网络防御安全：2-6天条记

第二章：防火墙

一、什么是防火墙

防火墙的重要职责在于：控制和防护。
防火墙可以根据安全计谋来抓取流量之后做出对应的动作。
二、防火墙的发展

![](https://img-
blog.csdnimg.cn/direct/5033cec605434a439fab1cd0ad481d41.png)地区：
Trust 地区，该地区内网络的受信托水平高，通常用来界说内部用户所在的网络。
DMZ 地区[2]，该地区内网络的受信托水平中等，通常用来界说内部服务器所在的网络。
Untrust 地区，该地区代表的是不受信托的网络，通常用来界说 Internet 等不安全的网络。
三、防火墙的分类

吞吐量：防火墙同一时间处理的数据量
一、包过滤防火墙：

包过滤防火墙的缺点：
1，许多安全风险会集在应用层的，所以，仅关注三四层的数据无法做到完全隔离安全风险
2，逐包进行包过滤检测，将导致防火墙的转发服从过低，成为网络中的瓶颈。
在ACL列表中，华为体系下，末尾是没有隐含规则的，即假如匹配不到ACL列表，则认为ACL列
表不存在，之前可以通过，则还可以通过；但是，在防火墙的安全计谋中，为了包管安全，末 尾会隐含一条拒绝全部的规则，即只要没有放通的流量，都是不能通过的。
二、应用代理防火墙

应用代理防火墙的缺点：
1，由于需要防火墙进行先一步安全识别，所以，转发服从会降低（原来的三层握手就会变成 6次握手）
2，可伸缩性差：每一种应用程序需要代理的话，都需要开发对应对应的代理功能，假如没有 开发，则无法进行代理。
三、状态检测防火墙

“会话表技术” ---- 首包检测
四、入侵检测系统（IDS）

IDS – 一种侧重于风险管理的安全机制 — 滞后性
例：旁路摆设

五、入侵防御系统（IPS）

六、防病毒网关（AV）

七、Web应用防火墙（WAF）

web应用防火墙的缺点：由于浩繁的专用装备导致企业在摆设安全防护时需要同时不是大量的装备进行防护，则装备维
护成本大大进步，全部装备都需要对流量进行检测，所以，服从很低
八、统一威胁管理（UTM）

特点：在UTM中，各功能模块是串联工作，所以，检测服从并没有得到提升。但是，由于继承在了一台装备中，所以，维护成本得到降低。
九、下一代防火墙（NGFW）

下一代防火墙的优点：
改进点核心：相较于之前UTM中各模块的串联摆设，变为了并联摆设，仅需要一次检测，全部 功能模块都可以做出对应的处理。大大进步了工作服从。

十、防火墙的其他功能：

防火墙的控制：

带内管理 — 通过网络环境对装备进行控制 — telnet，ssh，web — 登录装备和被登录装备之间网络需要联通

带外管理：console线，mini usb线

华为防火墙的MGMT接口（G0/0/0）出厂时默认设置的有IP地点：192.168.0.1/24，并且
该接口默认开启了DHCP和web登录的功能，方便进行web管理。
admin/Admin@123
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit — 开启管理口web登录服务
防火墙的管理员

本地认证：用户信息存储在防火墙上，登录时，防火墙根据输入的用户名和密码进行判断，假如通过验证，则乐成登录。
服务器认证：和第三方的认证服务器对接，登录时，防火墙将登录信息发送给第三方
服务器，之后由第三方服务器来进行验证，通过则反馈给防火墙，防火墙放行。一样平常实用于企业本身使用第三方服务器来存储用户信息，则用户信息不需要重复创建。
服务器/本地认证：优先使用服务器认证，假如服务器认证失败，则也不进行本地认证。只有在服务器对接不上的时候，采用本地认证
信托主机 #1：可以添加一个地点或者网段，则其寄义是只有在该地点活着地点段内，可以登录管理装备——最多可以添加10条信息。
防火墙的组网

