gb561防火墙和ips知识要点.docx
- 文档编号:29561174
- 上传时间:2023-07-24
- 格式:DOCX
- 页数:18
- 大小:29.88KB
gb561防火墙和ips知识要点.docx
《gb561防火墙和ips知识要点.docx》由会员分享,可在线阅读,更多相关《gb561防火墙和ips知识要点.docx(18页珍藏版)》请在冰豆网上搜索。
gb561防火墙和ips知识要点
防火墙分册:
安全:
免除了不可接受的损害风险的状态。
网络安全属于信息安全的分类。
安全的英文名称security。
安全三维模型检测防御制止。
防御:
通过一些机制和技术措施方面的努力来降低受到窃取和破坏的风险。
制止:
通过规范、制度、法律、纪律非授权行为。
检测:
通过分析日志,跟踪审计,主动扫描等手段来检测攻击行为和系统漏洞。
安全防御:
周边防御和深度防御。
安全策略的要点1资产2风险3保护4工具5优先权。
安全策略定义了那些是允许的,那些是不允许的。
网络环境里面的安全是一种能够识别和消除不安全因素的能力。
安全已解决保护系统资产的五项需求:
1机密性2完整性2可用性4可控性5可审计性。
Ssls-httpshhtcp/ip以上skip在tcp/ip以下
信息安全要素iso13335-1列举的安全要素
1资产2威胁3脆弱性4影响5风险6防护措施7残留风险8约束
PDR模型protection保护detection检测response响应
Syslog基于udp协议端口514
PDR的保护具体包括安全规则的制定,系统安全的配置,安全措施的采用
检测具体包括异常临视模式发现
响应具体包括报告记录反应恢复。
信息安全的策略建立模型主要由1先进的技术2相关的法律和法规3严格的管理审计制度。
网络安全的研究内容1信息对抗2工业网安全互联网与电信安全3密码学4信息隐藏与教学水印5内容安全6软件安全。
密码学的核心密码分析学密码编码学。
民用的加密算法有DESIDEARSA
当前所处的网络环境
1网络规模迅猛发展2网民规模继续高速增加3上网设备多样化,手机上网普及4网络应用更加多样化,形成网络生活形态。
5现代的,先进的复杂技术的局域网、广域网、intranet、extranet网络发展迅速。
当前网络的安全威胁1信息系统安全漏洞层出不穷2木马与僵尸网络的不断增长3篡改网站、网络仿冒以及恶意代码4p2p流量占用大量互联网业务流量5不断变化的业务模型和信任模型。
安全建设模式,关键点安全:
分析安全的脆弱点并在关键点部署安全产品
面向业务的安全保障分析业务流程,制定针对性安全规划。
L5l6l7层应用识别、内容识别、威胁识别。
防火墙技术包括安全域策略,包过滤技术、黑名单、arp、防攻击、NAt、ALG、ASPF、攻击防范、冗余备份、WEB过滤、双击热备、。
防火墙是一种放置本地网络和外部网络之间的防御系统,外部网络和本地网络之间交互的所有数据流都需要经过防火墙的处理之后,一旦发现异常数据流,防火墙将它拦下,实现本地网络的保护。
防火墙技术演进包过滤防火墙应用代理防火墙状态检测防火墙
包过滤防火墙在网络层和传输层,
应用网关防火墙是比包过滤技术更加完善的防火墙技术,最大的缺点是代理技术,极大的消耗了本身的资源。
状态检测防火墙,采用了更加复杂的访问控制算法,发展到了对会话过滤sessionfitering
防火墙的功能:
安全区域,域间策略会话管理,包过滤,黑名单,ASPF,NAT,ALG,ARP攻击攻击防范web过滤双击热备
Ips和放病毒不是FW的功能
安全域安全需求相同的接口划分到不同的域,实现策略的分层管理。
一般将要被公共网络访问的设备放置DMZ区域。
TRUST优先级85,local100,management100,DMZ50,URTUST5
