防火墙的定义
防火墙是一个位于内部网络与外部网络之间的安全系统(网络中不同
区域之间),是按照一定的安全策略建立起来的硬件或软件系统,用
于流量控制的系统(隔离),保护内部网络资源免受威胁(保护)。
防火墙的主要用于防止黑客对安全区域网络的攻击,保护内部网络的
安全运行。
防火墙的基本属术语
安全区域和接口
1. 一台防火墙具有多个接口,每个接口属于一个安全区域,每个区域具有唯
一的名称,所以防火墙至少具有两个接口 ;如图:
多安全区域
2.
多接口防火墙的每个接口指定不同的安全区域,
默认安全规则——-ACL与安全级别
• 根据访问控制规则决定网络进出行为:
访问控制规则存在的形式:访问控制列表ACL 和 安全级别(0-100)
防火墙工作层次
掌握防火墙的工作层次
了解防火墙的发展历程
掌握防火墙的分类
防火墙发展与分类
● 根据防火墙的服务层面不同分类:
包过滤防火墙 3、4层
状态防火墙 3、4、5层
NAT防火墙 3、4层
应用网关防火墙 3、4、5、7层
基于主机(服务器和个人)的防火墙 3、4、7层
混合/硬件专用平台防火墙 2、3、4、5、7层 如:PIX、ASA等
理解包过滤的工作过程
学会简单包过滤防火墙的配置
——第一种 简单包过滤防火墙技术
概述
类似交换机、路由器的ACL
工作层面:3 , 4 层
实现原理
检查IP、TCP、UDP信息
—简单包过滤技术续
优点
速度快,性能高,可以用硬件实现实现原理
检查IP、TCP、UDP信息
缺点
不能根据状态信息进行控制
前后报文无关
不能处理网络层以上的信息
ACL过多配置复杂,不能处理应用层的攻击,不支持连接认证,只对某些
类型的攻击比较敏感;
防火墙分类与状态检测
掌握防火墙的分类
理解状态检测的原理
流与会话
流(Flow),是一个单方向的概念,根据报文所携带
的三元组或者五元组唯一标识。根据IP层协议的不同
,流分为四大类:
TCP流:通过五元组唯一标识
UDP流:通过五元组唯一标识
ICMP流:通过三元组 + ICMP type + ICMP code唯一标识
RAW IP流:不属于上述协议的,通过三元组标识
会话(Session),以一个双向的概念,一个会话通常
关联两个方向的流,一个为会话发起方(Initiator)
,另外一个为会话响应方(Responder)。通过会话
所属的任一方向的流特征都可以唯一确定该会话,以
及方向
防火墙分类与应用网关
掌握防火墙的分类
理解ALG检测的原理
透明模式课程
掌握防火墙的部署方式
理解透明防火墙的优势
一、防火墙的三大工作模式(整体框架)
防火墙通过 “安全区域与接口映射” 实现流量控制,根据映射的网络层(二层 / 三层)不同,分为三种核心工作模式,透明模式是其中专为 “最小化改动现有网络” 设计的模式:
| 工作模式 | 核心特征 | 关键能力 |
|---|---|---|
| 路由模式 | 三层设备,接口映射三层安全区域(基于 IP 划分) | 1. 需制定数据转发安全策略 2. 支持目的路由选择、策略路由、NAT(网络地址转换) 3. 依赖 IP 地址进行数据转发 |
| 透明模式 | 二层设备,接口映射二层安全区域(基于 MAC 划分) | 1. 需制定数据转发安全策略(与路由模式逻辑一致) 2. 以 “透明桥” 方式接入网络,依赖 MAC 表转发数据 3. 接口无需配置 IP,仅需配置管理 IP |
| 混合模式 | 同时支持三层 + 二层安全区域映射 | 1. 可在同一防火墙中同时执行路由模式与透明模式的功能 2. 适用于网络结构复杂(既有三层路由需求,又有二层透明接入需求)的场景 |
二、透明模式核心解析
透明模式的核心定位是 “二层安全防护设备”,本质是在不改变现有网络三层结构(IP 规划、路由邻居)的前提下,嵌入网络实现安全隔离,具体可从 “特点、优势、应用场景” 三方面理解:
1. 透明模式的核心特点
二层设备属性:工作在 OSI 模型的二层(数据链路层),转发逻辑与交换机类似,通过学习设备的 MAC 地址生成 MAC 表,再依据 MAC 表将数据帧转发到正确接口。接口无 IP,需配管理 IP:
业务接口(用于转发数据的接口)无需配置 IP 地址 —— 因二层转发不依赖 IP 寻址,仅需识别 MAC 地址;必须配置全局管理 IP(如文档中 CISCO 的
ip address 192.168.1.1
安全策略逻辑与路由模式一致:虽转发层不同,但 “是否放行数据” 的判断标准与路由模式相同,均依赖预先配置的安全策略(如允许内部办公网段访问外网,禁止外网访问内部服务器网段)。
2. 透明模式的核心优势(解决的核心问题)
透明模式的优势完全围绕 “最小化对现有网络的影响” 展开,这是它与路由模式的关键区别:
不改变原网络 IP 规划:企业现有网络已分配好 IP 网段(如内部 192.168.0.0/24,外网出口 202.xx.xx.xx),若用路由模式需调整 IP 网段或配置 NAT,而透明模式直接嵌入,无需修改任何设备的 IP 地址。不改变原路由邻居关系:企业原有路由器、交换机已建立稳定的路由邻居(如 OSPF、BGP 邻居),若用路由模式需重新配置路由协议,可能导致网络中断;透明模式不参与三层路由,原有路由邻居关系完全不受影响。支持非 IP / 多播 / 广播数据转发:在交换环境中(如企业内部局域网),可能存在非 IP 协议数据(如 IPX、SNA 协议)或多播 / 广播数据(如视频会议多播流、ARP 广播),路由模式因基于 IP 转发无法处理这些数据,而透明模式作为二层设备可正常转发。
3. 透明模式的典型应用场景
结合上述优势,透明模式主要用于以下两类场景:
场景 1:替换原有出口设备
当企业需要将老旧的出口路由器 / 防火墙替换为新防火墙时,若用路由模式需重新配置 IP、路由,风险高;用透明模式可直接 “无缝替换”,仅需将新防火墙接入原有出口链路(如外网 – 防火墙 – 内网交换机),无需修改任何现有设备配置,业务不中断。场景 2:嵌入现有网络实现安全隔离
企业原有网络未部署防火墙(仅靠交换机连接内外网),需新增安全防护但不想改动现有网络结构时,可将透明模式防火墙嵌入 “内网交换机” 与 “外网路由器” 之间,实现内外网隔离,同时不影响员工正常上网、服务器正常提供服务。
三、透明模式配置示例(以 CISCO 设备为例)
文档给出了 CISCO 防火墙配置透明模式的核心步骤,每一步均对应透明模式的特性(如无接口 IP、需管理 IP),具体如下:
进入透明模式配置模式
执行命令
firewall transparent
配置业务接口
对用于转发数据的物理接口进行配置,核心要求:
物理接口 “打开”(no shutdown);给接口命名(如 Ethernet0/0);配置安全级别(如 inside(内网,安全级别高,如 100)、outside(外网,安全级别低,如 0),用于区分安全区域);不配置 IP 地址(符合透明模式二层属性)。
配置全局管理 IP
在全局配置模式下执行
ip address 192.168.1.1
补充配置(保证网络正常与安全)
配置 ACL(访问控制列表):放通必要的流量(如企业内部网段访问外网的流量),拒绝危险流量;放通 OSPF BPDU:若现有网络使用 OSPF 路由协议,需放通 OSPF 的 BPDU(生成树协议报文),避免路由邻居中断;配置其他安全策略:如入侵防御(IPS)、应用识别控制等,提升防护能力。
四、总结:透明模式的核心价值
透明模式是下一代防火墙针对 “现有网络改造场景” 的关键解决方案 —— 它以 “二层设备” 的身份嵌入网络,在不改变原有 IP 规划、路由结构的前提下,提供与路由模式同等的安全防护能力,同时支持非 IP / 多播 / 广播数据转发,完美平衡了 “安全增强” 与 “业务连续性” 的需求,尤其适合对网络稳定性要求高、不愿因新增防火墙改动现有配置的企业。
下一代防火墙概述
下一代防火墙概述
部署模式简介
下一代防火墙具备灵活的网络适应能力,支持:路由模式、透明模式、虚
拟网线模式、混合模式、旁路模式。
接口
NGAF有哪些接口?