物理接口
二层口 — 不能配IP
平凡的二层口
接口对 — “透明网线” — 可以将两个接口绑定成为接口对，假如流量从一个接口进入，则 肯定从另一个接口出去，不需要查看MAC地点表。 —
其实一个接口也可以做接口对，从该 接口进再从该接口出
旁路检测接口 — 重要用于防火墙的旁路摆设，用于接收镜像口的流量。
三层口 — 可以配IP
假造接口：换回接口、子接口、链路聚合、隧道接口等
安全地区：

Trust — 一样平常企业内网会被规划在trust地区中
Untrust — 一样平常公网地区被规划在untrust地区中我们将一个接口规划到某一个地区，则代表该接口所连接的全部网络都被规划到该地区。
Local —
指装备本身。凡是由装备构造并主动发出的报文均可以认为是从local地区发出的，凡是需要装备相应并处理的报文均可以认为是由Local区担当。我们无法修改local区的设置，并且我们无法将接口划入该地区。接口本身属于该地区。
Dmz — 非军事化管理地区 —
这个地区重要是为内网的服务器所设定的地区。这些服务器本身在内网，但是需要对外提供服务。他们相称于处于内网和外网之间的地区。所以，这个地区就代表是严酷管理和松散管理地区之间的部分管理地区。
优先级 — 1 - 100 — 越大越优 — 流量从优先级高的地区到优先级低的地区 — 出方向（outbound）
流量从优先级低的地区到高的地区 — 入方向（inbound）
十二、防火墙工作模式

一、路由模式

1，接口，地区设置完成
2，内网设置回包路由
3，是否需要设置服务器映射
4，设置内网访问外网的NAT
5，针对内外网的安全计谋
二、透明模式

三、旁路模式

四、肴杂模式

假如防火墙既存在工作在路由模式的接口（接口具有IP 地点），又存在工作在透明模式的接口（接口无IP
地点），则防火墙工作在肴杂模式下。肴杂模式重要用于透明模式作双机备份的环境，此时启动VRRP（Virtual Router Redundancy
Protocol，假造路由冗余协议）功能的接口需要设置IP 地点，其它接口不设置IP地点。
第三章、安全计谋

传统的包过滤防火墙 — 其本质为ACL列表，根据数据报中的特征进行过滤，之后对比规制，执办法作。
五元组 ：源IP，目标IP，源端口，目标端口，协议

安全计谋：相较于ACL的改进之处在于，首先，可以在更细的颗粒度下匹配流量，另一方面是可以完成内容安全的检测。

安全计谋 — 1，访问控制（允许和拒绝）
2，内容检测 — 假如允许通过，则可以进行内容检测

例：
需求：DMZ区存在两台服务器，如今要求生产区的装备仅能在办公时间（9：00 -18：00）访问，办公区的装备全天都可以访问。

防火墙的状态检测和会话表

基于流的流量检测 — 即装备仅对流量的第一个数据包进行过滤，并将结果作为这一条数据流
的“特征”记录下来（记录在本地的“会话表”），之后，该数据流后续的报文都将基于这个 特征来进行转发，而不再去匹配安全计谋。这样做的目的是为了进步转发服从。

当web服务器给PC进行回报时，来到防火墙上，防火墙会将报文中的信息和会话表的信
息进行性比对，假如，发现报文中的信息与会话表中的信息相匹配，并且，符合协议规 范对后续报文的界说，则认为该数据包属于PC，可以允许该数据包通过。
会话表 :

会话表本身也是基于5元组来区分流量，会话表在比对时，会通过盘算HASH来比较五元组。由于HASH定长，所以，可以基于硬件进行处理，进步转发服从。
由于会话表中的记录只有在流量经过触发时才故意义，所以，假如记录长时间不被触发，则应该删除掉。即会话表中的记录应该存在老化时间。假如会话表中的记录被删除掉之后，相同五元组的流量再通过防火墙，则应该由其首包重新匹配安全计谋，创建会话表，假如无法创建会话表，则将丢弃该数据流的数据。
假如会话表的老化时间过长：会造成系统资源的浪费，同时，有可能导致新的会话表项无法正常建立
假如会话表的老化时间过短：会导致一些需要长时间首发一次的报文连接被系统强行制止，影响业务的转发。 (不同协议的会话表老化时间是不同)