域间策略:
源安全域和目的安全域之间一系列访问控制规则的集合。
缺省情况下,1物理端口属于local区域,其他也可以2高优先级的区域访问低优先级的区域3低优先级的不可以访问高优先级的区域4相同是可以访问的。
流是一个单方向的概念,三元组和五元组三元组指icmp协议的源ip目的ip协议五元组指源ip源端口目的ip目的端口协议
会话是一个双向的概念,发起会话和响应会话。
Tcp协议首先发送syn的报文返回synack报文发送ack报文建立会话,udp的话只要交互一次报文就可以建立会话。
包过滤技术是访问控制技术的一种,对于需要转发的数据包,首先获取包头的信息,(源地址、目的地址、源端口、目的端口等,)与策略进行比较,进行处理
Acl是实现包过滤的基础技术,定义是报文的匹配规则。
Alc除了可以做访问控制外,还可以用来实现数据匹配,和其他模块完成特殊的功能。
比如
:
NAT转换、策略路由、路由策略、qos、ipsec等。
Acl的分类基本acl、高级acl、二层acl
包过滤分类基本acl、高级acl、二层acl、基于时间段的包过滤、
基本acl只根据源ip地址信息制定匹配规则2000-2999
高级acl根据源/目的ip、协议类型、协议特性、等来制定匹配规则。
3000-3999
二层acl根据报文的源mac地址、目的mac地址等二层协议来制定匹配规则。
基于时间段acl描述在特殊时间范围,使acl在制定时间段生效,(包括周期时间和绝对时间)
黑名单根据报文的源ip地址进行过滤的一种方式。
黑名单匹配简单,可以高效过滤报文
黑名单的两种方式1静态添加2动态添加。
黑名单的表项老化1永久老化2非永久老化
ASPF传统的包过滤只能对于二层协议来制定规则,对于多通道协议,数据通道是动态协商的就无法知道的通道的地址和端口
ASPF基于应用层的包过滤与ALG配合实现动态通道检测和应用状态检测两大功能。
动态通道检测:
多通道的协议报文交互过程中需要协商动态通道的地址和端口,ALG通过记录报文的交互过程的动态通道地址和端口,与ASPF一起配合决定报文的通过。
应用状态检测:
通过解析、记录应用层报文的状态信息,记录回话的上下文信息,对即将到来的报文做预测,对不符合要求的进行处理,
NAT为什么要nat?
1地址少2隐藏内网
实现方式1基本NAT方式2NAPT方式3NATServer方式4EasyIP 方式。
基本NAT方式:
1只转换ip地址、对tcp/udp协议号端口不做处理。
2一个公网ip地址不能同时被多个用户使用。
NAPT方式:
多对一的地址转换,它通过使用ip地址和端口的方式进行转换,实现多对一。
NATServer方式:
可以解决这个问题-通过静态配置公网ip和端口号与私网ip和端口好之间的映射关系,可以讲公网地址反响转换成私网地址。
Esayip指直接使用接口的公网ip地址作为转换后的源地址进行地址转换。
1NAT设备直接使用出口地址ip作为转后的源地址2不可预先配置地址池3工作原理和普通的nat是相同的,只是其中的一个特例4适用拨号进入internet或动态获取ip地址的场所。
Alg应用层网关多种通道协议的应用首先需要在控制通道中对后续数据通道的地址和端口进行协议,然后根据协商结果创建数据通道连接。
由于Nat无法对数据进行识别和转换,所以需要配合Alg适用。
穿越防火墙要做ALG处理的应用层协议包括:
FTP、DNS、H。
323(包括RAS、H.225、H.245)、
HTTP、ICMP、ILS、MSN/QQ、NBT、RSTP、SIP、SQLNET、TFTP等。
1FTP的ALG应用2DNS的ALG应用3ICMP差错报文的ALG应用。
ARP地址解析协议是将ip地址解析为以太网mac地址的协议。
