<form id="jrvlt"></form>
      <form id="jrvlt"></form>

                  <em id="jrvlt"></em>
                  <form id="jrvlt"></form>

                    學習啦>學習電腦>電腦安全>防火墻知識>《防火墻的基礎知識科普》正文

                    防火墻的基礎知識科普

                    時間:2020-11-20 20:12:43本文內容及圖片來源于讀者投稿,如有侵權請聯系xuexila888@qq.com 懷健 我要投稿

                    防火墻主要由四個部分組成:服務訪問規則、驗證工具、包過濾和應用網關。所有計算機的一切輸入輸出的網絡通信和數據包都要經過防火墻。下面就讓小編帶你去看看防火墻的基礎知識科普,希望能幫助到大家!

                    網絡基礎知識:TCP協議之探測防火墻

                    為了安全,主機通常會安裝防火墻。防火墻設置的規則可以限制其他主機連接。例如,在防火墻規則中可以設置IP地址,允許或阻止該IP地址主機對本機的連接;還可以設置監聽端口,允許或阻止其他主機連接到本地監聽的端口。

                    為了清楚地了解目標主機上是否安裝防火墻,以及設置了哪些限制,netwo__工具提供了編號為76的模塊來實現。它通過發送大量的TCP[SYN]包,對目標主機進行防火墻探測,并指定端口通過得到的響應包進行判斷。

                    如果目標主機的防火墻處于關閉狀態,并且指定的端口沒有被監聽,將返回[RST,ACK]包。

                    如果目標主機上啟用了防火墻,在規則中設置了端口,阻止其他主機連接該端口,那么在探測時將不會返回響應信息。如果設置為允許其他主機連接該端口,將返回[SYN,ACK]包。

                    如果在規則中設置了IP地址,并允許該IP地址的主機進行連接,探測時返回[SYN,ACK]包;當阻止該IP地址的主機進行連接,探測時將不會返回數據包。

                    由于它可以發送大量的TCP[SYN]包,用戶還可以利用該模塊實施洪水攻擊,耗盡目標主機資源。

                    在主機192.168.59.131上對目標主機192.168.59.133進行防火墻探測。

                    1)向目標主機端口2355發送TCP[SYN]包,探測是否有防火墻。執行命令如下:

                    root@da__ueba:~# netwo__ 76 -i 192.168.59.133 -p 2355

                    執行命令后沒有任何輸出信息,但是會不斷地向目標主機發送TCP[SYN]包。

                    2)為了驗證發送探測包情況,可以通過Wireshark抓包進行查看,如圖1所示。其中,一部分數據包目標IP地址都為192.168.59.133,源IP地址為隨機的IP地址,源端口為隨機端口,目標端口為2355。這些數據包是探測防火墻時發送的TCP[SYN]數據包。另一部分數據包源IP地址為192.168.59.133,目標IP地址為隨機的IP地址,源端口為2355,目標端口為隨機端口。這些數據包為對應的響應包。這里的響應包為[RST,ACK]包,表示目標主機的防火墻沒有開啟,并且目標主機沒有監聽2355端口。

                    3)目標主機沒有開啟防火墻時,如果監聽了端口(如監聽了49213端口),將會得到[SYN,ACK]響應包,如圖2所示。其中,一部分數據包的源IP地址為192.168.59.133,目標IP地址為隨機的IP地址,源端口為49213,目標端口為隨機端口。這些數據包為對應的響應包。這里的響應包為第2次握手包,表示目標主機監聽了49213端口。

                    4)當目標主機上開啟了防火墻,再進行探測時,如果目標主機監聽了端口,并且在防火墻規則中允許連接到該端口,那么將會收到[SYN,ACK]響應包。如果不允許連接到該端口,那么將不會返回任何響應數據包。例如,防火墻規則中不允許連接49213端口,那么在探測時,將只有TCP[SYN]包,如圖3所示。其中,所有的數據包目標IP地址都為192.168.59.133,源IP地址為隨機的IP地址,源端口為隨機端口,目標端口為49213。這些數據包就是探測時發送的TCP[SYN]包。