➢ 根据接口属性分为:物理接口、子接口、VLAN接口、聚合接口。
其中物理口可选择为:路由口、透明口、虚拟网线口、镜像口。
➢ 根据接口工作区域划分为:二层区域口、三层区域口、虚拟网线区
域口。
NGAF的部署模式是由各个接口的属性决定的。
物理接口
物理接口与NGAF设备面板上的接口一 一对应(eth0为manage口),根
据网口数据转发特性的不同,可选择路由、透明、虚拟网线和旁路镜像
4种类型,前三种接口又可设置WAN 或非WAN属性。
物理接口无法删除或新增,物理接口的数目由硬件型号决定。
Trust 区域(内部可信网络,如企业内网)DMZ 区域(非军事区,部署对外服务的服务器)Untrust 区域(外部非可信网络,连接 Internet)
路
求分析
部署前我们需要做哪些准备工作?
1、现有设备的接口配置
2、内网网段规划,好写回包路由
3、是否有服务器要映射
4、内网有哪些访问权限
5、进行哪些安全策略配置
6、现在拓扑是否完整1、配置接口地址,并定义接口对应的区域:
在【网络配置】-【接口/区域】-【物理接口】中,选择接口,并配置
接口类型、所属区域、基本属性、IP地址。
2、配置路由:
在【网络配置】-【路由】中,新增静态路由,配置默认路由或回程路
由。
3、配置代理上网:
在【防火墙】-【地址转换】中,新增源地址转换。
4、配置应用控制策略,放通内网用户上网权限:
在【内容安全】-【应用控制策略】中,新增应用控制策略,放通内到外
的数据访问权限。
5、配置安全防护策略:
如:僵尸网络、IPS、DOS等防护策略。
由模式
透明模式组网
路由模式
组网
路由模式组网组网路由模式组网
需求分析
部署前我们需要做哪些准备工作?
1、接口定义
2、管理地址配置,还需要配置路由
3、不用配置地址转换
4、安全控制放通
5、安全防护策略配置思路
1、 配置接口地址,并定义接口对应的区域:
在【网络配置】-【接口/区域】-【物理接口】中,选择接口,并配置
接口类型、所属区域、基本属性、IP地址。
2、配置管理接口:
在【网络配置】中,新增管理接口,并分配管理地址。
3、配置路由:
在【网络配置】-【路由】中,新增静态路由,配置默认路由。
4、配置应用控制策略,放通内网用户上网权限:
在【内容安全】-【应用控制策略】中,新增应用控制策略,放通内到外
的数据访问权限。
5、配置安全防护策略:
如:僵尸网络、IPS、DOS等防护策略。
虚拟网线部署
透明部署中另外一种特殊情况:虚拟网线部署
➢ 和透明部署一样,接口也是二层接口,但是被定义成虚拟网线接口。
➢ 虚拟网络接口是成对存在的,转发数据时,无需检查MAC表,直接从虚
拟网线配对的接口转发。
➢ 虚拟网线接口的转发性能高于透明接口,单进单出网桥的环境下,推荐
使用虚拟网线接口部署。
4.3.1 终端安全风险
4.3.2 终端安全检测和防御技术
基于7层应用的深度数据包检测可实现终端安全可控
终端安全检测和防御技术
应用控制策略可对应用/服务的访问做双向控制。NGAF存在一条默认拒绝所有服
务/应用的控制策略。
基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量
的包通行后才能判断应用类型,然后进行拦截动作的判断。
基于服务的控制策略:通过匹配数据包的五元组(源地址、目的地址、源端
口、目的端口、协议号)来进行过滤动作,对于任何包可以立即进行拦截动
作判断。
终端安全检测和防御技术
WEB过滤是指针对符合设定条件的访问网页数据进行过滤。
包括URL过滤、文件过滤。
根据HTTP不同动作进行区分。
