过滤,安全策略)
  2. 地址转换(NAT)
  3. 网络环境支持
  4. 带宽管理功能
  5. 入侵检测和攻击防御(内容安全)
  6. 用户认证(上网行为管理)
  7. 高可用性(备份)

防火墙的控制

带内管理 ---通过网络环境对设备进行控制,如:telnet,ssh,web
登录设备和被登录设备之间,网络需要联通(通过局域网直接相连)
带外管理---console线,mini usb线(华为)

华为设备上还预留了一个管理口,MGMT口,提供web界面接口,G0/0/0 默认IP地址192.168.0.1/24 默认开启DHCP和web登陆的功能,方便进行web管理。

开启防火墙的web管理功能

admin/Admin@123         #初始账号密码
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit …#开启管理口web登录服务

防火墙的G0/0/0上的IP默认为192.168.0.1,可以将其更改为和自己的虚拟网卡一个网段,然后在自己的网页中输入https:192.168.94.2:8443,进入防火墙web界面配置。

防火墙的认证方式

本地认证

用户信息存储在防火墙上,登录时,防火墙根据输入的用户名和密码进行判断,如果通过验证,则成功登录。

服务器认证

和第三方的认证服务器对接,登录时,防火墙将登录信息发送给第三方服务器之后,由第三方服务器来进行验证,通过则反馈给防火墙,防火墙放行。一般适用于企业本身使用第三方服务器来存储用户信息,则用户信息不需要重复创建。

注意:正常环境下,优先使用服务器认证,如果服务器认证失败,则也不进行本地认证。只有在服务器对接不上的时候,才使用本地认证。

信任主机指可以添加一个地址或者网段,则其含义是只有在 该地址或者地址段内,可以登录管理设备。(最多支持10条)

防火墙的几种接口

物理接口
二层口:普通的二层口、接口对、旁路检测接口
接口对:“透明接口”,我们可以将两个接口组建成一个接口对,流量从一个接口出来时,它将必定从另一个接口出去(不查看MAC地址表,直接进行转发),一个接口也可以做接口对,从该口进再从该口出。
旁路检测接口:用于防火墙旁路部署,用于接受镜像口流量。

Bypass: 4个干兆口其实是两对bypass口。如果设备故障,则两个接口直通, 保证流量不中断。(一种容错方法)

虚拟系统——VRF技术,相当于逻辑上将一台设备分割为多台设备,平行工作,互不影响。管理口和其余物理接口默认不在同一个虚拟系统中。

Portswitch 开启交换机的二层口,默认为二层口

不同的虚拟空间之间通信使用的虚拟接口,只需要配置IP地址即可。新创建一个虚拟系统会自动生成一个虚拟接口。

安全区域

Trust ——一般企业内网会被规划在trust区域中
Untrust ——一般公网区域被规划在untrust区域中

我们将一个接口规划到某一个区域,则代表该接口所连接的所有网络都被规划到该区域

Local ——指设备本身

凡是设备构造并主动发出的报文均可以认为是从local发出的凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置,并且我们无法将接口划入该区域。接口本身属于该区域。

DMZ——非军事化管理区域

主要是为内网的服务器所设定的区域。这些服务器本身在内网,但是需要对外提供服务。介于内网和外网之间。

优先级 1-100 越大越优

流量从优先级高的区域到优先级低的区域——出方向
流量从优先级低的区域到优先级高的区域——入方向

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/632483.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

vue3 ElementUI 日期禁选当日前, 当日后,3天后

今日之前禁用 代码: ( 主要是 :disabledDate“disabledDateFun” ) <el-date-picker v-model"queryForm.selectedDate"type"date"range-separator"-"placeholder"选择日期":disabledDate"disabledDateFun" clearable /&…