                    5)目標主機的防火墻規則可能限制了特定IP地址的主機進行連接。那么,在進行探測時,其他IP地址的TCP[SYN]包會得到對應的[SYN,ACK]響應包,被限制的IP地址主機將不會收到響應包。捕獲到的探測數據包,如圖4所示。其中,偽造了大量的IP地址向目標主機發送的TCP[SYN]包。例如,第45個數據包為偽造主機19.182.220.102向目標主機192.168.59.133發送的探測包。第53個數據包為偽造主機223.145.224.217向目標主機192.168.59.133發送的探測包。

                    6)通過顯示過濾器,過濾主機19.182.220.102的數據包,如圖5所示。圖中第45個數據包為發送的探測包,第283個數據包為對應的響應包[SYN,ACK]。這說明目標主機防火墻規則中沒有限制主機19.182.220.102的連接。

                    7)過濾主機223.145.224.217的數據包,如圖6所示。該數據包為進行探測發送的[SYN]包,主機IP地址為223.145.224.217,但是該數據包沒有對應的響應包。這說明目標主機防火墻規則中限制了主機223.145.224.217的連接。

                    8)對目標主機實施洪水攻擊,在攻擊之前,在目標主機上查看所有端口的相關狀態信息,如圖7所示。其中,192.168.59.133:49213表示主機192.168.59.133開啟了49213端口。狀態列中的LISTENING表示該端口處于監聽狀態。

                    9)對目標主機進行洪水攻擊,執行命令如下:

                    root@da__ueba:~# netwo__ 76 -i 192.168.59.133 -p 49213

                    10)再次在目標主機上查看所有端口的相關狀態信息,如圖8所示。圖中顯示了大量的地址192.168.59.133:49213,表示有大量的主機連接了主機的49213端口。其中,1.11.56.194:49356表示,主機1.11.56.194的49356端口連接了主機192.168.59.133的49213端口。

                    科普 l 防火墻的基礎知識整理

                    一、基本特征

                    1、內外部網絡之間的一切網絡數據流都必須經過防火墻

                    2、只有符合安全策略的數據流的數據才能通過防火墻

                    3、防火墻本身就應該具備非常強的抗攻擊和免疫力

                    4、應用層防火墻應該具備更精細的防護能力

                    5、數據庫防火墻應該具備針對數據庫惡意攻擊的阻斷能力

                    二、主要優點

                    1、防火墻具有強化安全策略的能力。

                    2、防火墻可以有效對Internet上的活動進行記錄。

                    3、防火墻具有限制暴露用戶點的能力,可以用來隔開網絡中的網段,有效防止其中某一網段的出現問題時影響其他網段。

                    4、防火墻是一個檢查站。所有輸入輸出的信息都必須通過防火墻的檢查,確認安全才能通過,可疑的訪問全都會被拒絕于門外。

                    三、基本功能

                    1.對進出網絡的數據進行過濾

                    2.管理用戶進出訪問網絡的行為

                    3.封堵禁止的業務

                    4.記錄所有通過防火墻信息內容和活動

                    5.對網絡攻擊行為進行檢測和告警

                    四、防火墻的分類

                    按照防火墻的實現方式可將防火墻分為下列幾種:

                    1、包過濾防火墻:包過濾防火墻比較簡單,但缺乏靈活性。而且包過濾防火墻每個包通過時都需要進行策略檢查,一旦策略過多會導致性能的急劇下降。

                    2、代理型防火墻:安全性高,但開發成本也很高,如果每個應用都開發一個的代理服務的話是很難做到的。所以代理型防火墻需要針對某些業務應用,不適合很豐富的業務。

                    3、狀態檢測防火墻:屬于高級通信過濾,在狀態檢測防火墻中,會維護著一個會話表項,通過Session表項就能判斷連接是否合法訪問,現在主流的防火墻產品多為狀態檢測防火墻。

                    論防火墻之基礎知識

                    1.防火墻原理

                    通過匹配數據包中的源目IP地址及源目端口或者協議,地址轉換及隱藏端口等,定義相應策略,從而實現需求及效果。

                    2.作用

                    2.1防止外部攻擊,保護內網;

                    2.2在防火墻上做NAT地址轉換(源和目的);

                    2.3基于源地址及目的地址應用協議及端口做策略規則,控制訪問關系;

                    2.4限定用戶訪問特殊站點

                    2.5管理訪問網絡的行為

                    2.6做監管認證

                    3.部署位置(以Hillstone SG6000為例)