ARP报文为ARP请求和ARP应答报文。
1ARP协议主要基于网络中的所有主机或者网关都为可信任的前提制定,所以没有任何认证机制。
2攻击者可以很容易的通过伪造ARP报文,填写错误的源mac-ip对应关系来实现arp攻击。
Arp攻击类型1网关仿冒攻击2中间人攻击。
网关仿冒攻击对策网关的ip和mac绑定
中间人攻击对策绑定所有ip和mac地址。
攻击防范
当前网络面临的安全威胁:
1畸形报文的攻击2Dos/DDos攻击3扫描窥探攻击。
畸形报文攻击:
指通过向目标系统发送有缺陷的ip报文,使目标系统在处理这样的ip报文是奔溃,主要的攻击报文有pingofdeath,treardrop等
Dos/DDos攻击:
使用大量的数据包攻击目标系统,使目标系统的正常用户无法通过请求。
主要的方式有Smurf、land、synflood、udpflood和icmpflood等。
扫描窥探攻击:
利用ping扫描标识网络上存在的活动主机,从而定位潜在的目标位置。
1攻击防范-Smurf攻击向目标主机发送icmpecho请求报文,报文源地址为被攻击的主机地址,目的为广播地址,网络中所有主机对被攻击的主机响应使其无法工作
方法:
检测icmp的请求报文的目的地址是不是子网广播地址或子网网络地址,核实后对其选择转发或者丢弃。
2.攻击防范–land攻击。
利用tcp的三次握手机制,大量发送tcpsyn报文到攻击对象,(syn报文的源地址和目的地址都是本身)使其建立大量空链接,消耗资源。
方法:
检测每个ip报文的源地址和目的地址,发现其相同或者是环回地址,对其进行转发或则丢弃。
3攻击防范-winnuke攻击对任何运行windows的主机的dos攻击,对目标主机的netbios139端口发送oob数据包,是报文片段重叠,使主机处理这些报文的时候瘫痪。
方法:
防火墙的tcp报文,如果目的端口号为139的且tcp的紧急标志被置位,根据用户的配置选择,对其转发或则丢弃。
4攻击防范synflood攻击在源地址欺骗的基础上面,向目标主机发送大量的tcpsyn报文,使资源消耗。
方法:
连接限制技术和连接代理技术。
连接限制技术包括tcp半开连接数限制和新建连接速率限制两种,连接代理技术包括syncookie和safereset两种。
1Tcp半开连接数限制是在防火墙上面设置受保护的目标主机的半开连接数阀值,超过认为受攻击。
2Tcp新建连接速率限制是在防火墙上面设置受保护的目标主机的新建连接数速率阀值,超过认为受攻击。
3Syscookie技术是在新建连接的报文中携带认证信息cookie,通过验证客户端的报文信息来确定报文的有效性的技术
4safereset技术是对新建连接的报文进行处理,修改响应报文和携带认证信息,在通过客户端回应报文中的信息来确认的一种技术,又称单向代理技术。
Udpflood攻击是指特定目标发送大量udp消息,使目标主机瘫痪
方法:
设置对应主机的udp报文的速率或者报文数量,超过认为受攻击。
Icmpflood攻击是指向特定目标发送大量icmp消息来请求回应,使目标主机瘫痪。
方法:
设置icmp回应请求报文的速率阀值
地址扫描是指扫描网络上面有哪些活动主机,为进一步攻击做准备。
方法:
检测各种协议报文,统计从同一个源ip地址发送报文到不同目的的ip地址个数,超过阀值,认为受攻击。
端口扫描获取网络主机开放了哪些端口
方法:
检测进入防火墙的tcp和udp报文,统计是从同一个源ip地址发出的报文到不同目的端口,超过阀值,受攻击。
若目标主机请求的端口未开放,则回应icmp报文不可达到,若开放,则不回应icmp报文。
Web过滤1网站地址过滤2url参数过滤3javaapplet过滤4acticex过滤
双击热备为什么要做双击热备?
