gb561防火墙和ips知识要点
- 格式:docx
- 大小:40.69 KB
- 文档页数:10
防火墙分册:安全:免除了不可接受的损害风险的状态。
网络安全属于信息安全的分类。
安全的英文名称security。
安全三维模型检测防御制止。
防御:通过一些机制和技术措施方面的努力来降低受到窃取和破坏的风险。
制止:通过规范、制度、法律、纪律非授权行为。
检测:通过分析日志,跟踪审计,主动扫描等手段来检测攻击行为和系统漏洞。
安全防御:周边防御和深度防御。
安全策略的要点1资产2风险3 保护4工具5优先权。
安全策略定义了那些是允许的,那些是不允许的。
网络环境里面的安全是一种能够识别和消除不安全因素的能力。
安全已解决保护系统资产的五项需求:1机密性2完整性2可用性4可控性5可审计性。
Ssl s-http shh tcp/ip以上skip在tcp/ip以下信息安全要素iso 13335-1列举的安全要素1 资产2威胁3 脆弱性4 影响5风险6防护措施7残留风险8约束PDR模型protection 保护detection 检测response 响应Syslog基于udp协议端口514PDR的保护具体包括安全规则的制定,系统安全的配置,安全措施的采用检测具体包括异常临视模式发现响应具体包括报告记录反应恢复。
信息安全的策略建立模型主要由1 先进的技术2相关的法律和法规3严格的管理审计制度。
网络安全的研究内容 1 信息对抗2工业网安全互联网与电信安全3 密码学4信息隐藏与教学水印5 内容安全 6 软件安全。
密码学的核心密码分析学密码编码学。
民用的加密算法有DES IDEA RSA当前所处的网络环境1 网络规模迅猛发展2 网民规模继续高速增加3 上网设备多样化,手机上网普及4网络应用更加多样化,形成网络生活形态。
5 现代的,先进的复杂技术的局域网、广域网、intranet、extranet 网络发展迅速。
当前网络的安全威胁1 信息系统安全漏洞层出不穷2 木马与僵尸网络的不断增长3篡改网站、网络仿冒以及恶意代码4 p2p流量占用大量互联网业务流量5 不断变化的业务模型和信任模型。
安全建设模式,关键点安全:分析安全的脆弱点并在关键点部署安全产品面向业务的安全保障分析业务流程,制定针对性安全规划。
L5 l6 l7 层应用识别、内容识别、威胁识别。
防火墙技术包括安全域策略,包过滤技术、黑名单、arp、防攻击、NAt、ALG、ASPF、攻击防范、冗余备份、WEB过滤、双击热备、。
防火墙是一种放置本地网络和外部网络之间的防御系统,外部网络和本地网络之间交互的所有数据流都需要经过防火墙的处理之后,一旦发现异常数据流,防火墙将它拦下,实现本地网络的保护。
防火墙技术演进包过滤防火墙应用代理防火墙状态检测防火墙包过滤防火墙在网络层和传输层,应用网关防火墙是比包过滤技术更加完善的防火墙技术,最大的缺点是代理技术,极大的消耗了本身的资源。
状态检测防火墙,采用了更加复杂的访问控制算法,发展到了对会话过滤session fitering 防火墙的功能:安全区域,域间策略会话管理,包过滤,黑名单,ASPF,NAT,ALG ,ARP攻击攻击防范web过滤双击热备Ips和放病毒不是FW的功能安全域安全需求相同的接口划分到不同的域,实现策略的分层管理。
一般将要被公共网络访问的设备放置DMZ区域。
TRUST 优先级85 ,local 100,management 100 ,DMZ 50 ,URTUST 5域间策略:源安全域和目的安全域之间一系列访问控制规则的集合。
缺省情况下,1 物理端口属于local区域,其他也可以 2 高优先级的区域访问低优先级的区域3低优先级的不可以访问高优先级的区域4 相同是可以访问的。
流是一个单方向的概念,三元组和五元组三元组指icmp协议的源ip 目的ip 协议五元组指源ip 源端口目的ip 目的端口协议会话是一个双向的概念,发起会话和响应会话。
Tcp协议首先发送syn的报文返回syn ack报文发送ack报文建立会话,udp的话只要交互一次报文就可以建立会话。
包过滤技术是访问控制技术的一种,对于需要转发的数据包,首先获取包头的信息,(源地址、目的地址、源端口、目的端口等,)与策略进行比较,进行处理Acl是实现包过滤的基础技术,定义是报文的匹配规则。
Alc除了可以做访问控制外,还可以用来实现数据匹配,和其他模块完成特殊的功能。
比如:NAT转换、策略路由、路由策略、qos、ipsec等。
Acl的分类基本acl、高级acl、二层acl包过滤分类基本acl 、高级acl、二层acl、基于时间段的包过滤、基本acl 只根据源ip地址信息制定匹配规则2000-2999高级acl 根据源/目的ip、协议类型、协议特性、等来制定匹配规则。
3000-3999二层acl 根据报文的源mac地址、目的mac地址等二层协议来制定匹配规则。
基于时间段acl 描述在特殊时间范围,使acl在制定时间段生效,(包括周期时间和绝对时间)黑名单根据报文的源ip地址进行过滤的一种方式。
黑名单匹配简单,可以高效过滤报文黑名单的两种方式1静态添加2 动态添加。
黑名单的表项老化 1 永久老化2非永久老化ASPF 传统的包过滤只能对于二层协议来制定规则,对于多通道协议,数据通道是动态协商的就无法知道的通道的地址和端口ASPF基于应用层的包过滤与ALG配合实现动态通道检测和应用状态检测两大功能。