                    一般部署在出口位置,如出口路由器等,或者區域出口

                    4.接入方式

                    三層接入(需要做NAT轉換,常用)

                    二層透明接入(透明接入不影響網絡架構)

                    混合接入(一般有接口需要配置成透明模式,可以支持此模式)

                    5.安全域劃分

                    5.1一般正常三個安全域untrust(外網)、trust(內網)、DMZ

                    5.2服務器網段也可自定義多個,外網接口ip地址:客戶提供

                    5.3內網口ip地址:如果內網有多個網段,建議在中心交換機配置獨立的VLAN網段,不要與內網網段相同。

                    5.4如果客戶內網只有一個網段,沒有中心交換機,則把防火墻內網口地址設置為客戶內網地址段,并作為客戶內網網關(使用于中小型網絡)

                    5.5 DMZ口ip地址:建議配置成服務器網段的網關

                    配置基本思路:

                    配置安全域(默認三個安全域)

                    配置接口地址

                    配置路由

                    默認路由:其中指定的接口:untrust(外網)接口,如果有多個出口,可以在這選擇不同的接口,其中網關為跟FW互聯設備接口的地址,比如59.60.12.33是給電信給的出口網關地址。

                    靜態路由:網關地址為下一跳地址,客戶內部有多個VLAN,需要配置靜態路由,比如客戶內部有172.16.2.0/24,172.16.3.0/24等多網段,可以指定一條靜態路由。

                    6.配置策略

                    Rule id 4

                    Action permit //動作允許

                    log session-start

                    log session-end

                    src-zone "untrust" //源安全域為untrust

                    dst-zone "trust" //目的安全域為trust

                    src-addr "________廣場_10.126.242.3"

                    dst-addr "____系統_144.160.31.139"

                    service "Any"

                    description "______廣場訪問____系統"

                    e__it

                    //源地址______廣場訪問目的地址____系統

                    6.1配置安全域之間的允許策略

                    6.2配置trust到untrust的允許所有的策略

                    6.3配置DMZ到untrust的允許所有的策略

                    6.4配置trust到DMZ的允許所有的策略

                    6.5配置untrust到DMZ服務器的允許策略

                    6.6配置untrust到trust服務器的允許策略

                    (有時候有需求是從untrust訪問trust內部地址的需求,同樣要先做目的NAT,然后配置從untrust到trust的允許策略)

                    7.配置詳細策略

                    一般為了使接口流量能夠流入或者流出接口,將接口綁定到某個安全域下。

                    三層安全域,還需為接口配置ip地址,然后規定策略,多個接口可以綁定到一個安全域下,但是一個接口不能被綁定到多個安全域。

                    策略查詢:

                    系統會根據數據包的源安全域、目的安全域、源ip地址及端口號和目的ip地址及端口號及協議等,查找策略規則,如果找不到策略,則丟棄數據包,如果找到相應的策略,則根據規則所定義的動作來執行,動作為允許、拒絕、隧道。

                    7.1配置策略規則

                    Address address1

                    Ip address 192.168.10.1 255.255.255.0

                    Policy from l2-trust2 to l2-untrust2

                    Rule from ipaddress1 to any service any permit //從地址1來的所有服務都允許通過

                    7.2安全域

                    Trust、untrust、DMZ、l2-trust、l2-untrust、l2-DMZ。

                    接口綁定到域,并且綁定到vswitch,二層和三層域決定了接口工作在二層模式還是三層模式。

                    創建vswitch2,創建二層安全域trust1,將trust1綁定到vswitch2中,再將eth0/0綁定到trust1中:

                    配置示例:

                    Vswitch vswitch2

                    Zone trust1 l2

                    Bind vswitch2

                    Int eth0/0

                    Zone trust1

                    配置安全域:

                    Zone +域名稱

                    L2+指定所創建域為二層域

                    在全局模式下使用no zone+域名稱則刪除指定域

                    綁定二層域到vswitch,默認情況下,每一個二層域都被綁定到vswitch1中

                    7.3接口模式

                    物理接口:設備上eth0/0、eth0/1等都屬于物理接口

                    邏輯接口:VLAN接口、環回接口、等屬于邏輯接口。

                    二層接口:屬于二層域以及VLAN的接口均屬于二層接口

                    三層接口:屬于三層域的接口都屬于三層接口,只有三層接口在NAT/路由模式下工作。

                    8.Juniper?SSG-550M防火墻

                    使用Get system 查看版本信息等

                    使用Get interface查看接口狀態,系統默認的登錄用戶名和密碼都為netscreen

                    幾個系統默認的安全區及接口:安全域中如無物理接口存在,則無實際意義。

                    Trust eth1口

                    Untrust eth4口

                    DMZ eth3口

                    接口模式

                    NAT模式

                    當流量從端口流入,再流出端口時,源地址會轉換為接口的地址,不管策略中轉換池有沒有指定源地址轉換,接口會進行轉換,eth1口默認是NAT默認,使用時修改為router模式。

                    路由模式

                    (更加靈活,常用)當流量從端口流入,再流出端口時,如果在策略中轉換池指定源地址轉換了,則流出端口時會進行轉換,如策略地址池中無源地址轉換策略,則不會進行轉換。

                    Juniper防火墻地址轉換方式

                    MIP靜態一對一地址轉換

                    VIP虛擬一對多地址轉換

                    DIP動態多對多地址轉換

                    配置MIP和VIP時轉換時有要求,轉換后的地址必須是與eth1內網口地址所屬同一網段,否則無法使用,而DIP不受此規則限制看,所以比較靈活。

                    1.QOS流量限制

                    作用:對流量進行限速,增加鏈路帶寬

                    實現方式:先對需要限速的報文分類標記,然后進行流量策略匹配,將流策略和流行為進行綁定,然后應用于接口。

                    2.Ospf 10 area 1 使用OSPF協議

                    Ospf路由協議,手動配置,路由表自動生成

                    ospf協議特點:

                    1.1路由信息傳遞與路由計算分離

                    1.2無路由自環收斂速度快

                    1.3以帶寬作為選路條件,更精確

                    1.4支持無類域間路由

                    1.5使用ip組播收發協議數據

                    1.6支持協議報文的認證

                    OSPF開銷:

                    COST=參考帶寬/實際帶寬(參考帶寬缺省100)

                    3.起子接口連接各支行

                    在接口下啟用子接口,配置IP地址,連接各支行

                    4.做NQA檢測

                    主要檢測地市分行核心路由器到數據中心出口路由器,主備線路,當檢測到主鏈路出現故障時,切換到備用鏈路上。

                    5.使用靜態路由

                    靜態路由,手動配置,路由表逐條添加

                    6.NTP時鐘服務

                    設置NTP時鐘服務器,同步各設備時間。

                    7.SSH遠程登錄

                    遠程登錄設備控制

                    8.靜態NAT網絡地址轉換

                    可以針對源地址轉換,針對目的地址轉換。

                    防火墻的基礎知識科普相關文章:


                    防火墻的基礎知識科普相關文章:

                    防火墻的基礎知識大全有哪些

                    防火墻的詳細介紹

                    【電腦知識】:防火墻的工作技術分類與基礎原理是什么?

                    【電腦知識】:防火墻的三種工作模式是什么?

                    系統安全基礎知識大全有哪些

                    網絡基礎知識匯總學習

                    【電腦知識】:防火墻性能的幾個重要參數指標是什么?

                    【網絡安全】:網絡安全基礎知識點匯總

                    認識網絡的基礎知識教程

                    什么是網絡的基礎知識

                    [防火墻的基礎知識科普]相關的文章
                    【防火墻知識】圖文推薦
                    【防火墻知識】相關文章
                    學習啦友鏈、商務、投稿、客服:QQ:3061683909 郵箱3061683909@qq.com

                    Copyright @ 2006 - 2020 學習啦 All Rights Reserved

                    學習啦 版權所有 粵ICP備15032933號-1

                    我們采用的作品包括內容和圖片全部來源于網絡用戶和讀者投稿,我們不確定投稿用戶享有完全著作權,根據《信息網絡傳播權保護條例》,如果侵犯了您的權利,請聯系:xuexila888@qq.com,我站將及時刪除。

                    學習啦

                    回到頂部 成年片黄色大片网站视频 - 视频 - 在线观看 - 影视资讯 -酷酷网