单点故障
双击热备的模式1主备模式2负载分担模式
双击热备的实现机制:
会话同步1批量备份2实时备份。
双击热备1通过vrrp实现流量切换2通过动态路由实现流量的切换。
防火墙的工作模式路由模式透明模式混合模式
入侵检测系统ips分册
一种基于应用层、主动防御的技术,它以在线方式部署于网络关键路径,通过对数据报文的深度检测,实时发现威胁并主动进行处理。
安全威胁发展趋势1网络边界的消失2威胁和应用息息相关3威胁涌现和传播速度越来越快。
4利益驱动导致威胁越来越多5攻击变的越来越简单6攻击产业化
应用层威胁1蠕虫病毒2带宽滥用3网络病毒4间谍软件5垃圾邮件6拒绝服务安全漏洞1操作系统本身存在问题2各种软件存在bug3网站和数据库提供者编写的过程考虑无法周全。
常见威胁行为:
缓冲区溢出漏洞攻击1最常见的漏洞2缓冲区溢出攻击向程序的缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序。
他的根本原因是缺少错误检测。
溢出漏洞攻击的分类1堆载溢出攻击2函数指针溢出攻击。
防止缓冲区溢出攻击,首先要堵住漏洞的源头,在程序设计和测试时对程序进行缓冲区边界检测和溢出检测。
网络管理员在做到及时发现漏洞,对系统进行补丁升级。
Web应用攻击
攻击的结果1网页篡改2网页挂马3账号被盗4傀儡机5钓鱼网站6拒绝服务
常见攻击方式1sql注入攻击2基础软件漏洞利用3跨站脚本的攻击
1sql注入攻击利用web应用程序对用户的网页输入缺少合法的判断的漏洞,攻击者将sql命令注入后台数据库,达到攻击的目的。
攻击后果非法获得网站的权限、网页篡改、网页挂马、窃取网站数据等。
2跨站脚本漏洞攻击攻击原理攻击者利用网站程序对用户的输入没有进行充分的有限性校验和敏感词的过滤的漏洞,构造了恶意脚本,其他用户执行攻击者的代码的时候,会遭受攻击者的进一步攻击。
攻击后果网页挂马拒绝服务
2网络蠕虫攻击:
一种通过网络传播的恶性病毒,他具有病毒的一些共性有传播性、隐蔽性、破坏性等等,不用利用文件寄生,存在于内存中,对网络拒绝服务,以及和黑客技术结合。
主要传播方式:
1利用远程系统漏洞进行网络传播阻击波、震荡波、sql蠕虫王
2利用电子邮件、im、局域网进行网络传播如爱虫、求职信蠕虫。
3两种方式nimda、熊猫烧香等。
蠕虫造成的危害:
1消耗主机资源,破坏主机系统,造成主机拒绝服务
2蠕虫传播导致网络拥塞,导致整个互联网瘫痪、失控
3蠕虫与黑客技术结合,窃取受害者的敏感信息或者控制受害者主机。
著名的蠕虫病毒1sqlslammercodered
利用漏洞攻击步骤:
1扫描2溢出、获得权限3蠕虫控制目标主机4目标主机成为蠕虫
蠕虫的传播过程1探测2渗透3扎根4传播5破坏
防御方法1为所有的系统及时打上漏洞补丁用ips来检查蠕虫的互动2用访问控制来限制蠕虫传染3用pvlan来保护关键服务器4用网管工具来追踪被感染的主机5通过car来限制蠕虫病毒6全网部署病毒扫描措施。
3间谍软件1驻留在计算机的系统,收集有关用户的信息,并发送给软件的发布者2在用户不知情下进行。
间谍软件的分类:
1浏览器劫持2ie工具条和弹出窗口3winsoke劫持4中间人代理
间谍软件的危害1消耗网络带宽2占用大量硬盘和cpu资源3修改ie设置、安装后门、病毒4泄露个人信息
4网络钓鱼攻击者利用欺骗性的电子邮件和伪造的web站点来进行网络诈骗活动。
5木马程序木马程序通常包括客户端和服务器端。
木马就是利用客户端对服务器端进行远程控制的程序。
木马的传播方式1伪装工具程序、诱骗运行2捆绑在知名工具程序中3利用漏洞入侵后,安装木马4下载器下载5通过电子邮件植入6利用及时通讯软件7移动存储设备。
木马被植入后操作:
1复制各种类型的文件和电子邮件2转向入侵3监控被黑者的电脑屏幕,读取键盘来获取各类密码。
4远程遥控。