动态通道检测:多通道的协议报文交互过程中需要协商动态通道的地址和端口,ALG通过记录报文的交互过程的动态通道地址和端口,与ASPF一起配合决定报文的通过。
应用状态检测:通过解析、记录应用层报文的状态信息,记录回话的上下文信息,对即将到来的报文做预测,对不符合要求的进行处理,NAT 为什么要nat? 1 地址少2隐藏内网实现方式1 基本NAT方式2 NAPT方式 3 NAT Server方式 4 Easy IP 方式。
基本NAT方式:1只转换ip地址、对tcp/udp协议号端口不做处理。
2 一个公网ip地址不能同时被多个用户使用。
NAPT方式:多对一的地址转换,它通过使用ip地址和端口的方式进行转换,实现多对一。
NAT Server方式:可以解决这个问题-通过静态配置公网ip和端口号与私网ip和端口好之间的映射关系,可以讲公网地址反响转换成私网地址。
Esay ip 指直接使用接口的公网ip地址作为转换后的源地址进行地址转换。
1NAT设备直接使用出口地址ip作为转后的源地址2 不可预先配置地址池3 工作原理和普通的nat是相同的,只是其中的一个特例4 适用拨号进入internet或动态获取ip地址的场所。
Alg 应用层网关多种通道协议的应用首先需要在控制通道中对后续数据通道的地址和端口进行协议,然后根据协商结果创建数据通道连接。
由于Nat无法对数据进行识别和转换,所以需要配合Alg适用。
穿越防火墙要做ALG处理的应用层协议包括:FTP、DNS、H。
323(包括RAS、H.225、H.245)、HTTP、ICMP、ILS、MSN/QQ、NBT、RSTP、SIP、SQLNET、TFTP等。
1 FTP的ALG应用2 DNS的ALG应用3 ICMP差错报文的ALG应用。
ARP 地址解析协议是将ip地址解析为以太网mac地址的协议。
ARP报文为ARP请求和ARP 应答报文。
1 ARP协议主要基于网络中的所有主机或者网关都为可信任的前提制定,所以没有任何认证机制。
2 攻击者可以很容易的通过伪造ARP报文,填写错误的源mac-ip对应关系来实现arp攻击。
Arp攻击类型 1 网关仿冒攻击 2 中间人攻击。
网关仿冒攻击对策网关的ip和mac绑定中间人攻击对策绑定所有ip和mac地址。
攻击防范当前网络面临的安全威胁: 1 畸形报文的攻击2 Dos/DDos攻击3 扫描窥探攻击。
畸形报文攻击:指通过向目标系统发送有缺陷的ip报文,使目标系统在处理这样的ip报文是奔溃,主要的攻击报文有ping of death,treardrop等Dos/DDos攻击:使用大量的数据包攻击目标系统,使目标系统的正常用户无法通过请求。
主要的方式有Smurf、land 、syn flood、udp flood和icmp flood等。
扫描窥探攻击:利用ping扫描标识网络上存在的活动主机,从而定位潜在的目标位置。
1 攻击防范-Smurf攻击向目标主机发送icmp echo请求报文,报文源地址为被攻击的主机地址,目的为广播地址,网络中所有主机对被攻击的主机响应使其无法工作方法:检测icmp的请求报文的目的地址是不是子网广播地址或子网网络地址,核实后对其选择转发或者丢弃。
2. 攻击防范–land攻击。
利用tcp的三次握手机制,大量发送tcp syn报文到攻击对象,(syn 报文的源地址和目的地址都是本身)使其建立大量空链接,消耗资源。
方法:检测每个ip报文的源地址和目的地址,发现其相同或者是环回地址,对其进行转发或则丢弃。
3 攻击防范-winnuke攻击对任何运行windows的主机的dos攻击,对目标主机的netbios 139端口发送oob数据包,是报文片段重叠,使主机处理这些报文的时候瘫痪。
方法:防火墙的tcp报文,如果目的端口号为139的且tcp的紧急标志被置位,根据用户的配置选择,对其转发或则丢弃。
4 攻击防范syn flood攻击在源地址欺骗的基础上面,向目标主机发送大量的tcp syn报文,使资源消耗。
方法:连接限制技术和连接代理技术。
连接限制技术包括tcp半开连接数限制和新建连接速率限制两种,连接代理技术包括syn cookie和safe reset两种。
1 Tcp半开连接数限制是在防火墙上面设置受保护的目标主机的半开连接数阀值,超过认为受攻击。
2 Tcp新建连接速率限制是在防火墙上面设置受保护的目标主机的新建连接数速率阀值,超过认为受攻击。
3 Sys cookie技术是在新建连接的报文中携带认证信息cookie,通过验证客户端的报文信息来确定报文的有效性的技术4 safe reset技术是对新建连接的报文进行处理,修改响应报文和携带认证信息,在通过客户端回应报文中的信息来确认的一种技术,又称单向代理技术。
Udp flood攻击是指特定目标发送大量udp消息,使目标主机瘫痪方法:设置对应主机的udp报文的速率或者报文数量,超过认为受攻击。
Icmp flood攻击是指向特定目标发送大量icmp消息来请求回应,使目标主机瘫痪。
方法:设置icmp回应请求报文的速率阀值地址扫描是指扫描网络上面有哪些活动主机,为进一步攻击做准备。
方法:检测各种协议报文,统计从同一个源ip地址发送报文到不同目的的ip地址个数,超过阀值,认为受攻击。
端口扫描获取网络主机开放了哪些端口方法:检测进入防火墙的tcp和udp报文,统计是从同一个源ip地址发出的报文到不同目的端口,超过阀值,受攻击。