性能测试工具—jmeter的基础使用

1.Jmeter三个重要组件 1.1线程组的介绍&#xff1a; 特点&#xff1a; 模拟用户&#xff0c;支持多用户操作多个线程组可以串行执行&#xff0c;也可以并行执行 线程组的分类&#xff1a; setup线程组&#xff1a;前置处理&#xff0c;初始化普通线程组&#xff1a;编写…

echers配置项:数据过多时,折叠数据缩放查看

当数据过多时&#xff0c;如上图所示的时间点&#xff0c;会自动折叠&#xff0c;此时鼠标缩放还不起作用&#xff0c;我们配置如下代码 let option {dataZoom: [{startValue: 05:00}, // 这个值需要跟 第一条 时间数据对应上{type: inside}], }配置后&#xff0c;就可以进行…

6个黑科技网站,用过才知真的好!

AI视频生成&#xff1a;小说文案智能分镜智能识别角色和场景批量Ai绘图自动配音添加音乐一键合成视频https://aitools.jurilu.com/ 迅捷画图 网址&#xff1a;weavesilk.com/ 这个网站虽然不怎么好玩&#xff0c;但确实是一个很好用的思维导图和流程图在线制作网站&#xff0…

哪款桌面便签app能帮助我提升工作效率

作为上班族&#xff0c;我们每天都要处理大量的工作事项&#xff0c;从策划方案到处理邮件&#xff0c;每一个环节都需高效且有条不紊。在这样的工作环境下&#xff0c;提升效率显得尤为重要。而选择一款优秀的桌面便签app&#xff0c;无疑是提高工作效率的关键。 桌面便签app…

对话YashanDB CTO陈志标:如何推动国产数据库长远发展

深圳计算科学研究院&#xff08;以下简称“深算院”&#xff09;是深圳市人民政府2018年11月批准建设的“十大基础研究机构”之一&#xff0c;由深圳市科技创新委员会主管、深圳大学举办、深圳市龙华区人民政府共建的二类事业法人单位。 崖山数据库系统YashanDB是深算院完全自主…

[论文笔记]Corrective Retrieval Augmented Generation

引言 今天带来论文Corrective Retrieval Augmented Generation的笔记&#xff0c;这是一篇优化RAG的工作。 大型语言模型(LLMs) inevitable(不可避免)会出现幻觉&#xff0c;因为生成的文本的准确性不能仅仅由其参数化知识来确保。尽管检索增强生成(RAG)是LLMs的一个可行补充…

好易点 | 上海厨卫展首秀人气爆棚,智能阳台备受瞩目

2024年5月14日&#xff0c;第28届中国国际厨房、卫浴设施展览会&#xff08;简称&#xff1a;上海厨卫展&#xff09;在上海盛大开幕。作为厨卫行业的年度盛事&#xff0c;本次展会不仅汇聚了众多国内外知名品牌&#xff0c;更成为了展示前沿五金厨卫臻品的重要平台。其中&…

基于51单片机的非接触式无线红外测温

基于51单片机的无线红外测温 &#xff08;程序&#xff0b;原理图&#xff0b;设计报告&#xff09; 功能介绍 具体功能&#xff1a; 1.采用红外温度传感器测温并用LCD1602显示&#xff1b; 2.按键为启动按键、保存按键、显示数据按键&#xff0c;可以实现对温度数值的控制…

vue3中实现简繁体转换

由于项目在大陆和台湾同胞同步使用&#xff0c;因此需要实现中文的简繁体转换&#xff0c;实现输入简体&#xff0c;能搜索出简体和繁体的相关内容&#xff0c;输入繁体&#xff0c;也能搜索出简繁体相关内容。忽略简繁体&#xff0c;扩大搜索范围。 引入插件&#xff1a; np…

第八篇 Asciidoc 输出 All In One HTML 解决图片无法显示问题

问题:我的图片显示不出来了 小明使用 Asciidoc 来记笔记,他将笔记输出为 HTML 文件。小丽向小明借笔记。小明将 Asciidoc 笔记输出为 HTML文件,并拷贝给了小丽。 但是,小丽发现,图片都显示不出来了。 小丽:小明,你给我的笔记,图片都显示不出来啊。 小明:是我给你的…