6p2p流量泛滥
7dos/ddos攻击1dos拒绝服务攻击2ddos分布式拒绝服务攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或者多个目标发动dos攻击。
从而成倍地提高拒绝服务器的攻击的威力。
不同网络层次面临的安全威胁1物理层:
设备或者传输线路物理损失2链路层:
arp欺骗、广播风暴3网络层访问控制问题、协议异常网络层ddos4应用层漏洞利用、扫描探测、协议异常、蠕虫、病毒、木马、条鱼、sql注入、p2p、应用层ddos
Ips主要功能和防护原理
Ips入侵防御系统是一种基于应用层、主动防御的产品,它以在线方式部署于网络关键路径上,通过对数据报文的深度检测,实时发现威胁主动并处理。
1应用层、主动防御2主要根据特征库匹配3一般在线方式部署。
Ips基本原理:
1数据流重组2协议识别分析3特征模式匹配4特征/模式的更新5主动处理。
无源链接设备pfcsecpath-100自带pfc模块
H3c的secpatht系列产品特点1高精度高效率的检测引擎2全面及时的攻击特征库3基于时间特性的带宽管理和url过滤4anti-ddos5多重高可靠性6安全域网络深度融合7集成强大的防病毒引擎8强大灵活的管理功能
线内操作方式
只有在线内对流量进行处理,才能真正阻挡出现在网络上出现的攻击。
1防火墙和ids联动无法实现整个操作要花100毫秒时间,对网络来说是一个延时2事后防御,不能阻挡单包攻击
1ips能在一个攻击发生危害之前,对其实施阻挡根据每个数据包,作出允许还是拒绝的决定,不需要与防火墙联动。
H3cips具有frist检测引擎,基于精确状态的全面检测。
全面的特征库1卡巴斯基专业防病毒特征库2漏洞库3协议集
特征库的更新1手动升级2自动升级
强大的带宽管理能够精确识别并限制p2p炒股软件网络多媒体网络游戏等限流粒度可以精确到8kbps。
可基于时间、、时间段、ip地址、ip地址组、vlan等策略灵活控制。
强大的ddos防御1流量的异常检测2连接限制3连接速率限制
高可靠性支持热插拔双电源支持二层回退功能有掉电保护模块
T1000系统ips的缺省固定接口内置pfc功能。
二层回退是指设备性能负荷到达一定程度是时,ips自动切换到二层回退状态。
安全威胁防范1网站侧检测点2用户检测点3sql注入4防范跨站脚本攻击5h3cips防御系统漏洞6h3cips防御木马、后门7h3cips防御网络钓鱼8h3cips防御间间谍软件、广告9h3cips防御ddos攻击
Ips工作模式1在线部署方式2旁路部署方式
UTM管理方法1基于串口命令性管理方法2基于http的web管理方法3基于telnet/ssh的命令行管理方法。
U200-s是h3c公司的统一威胁管理设备。
只有在cf卡存在的情况下,才能启动ips功能。
安全域和段
1安全策略基本概念
ips设备中,安全区域是一个物理/网络上的概念。
安全员将安全需求相同的进行分类,既划分到不同的区域,能够实现策略的分层管理。
安全区域,它可以包含普通物理接口和逻辑接口,也可以包括二层物理trunk接口和vlan。
段则是具有方向性的按安全域的组合。
特征:
定义了一组检测因子来决定如何对当前网络中的流量进行检测。
规则:
是一个包含了特征、动作、状态的集合
策略:
是一个包含了多个规则的集合。
2安全策略的配置步骤:
一。
基本配置1安全区域配置2段配置3引流配置
二。
安全策略配置1攻击防护策略2带宽管理策略管理3url过滤策略配置4病毒防护策略配置。
三.激活安全策略
四保存。
3攻击防火安全策略的配置1创建攻击防护策略2配置攻击防护规则3应用攻击防护策略到段上。
攻击防护策略日志配置
攻击防护日志
1两种类型、阻断和告警2可以使用过滤条件包括有攻击名称、攻击级别、动作类型。
3可以导出并进行分析.