可以针对HTTPS URL进行过滤。
4.3.3 网关杀毒技术
网关杀毒实现方式
代理扫描方式
将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自
身的协议栈,通过网关自身的协议栈将文件全部缓存下来后,再送入
病毒检测引擎进行病毒检测。
流扫描方式
依赖于状态检测技术以及协议解析技术,简单的提取文件的特征与本
地签名库进行匹配。
4.3.4 僵尸网络检测和防御技术
僵尸网络
僵尸网络(Botnet,亦译为丧尸网络、机器人网络)是指骇客利用自己编写
的分布式拒绝服务攻击程序将数万个沦陷的机器,即黑客常说的僵尸电脑或
肉鸡组织成一个个控制节点用来发送伪造包或者是垃圾数据包,使预定攻击
目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。
需要一种事后检测机制用于发现和定位客户端受感染的机器,以降低客户端安
全风险。同时,记录的日志要求有较高的可追溯性。
感染了病毒、木马的机器,其病毒、木马试图与外部网络通信时,AF识别出该
流量,并根据用户策略进行阻断和记录日志
云端沙盒检测——检测流程
僵尸网络检测和防御技术
➢ 异常流量检测
通过对当前的网络层及应用层行为与安全模型进行偏离度分析,能够发现隐
藏的网络异常行为,并根据行为特征确定攻击类型,发现特征匹配无法发现
的攻击。
外发流量异常功能是一种启发式的dos攻击检测手段,能够检测源IP不变的syn
flood、icmp flood、dns flood与udp flood攻击。
外发流量异常功能的原理为:当特定协议的外发包pps超过配置的阈值时,
基于5分钟左右的抓包样本检测数据包是否为单向流量、是否有正常响应内
容,得出分析结论,并将发现的攻击提交日志显示。
僵尸网络检测和防御技术
➢ 其他检测方式
1. 与僵尸网络连接是最基础的判定方式,信息来源包括:上万台在线设备收
集、与google等机构合作共享
2. 对于未知的僵尸网络(存在大量DGA生成的C&C域名),通过模拟DGA算法
总结特征/总结一般正常域名的构成方式来判定未知的僵尸网络
3. 危险的外联方式检测,如使用已知的(IRC、HFS)与僵尸网络进行通讯
4. 使用标准端口传输非标准协议(如:在80端口中传输RDP协议)
5. 对外发起CC攻击
6. 对外传播恶意文件
7. 对外发送shellcode
8. 检测出下载恶意文件、恶意PDF等行为
9. 检测出下载文件与后缀名不符
10.上下行流量不符
4.4.1 服务器安全风险
4.4.2 DOS攻击检测和防御技术
DOS攻击介绍
DoS攻击——Denial of Service, 是一种拒绝服务攻击,常用来使服务器或网络瘫
痪。
DDoS攻击——Distributed Denial of Service, 分布式拒绝服务攻击。
DOS目的
①、消耗带宽
②、消耗服务器性能
③、引发服务器宕机
配置思路
1、【防火墙】-【DOS/DDOS防护】-新增【外网对内网攻击防护策略】。
2、【源区域】选择外网区域。
3、【扫描防护】勾选【IP地址扫描防护】、【端口扫描防护】。
4、【内网IP组】选择需要保护的服务器IP组。
5、【DoS/DDoS攻击类型】-勾选所有类型,一般按照默认即可,为体现测试效
果可适当调低封锁阈值。
6、【高级防御选项】-可勾选除【IP数据块分片传输防护】之外的其他选项,
一般不建议勾选【IP数据块分片传输防护】,勾选了分片数据包都将被丢弃。
思考总结
SYN洪水攻击防护的【每目的IP激活阈值】、【每目的IP丢包阈值】指
的是什么?