状态检测技术

状态检测重要检测协议逻辑上的后续报文，以及仅允许逻辑上的第一个报文通过后创建会话表。可以选择开启或者关闭该功能。

数据通过防火墙的流程

ASPF

FTP — 文件传输协议

FTP协议是一个范例的C/S架构的协议
Tftp —简单文件传输协议
1，FTP相较于Tftp存在认证动作
2，FTP相较于Tftp拥有一套完整的命令集

FTP工作过程中存在两个进程，一个是控制进程，另一个是数据的传输进程，所以，需要使用两个端口号20，21 并且，FTP还存在两种不同的工作模式 —
主动模式，被动模式
主动模式

被动模式

像FTP这种使用多个端口号的协议叫做多通道协议（双通道协议）
ASPF——针对性应用层的包过滤：用来抓取多通道协议商端口的关键数据包，之后将端口算出，将记录写在server-map表中，相称于开发了一条隐蔽的门路。

防火墙的用户认证

防火墙管理员登录认证 : 检验身份的正当性，划分身份权限
用户认证 :上网行为管理的一部分
上网行为管理三要素:用户，行为，流量
用户认证的分类
上网用户认证:三层认证 — 全部的跨网段的通讯都可以属于上网行为。正对这些行为，我们盼望将行为和产生行为的人进行绑定，所以，需要进行上网用户认证。
入网用户认证: 二层认证 — 我们的装备在接入网络中，比如插入交换机或者接入wifi后，需要进行认证才气正常使用网络。
接入用户认证 :远程接入 — VPN — 重要是校验身份的正当性的
认证方式
本地认证: 用户信息在防火墙上，整个认证过程都在防火墙上执行
服务器认证 : 对接第三方服务器，防火墙将用户信息传递给服务器，之后，服务器将认证结果返回，防火墙执行对应的动作即可
单点登录 :和第三方服务器认证雷同。

认证域：以决定认证的方式和构造布局

登录名 — 作为登录凭证使用，一个认证域下不能重复
表现名 — 表现名不能用来登录，只用来区分和标识不同的用户。假如使用登录名区分，则也可以不用写表现名。表现名可以重复
账号逾期时间 — 可以设定一个时间点到期，但是，假如到期前账号已登录，到期后，防火墙不会欺压下线该用户。
允许多人同时使用该账号登录
私有用户 — 仅允许一个人使用，第二个人使用时，将顶替到原先的登录
公有用户 — 允许多个人同时使用一个账户
IP/MAC绑定 — 用户和装备进行绑定（IP地点/MAC地点）
单向绑定 — 该用户只能在这个IP或者这个MAC或者这个IP/MAC下登录，但是，其他用户可以在该装备下登录
双向绑定 — 该用户只能在绑定装备下登录，并且该绑定装备也仅允许该用户登录
安全组和用户组的区别 — 都可以被计谋调用，但是，用户组在调用计谋后，全部用户组成员以及子用户组都访问效，而安全组仅组成员见效，子安全组不见效。
认证计谋

Portal :
这是一种常见的认证方式。我们一样平常见到的网页认证就是portal认证。我们做上网认证，仅需要流量触发对应的服务时，弹出窗口，输入用户名和密码进行认证。
免认证 :需要在IP/MAC双向绑定的环境下使用，则对应用户在对应装备上登录时，就可以选择免认证，不做认证。
匿名认证:和免认证的思路相似，认证动作越透明越好，选择匿名认证，则登录者不需要输入用户名和密码，直接使用IP地点作为其身份进行登录。
认证域

假如这里的上网方式选择protal认证，则认证计谋里面也要选择portal认证。
假如这里的上网方式选择免认证或者单点登录，则认证计谋中对应动作为免认证。
假如认证计谋中选择的是匿名认证，则不触发这里的认证动作。