4带宽控制
带宽控制的类型1段带宽控制2策略带宽控制3应用带宽控制。
配置步骤1创建带宽控制策略2配置带宽控制规则3应用带宽控制策略到段上。
5url过滤基本概念
它们分别有固定字符串和正则表达式两种配置方式。
UTM设备常见故障诊断1检查物理链路状态2检查ips工作模式3检查ips是否处于二层回退状态4检查策略配置是否正确5检查ips是否激活6检查ips是否进行license注册7检查是否升级到最新特征库8检查ips运行状态9检查ips日志。
UTM设备常见故障及解决方案1故障现象一:
ips不能防御最新攻击一确保引流配置正确二确保攻击防护策略配置正确三检查license是否过期,升级到最新的特征库
四分析具体攻击类型
2故障现象二ips无法删除自定义的策略一查看自定义策略是否引用到段上面,当引用到段上时无法删除二只有先在段上取消引用自定义的策略,才能进行删除。
3故障现象三ips自动升级特征库不成功一确保ips管理口up与公网路由可达二确保ips配置了dns访问www。
h3c。
com。
cn域名三确认license没有过期。
2计算机病毒定义:
利用计算机软件或硬件的缺陷,破坏计算机数据并影响计算机正常工作的一组指令集或程序代码。
计算机病毒的特征1感染性2潜伏性3可触发性4破坏性
计算机病毒的危害1破坏计算机数据信息2消耗系统资源3降低计算机运行速度4破坏计算机硬件5衍生出新的病毒6损坏计算机用户财产和隐私。
计算机病毒的来源1天才的程序员为了表现自己2为了防止自己的软件被非法拷贝3处于政治、军事、等需要4计算机黑客制造病毒。
破坏硬件系统的病毒cih。
happy99病毒标志着病毒新的增长点。
2007病毒和木马增加最快的年份。
1dos引导小球和石头病毒
2dos可执行阶段代表为言路撒冷和星期天
3伴随、批次阶段金蝉病毒
4第一个电子邮件传播的病毒梅丽莎病毒。
5红色代码redcode的爆发,导致大量web服务器瘫痪。
称为划时代的病毒。
传统病毒的分类后面带病毒的是传送病毒没带病毒的是现代病毒
1引导型病毒是通过软盘引导
2文件型病毒的特征:
1可执行文件信息的改变2任何异常的任务和进程3注册表或者配置文件的异常或可疑的改动。
宏病毒。
doc。
xls。
ppt
3宏病毒的特征1被感染的文件的大小会增加2当你关闭文件时程序会问你是否存所坐的更改,而实际上没对文本没做任何该当。
3普通的文件当做模板保存起来
4脚本病毒是通过网页或邮件的方式进行传播的病毒
5网页病毒主要是通过网页嵌入小程序来进行破坏行为
危害1强行修改用户的操作系统的注册表社会中2系统实用配置程序3非法控制系统资源盗取用户文件4恶魔删除硬盘文件、格式化硬盘等行为。
6Flash病毒win32.troj。
qq病毒
现代病毒
1特洛伊木马程序黑客可以任意毁坏、窃取目标主机的而文件,甚至远程操作目标主机。
危害1窃取个人账号、密码信息2远程控制3组建僵尸网络。
2蠕虫是一种通过网络传播的恶性病毒,蠕虫
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- gb561 防火墙 ips 知识 要点