1、每目的IP激活阈值,指当针对策略设置的目的IP组内某IP发起的syn请求速率
数据包超过设定值,则触发AF的syn代理功能。
2、每目的IP丢包阈值,指当针对策略设置的目的IP组内某IP发起的syn请求速率
数据包超过设定值,则AF不再启用syn代理,直接丢弃syn包。
4.4.3 IPS入侵检测和防御技术
IDS/IPS介绍
IDS——Intrusion Detection Systems,即入侵检测系统,对网络、系统的运行状
况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果。
IPS——Intrusion Prevention Systems,即入侵防御系统,可对网络、系统的运行
状况进行监视,并可发现阻止各种攻击企图、攻击行为。
配置思路
①保护客户端:
1、【IPS】-新增IPS策略
2、【源区域】选择内网客户端所在区域,源IP选择需要防护的客户端IP组
3、【目的区域】选择外网区域,目的IP组选择全部
4、【IPS选择】选择【保护客户端】及【恶意软件】
5、 选择允许或拒绝、是否联动封锁、是否日志记录,依具体情况而定
②保护服务器:
1、【IPS】-新增IPS策略
2、【源区域】选择外网区域,源IP组选择全部
3、【目的区域】选择服务器所在区域,目的IP选择需要防护的服务器IP组
4、【IPS选择】选择【保护服务器】及【口令暴力破解】
5、 选择允许或拒绝、是否联动封锁、是否日志记录,依具体情况而定
4.4.4 WEB攻击检测和防御技术
需求背景
2015年04月22日,超30个省市卫生和社保系统爆出漏洞,黑客通过sql注入
,完成数千万用户的社保信息的拖库批量下载。社保系统里的信息包括了居民
身份证、社保、薪酬等敏感信息
SQL注入
动漫视频举栗——SQL注入
SQL注入——就是通过把SQL命令插入到Web表单递交或输入域名或页面
请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
SQL注入
➢ 什么内容才是SQL注入攻击?
SQL注入攻击可以根据其特点分为弱特征、注入工具特征、强特征三种。
弱攻击:类似这种select * from test,这个sql语句中,有两个关键字
select和from执行了一个查询语句,其危险性相对强攻击较低;
注入工具攻击:利用一些专业的SQL注入工具进行攻击,这些工具
的攻击都是具有固定数据流特征的。
强攻击:如insert into test values(lmj,123) 这个语句中有三个SQL关键
字insert、into、values,并且这个语句操作可能导致在test表中添加lmj这个用
户,这种语句被认为是危险的;
强攻击大致具备如下特征:
1、包含三个及以上的SQL关键字,并且这三个关键字组合起来能够成为一条合
法的SQL语句。
2、包含任何的SQL关键字连词,这些连词包括union. “;”, and, or等,并且采取
了常用的sql注入方法来运用这些连词,如数据包中存在 and 1=1 会被认为是强
特征。
SQL注入
➢ 攻击数据出现在哪里?