【数据结构】堆排序和Top-K问题(超详细)

文章目录 堆排序向上调整建堆向下调整建堆堆排序调整过程 Top-K问题 堆排序 排升序要建大堆&#xff0c;排降序要建小堆&#xff08;这里以排升序为例&#xff09; 排序思想&#xff1a; 1.首先将待排序的n个数建成大堆&#xff08;此时堆顶是n个数里最大的&#xff09;. 2.将…

杨校老师项目之基于SpringBoot+Shiro+Vue的企业人事管理系统

1.获取代码&#xff1a; 有偿获取&#xff1a;mryang511688 2.技术栈 后端 SpringBoot MySQL mybatis-plus shiro Redis 前端 Vue Element-UI 3.开发环境 JDK1.8、Maven3.5.4、MySQL5.7、Redis5.0.5、IntelliJ IDEA、nodejs 4.内置功能 Springboot的项目&#xff0c;…

解锁音频转换:分享5款视频转换mp3的软件(新手必看)

在当今数字化时代&#xff0c;视频转换为MP3音频的需求日益增长&#xff0c;无论是提取音乐、制作音频剪辑&#xff0c;还是享受视频中的声音&#xff0c;都需要一款高效、易用的转换工具。 然而&#xff0c;在众多的选择中&#xff0c;如何找到适合自己的视频转换mp3的软件可…

抓包数据拓展_小迪网络安全笔记

一.Request请求数据包数据格式: 1.请求行:包括请求类型/请求资源路径.协议版本和类型; 例: 2.请求头:一些键值对,浏览器与web服务器之间都可以发送,特定某种含义;yi 3.空行:请求头与请求体之间用空行隔开; 4.请求体:要发送的数据(一般post提交会使用);例如:user123&pass…

⭐️宁波ISO14000认证:⭐️成就“绿色环保”王者之路⭐️

&#x1f308;宁波ISO14000认证&#xff1a;&#x1f498;成就“绿色环保”&#x1f432;王者之路&#x1f34e; &#x1f936;宁波ISO14000认证&#xff1a;&#x1f42f;铸就环保先锋&#xff0c;&#x1f984;引领绿色发展新征程&#x1face; &#x1f682;宁波&#xff0c…

STL <string>--------String的OJ题目

1.题目截图&#xff08;把字符串转换成整数----atoi&#xff09; 1.1题目解析&#xff08;在代码里&#xff09; class Solution { public:int myAtoi(string str) {// 100% 97.45% int len str.size();if(len 0)return 0;int i 0, flag 1, isSignal 0, res 0;while(…

香港人才引进落户条件有哪些?香港优才计划详细介绍!

香港人才引进落户条件有哪些&#xff1f;港府优才计划详细介绍&#xff01; 拿到香港身份&#xff0c;不管是在内地还是在香港亦或是在海外&#xff0c;优势福利都特别多&#xff0c;成为了广大中产的追求。因为香港身份对于子女升学、住房、税收、养老等方面都有很大优势&…

【2024】最新微信小程序商城源码开源版 多用户无限多开+15大功能模块

随着微信小程序市场的蓬勃发展&#xff0c;越来越多的商家和企业意识到了微信小程序作为线上销售平台的重要性。为了满足广大用户的需求&#xff0c;分享一款2024年最新微信小程序商城源码开源版&#xff0c;该版本不仅支持多用户无限多开&#xff0c;还集成了15大功能模块&…

开发调试,远程访问内容、AI项目远程访问,需要的福利

下载地址 Windows 64位 (切勿直接在压缩文件中操作,全部解压到一处后再操作,请关闭某60(会胡乱拦截),可用其他任意安全软件)Mac OS X 64位 (给fastnat执行权限 chmod x ./fastnat_darwin_amd64 终端运行二进制,自行百度,当然建议使用docker方式安装)Linux 64位 (给fastnat执行…