不同的认证域之间是或的关系
防火墙的NAT
静态NAT — 一对一
动态NAT — 多对多
NAPT — 一对多的NAPT — easy ip — 多对多的NAPT
服务器映射
源NAT — 基于源IP地点进行转换。我
们之前接触过的静态NAT，动态NAT，NAPT都属于源NAT，都是针对源IP地点进行转换的。源NAT重要目的是为了包管内网用户可以访问公网
目标NAT — 基于目标IP地点进行转换。我们之前接触过的服务器映射就属于目标NAT。是为了包管公网用户可以访问内部的服务器
双向NAT — 同时转换源IP和目标IP地点

设置黑洞

设置黑洞路由 —
黑洞路由即空接口路由，在NAT地点池中的地点，发起设置到达这个地点指向空接口的路由，不然，在特定环境下会出现环路。（重要针对地点池中的地点和出接口地点不再同一个网段中的场景。）
允许端口地点转换
决定了使用的是动态NAT还是NAPT的逻辑

动态NAT创建完后，触发访问流量后会同时生成两条server-
map的记录，其中一条是反向记录。反向记录小时前，相称于是一条静态NAT记录，外网的恣意地点，在安全计谋放通的环境下，是可以访问到内网的装备。
基于端口的NAT转换，是不会生成server-map表的。
NAT范例 — 五元组NAT — 针对源IP，目标IP，源端口，目标端口，协议 这五个参数识别出的数据流进行端口转换
三元组NAT — 针源IP，源端口，协议 三个参数识别出的数据流进行端口转换
三元组
P2P — peer to peer

由于P2P应在端口转换的环境下，识别五元组，将导致P2P客户端之间无法直接访问，不符合
五元组的筛选条件，所以，这种场景下可以使用三元组NAT，放宽筛选条件，包管P2P客户端 之间可以正常通讯。
目标NAT

服务器映射：

安全地区 — 值的是需要访问服务器的装备所在的地区。
源NAT在安全计谋之后执行，目标NAT在安全计谋之前执行（由于自动生成的安全计谋的目标 地点是转换后的地点，说明需要先进行转换，再触发安全计谋）

双向NAT

多出口NAT

源NAT
第一种：根据出接口，创建多个不同的安全地区，再根据安全地区来做NAT
第二种：出去还是一个地区，选择出接口来进行转换
目标NAT
第一种：也可以分两个不同的地区做服务器映射
第二种：可以只设置一个地区，但是要注意，需要写两条计谋分别正对两个接口的地点 池，并且，不能同时勾选允许服务器上网，否则会造成地点冲突
防火墙的智能选路

就近选路：我们盼望在访问不同运营商的服务器时，通过对运营商的链路，这样。可以进步通讯服从，避免绕路。

传统的路由，仅基于数据包的目标IP地点查找路由表。仅关心其目标，所以，在面对一些特殊的需求时，传统路由存在短板，缺乏灵活性，实用场景比较单一。
计谋路由本身也是一种计谋，计谋重要先匹配流量，再执办法作。计谋路由可以从多维 度去匹配流量，之后，执行的动作就是界说其转发的出接口和下一跳。计谋路由末尾隐
含一条不做计谋的规则，即全部没有匹配上计谋路由的流量，都将匹配传统路由表进行 转发。
假如存在多条计谋路由，则匹配规则也是自上而下，逐一匹配，假如匹配上了，则按照 对应动作执行，不再向下匹配；
DHCP优先级：相称于在数据包中设定其转发的优先级（利用的是IP头部中tos字段）， 之后下游装备会根据优先级来差别化包管流量的通过。
动作： 转发——可以界说其转发的方式
转发其他假造系统——VRF
不做计谋路由

监控——当计谋是单出口时，假如这里写的下一跳和出接口不可达，报文将直接被FW丢 弃。为了进步可靠性，我们可以设置针对下一跳的监控，纵然下一跳不可达，也可以继
续查找本地路由表，而不是直接丢弃。
智能选路：全局路由计谋