Web提交数据一般有两种形式,一种是get,一种是post。
1、Get的特点,提交的内容经过URI编码直接在url栏中显示
2、Post的特点,提交的内容不会直接显示在url部分,会在post包的data
字段中
CSRF攻击
CSRF——Cross Site Request Forgery,即跨站点请求伪造,攻击者盗用了
你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合
法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮
件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟
货币转账等。
动漫视频举栗——CSRF跨站请求伪造攻击
信息泄露攻击
信息泄露漏洞是由于在没有正确处理一些特殊文件,通过访问这些文件或
者路径,可以泄露web服务器的一些敏感信息,如用户名、密码、源代码、服
务器信息、配置信息。
常见的信息泄漏有:
1、应用错误信息泄露;
2、备份文件信息泄露;
3、web服务器缺省页面信息泄露;
4、敏感文件信息泄露;
5、目录信息泄露。
信息泄露的几种原因:
1、web服务器配置存在问题
2、web服务器本身存在漏洞
3、web网站的脚本编写存在问题
配置思路
1、【服务器保护】-【web应用防护】新增WAF策略
2、【源区域】选择外网区域,源IP组选择全部
3、【目的区域】选择服务器所在区域,目的IP选择需要防护的服务器IP组
4、【端口】选择默认,如web服务器使用的是非标准端口80,则将对应端口填
至HTTP选项
5、【防护类型】 选择全部,其他选项默认即可
6、 允许或拒绝、是否联动封锁、是否日志记录,依具体情况而定
误判处置
方法一:在【服务器保护】-【WEB应用防护】-【排除列表】中新增URL参数
排除后,WEB应用防护的网站攻击检测将跳过这些参数的检查。主要用于正
常业务下某些请求参数因携带特征串而被检测为攻击的情况,可以只针对这
些参数排除。误判处置
方法二:在【内置数据中心】-【日志查询】-【WEB应用防护】中查询日志
,找出误判日志然后点击日志后面的“添加例外”。
4.4.5 网页防篡改技术
需求背景
网站篡改带来的后果
①经济损失
从媒体报道的事件中我们就能体会到,网站被篡改带来了非常大的经济损失
,尤其对某些Web系统所有者来说可能是致命的。尤其对与银行、证券以及游
戏类网站,不仅给用户带来直接的经济损失,而且会降低用户使用网站服务的
信心,这对企业无疑是巨大打击,可能造成客户流失,形成间接经济损失。
②名誉损失
网站代表着企业、政府机构等组织在互联网用户中的形象,当首页被篡改,
甚至于留有一些侮辱性文字和图片,组织的声誉将因此会受到非常大的影响,
造成持续的名誉损失。
③政治风险
尤其对于政府机构的网站,一旦被反动势力入侵并利用网站散播反动言论,
不仅将会严重影响政府形象,而且会带来极大的政治风险,产生社会动荡,后
果十分严重。。
网页防篡改
深信服网页防篡解决方案采用文件保护系统+下一代防火墙紧密结合,文件监
控+二次认证功能紧密联动,保证网站内容不被篡改,其中文件保护系统采用
了业界防篡改技术中最先进的文件过滤驱动技术。
➢ 文件监控
在服务端上安装驱动级的文件监控软件,监控服务器上的程序进程对网站
目录文件进行的操作,不允许的程序无法修改网站目录内的内容
➢ 二次认证
管理员认证流程:
1. 访问网站后台http://www.xxx.com/dede/
2. AF重定向提交管理员邮箱地址的认证页面
3. 提交接收验证码的管理员邮箱wangboxkillman@sina.com
4. 发送带有验证码的邮件至wangboxkillman@sina.com
5. 管理员登录邮箱获取验证码
6. 管理员提交验证码通过认证
7. 通过验证后自动跳转到后台页面
黑客认证流程:
第3步时,黑客无法提交正确的管理员邮箱
则无法正常登录网站后台,此过程
除非黑客通过社工手段获取
管理员邮箱地址,并且破解管理员
邮箱后才可破解后台登录
配置思路
①配置防篡改客户端
1、下载客户端——AF防篡改配置界面右上角有一个【安装防护客户端】下载链
接,点击下载对应操作系统客户端即可,或者直接
http://sec.sangfor.com.cn/tamper/下载客户端。还可以在配置界面最底部有一个
默认勾选的服务器文件系统防护点击“安全防护客户端”即可下载windows或者
linux客户端软件。
2、安装客户端
3、设置客户端配置思路
②配置二次认证
1、【服务器保护】-【网站篡改防护2.0】新增防篡改策略。
2、【服务器IP】若DNAT是在AF上做的,填写DNAT之后的IP;若DNA不是在AF上
做的,则填写访问服务器数据经过AF时的目的IP。
3、【网站后台登录防护】需要填写访问端口及网站管理URL。
4、【管理员认证方式】IP认证即IP白名单,加入到这个IP认证列表的不需要二
次认证;邮件认证即需要通过邮件验证码形式发送邮件附件填写到页面上才能
访问管理员后台。如果两种认证方式都不勾选则默认全部拒绝。
5、如果使用了邮件认证则必须在【系统】-【邮件服务器】配置发件人。
暂无评论内容