基于链路带宽的负载分担

基于链路带宽的负载分担会按照多条链路的带宽比例来分配流量。并且，假如设置的过 载掩护阈值，则一条链路到达过载掩护阈值之后，除了已经创建会话表的流量依然可以
从该接口通过外，该接口将不再参与智能选路，需要新建会话表的流量将从别的链路中 按照比例转发。
会话保持：开启该功能后，流量初次通过智能选路的接口后，会创建会话表，后续命 中会话表的流量都将通过同一个接口来进行转发，选择源IP和目的IP的效果时，全部相
同源IP或者目标IP的流量将通过同一个接口转发。（应对于盼望链路频繁切换的场景）

在链路接口中可以设置就近选路。

基于链路质量进行负载分担

丢包率：FW会发送多少个探测报文（默认5个），将统计丢包的个数。丢包率即是回 应报文个数除以探测报文个数。丢包率是最重要的评判依据。
时延：应答报文担当时间减去探测报文发送时间。FW会发送多少个探测报文，取平均 时延作为结果进行评判
延时抖动：两次探测报文时延差值的绝对值。FW会发送多少个探测报文，取两两延时 抖动的平均值。

初次探测后会将结果记录在链路质量探测表中，之后，将按照表中的接口来进行选路。 表中的老化时间结束后，将重新探测。

基于链路权重进行负载分担

权重是由网络管理员针对每一条链路手工分配的，分配之后，将按照权重比例分配流 量。
基于链路优先级的主备备份

优先级也是由网络管理员针对每一条链路手工分配的。
执行逻辑： 1，接口没有设置过载掩护：
优先使用优先级最高的链路转发流量，其他链路不工作。直到优先级最高的链路故 障，则优先级次高的链路开始转发流量。别的链路依旧不工作。
2，接口设置了过载掩护： 优先使用优先级最高的链路转发流量，其他链路不工作；假如最高的链路到达或超 过掩护阈值，则优先级次高的链路开始工作。
DNS透明代理

DNS透明代理的前提是开启就近选路

防火墙的可靠性：

防火墙和路由器在进行可靠性备份时，路由器备份可能仅需要同步路由表中的信息就可以了，
但是，防火墙是基于状态检测的，所以，还需要同步记录状态的会话表等。所以，防火墙需要 使用到双机热备技术。
双机：现在防火墙的双机热备技术仅支持两台装备
热备：两台装备同时运行，在一台装备出现故障的环境下，另一台装备可以立刻替换 原装备。
VRRP技术
假造路由器冗余协议——“实的不可来虚的”
Initialize:在VRRP中，假如一个接口出现故障之后，则这个接口将进入到该过渡状态
VRRP备份组之间是相互独立的，当一台装备上出现多个VRRP组时，他们之间的状态无法 同步。
VGMP：VRRP Group Management Protocol
华为私有协议：这个协议就是将一台装备上的多个VRRP组看成一个组，之后统一进行 管理，齐备统换的协议。以此来包管VRRP组状态的一致性。
接口故障切换场景:
在防火墙的双机热备中，我们岂论时VRRP组还是VGMP组，主备的叫法发生了变化，主 统一被称为Active，备被称为Standby

1，假设主装备的下联口发生故障，则这个接口的vrrp状态将由原来的Active状态切换为
initialize状态。（这种环境下，按照VRRP自己的机制，主装备将无法发送周期保活报文，
则备装备在凌驾超时时间后将切换为主的状态。但是，由于这里启用VGMP在，则VRRP 切换状态将由VGMP担当，VRRP的机制名不副实。）
2，VGMP组发现VRRP组出现变化，将降低自身的优先级。（说明，在VGMP组中，也
存在优先级的概念。一开始，每台装备中都会存在两个VGMP组，一个叫做Active组，
另一个叫做Standby组。Active组初始的默认优先级为65001，Standby组初始的默认
优先级为65000（不同版本的防火墙，这个优先级的界说不同）。一开始，我们FW1将
两个VRRP组都拉入VGMP_ACTIVE组中，由于ACTIVE组的状态时active，所以，里面
两个vrrp组的状态也是active（VGMP组的状态决定了VRRP组的状态），FW2同理。当
一个VRRP组的状态变为initialize，则VGMP则的优先级-2。）之后，原主装备会发送一
个VGMP哀求报文给对端，里面包罗了自己当前变化后的优先级。
3，当原备装备接收到哀求报文后，看到里面的优先级时64999，而低于自身的65000，则会将自己的VGMP_STANDBY组的状态由原来的standby切换为active。同时，发送
一个同意哀求报文给原主装备。
4，原主装备接收到对方的应答报文之后，将会把自身VGMP_ACTIVE组的状态由原来的 ACTIVE切换为STANDBY。
5，在原备装备发送应答报文的同时，由于其VGMP组的状态切换，所以，其内部的
VRRP组状态也将由原来的standby转换为avtive。原主装备在担当到对方的应答报文之
后，由于将其VGMP组状态切换，所以，同时将其内部的VRRP组状态由原来的active状
态切换为standby状态（注意，故障接口依旧保持init的状态。）
6，原备装备会通过接口向上下联链路发送免费ARP报文，切换交换机的MAC地点表。 流量将被切换到原被装备上。
HRP:Huawei Rwdundancy Protocol——华为冗余协议
HRP备份有一个前提，就是两台装备之间必须专门连一根用于备份的线路，这跟线路我 们称为心跳线（广义上，任何两台装备之间的链路都可以叫做心跳线）
心跳线的接口必须是一个三层接口，需要设置对应的IP地点。这条备份数据的链路不受 路由计谋限制（直连场景。非直连场景依然需要设置安全计谋。）
HRP协议本身算是VGMP协议的一部分 HRP的心跳线也会传递心跳报文，用于检测对端是否处于工作状态。这个周期时间默认
1s，逻辑和vrrp一样，只有主装备会周期发送，备装备仅监听即可，假如在三个周期
内，都没有收到HRP的心跳报文，则将认定原主装备故障，则将进行失效判断，认定自 身为主。 VGMP的报文也是通过这条心跳线发送的。
设置信息：
计谋，对象，网络里面的一些设置都属于设置信息。（接口IP地点，路由 之类的不同步，由于这些是需要在双机组建之前设置的）
状态信息：

备份方式：
1.自动备份
默认开启自动备份，可以实时备份设置信息。但是，自动备份不能立刻同步状态信息。 一样平常是在主装备上状态生成后一段时间（10s左右）同步到备装备上。
2.手工备份
由管理员手工触发，可以立刻同步设置信息以及状态信息。
3.快速备份
该模式仅使用在负载分担的工作方式下。 由于负载分担的场景下，两台装备都需要处于工作状态，为了避免由于状态信息同步不
及时，导致业务流量制止，所以，该场景下，默认开启快速备份。 快速备份可以实时同步状态信息。但是，该方式不同步设置信息。
各场景过程分析
1，主备形成场景

2，主备模式下，接口故障切换场景

3，主备场景，主装备故障切换：主故障之后，将无法周期发送HRP心跳报文，则备装备监 听超时，进行装备状态的切换。
4，主备场景，主装备接口故障恢复切换
没有开启抢占——没有抢占则原主装备保持备份状态。
开启抢占：

5，负载分担

6，负载分担接口故障场景

最后

从时代发展的角度看，网络安全的知识是学不完的，而且以后要学的会更多，同学们要摆正心态，既然选择入门网络安全，就不能仅仅只是入门水平而已，本领越强机会才越多。
由于入门学习阶段知识点比较杂，所以我讲得比较笼统，大家假如有不懂的地方可以找我咨询，我包管知无不言言无不尽，需要相关资料也可以找我要，我的网盘里一大堆资料都在吃灰呢。
干货重要有：
①1000+CTF历届题库（主流和经典的应该都有了）
②CTF技术文档（最全中文版）
③项目源码（四五十个有趣且经典的练手项目及源码）
④ CTF大赛、web安全、渗透测试方面的视频（适合小白学习）
⑤ 网络安全学习路线图（告别不入流的学习）
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
假如你对网络安全入门感兴趣，那么你需要的话可以点击这里