防火墙的基础知识科普
防火墙主要由四个部分组成:服务访问规则、验证工具、包过滤和应用网关。所有计算机的一切输入输出的网络通信和数据包都要经过防火墙。下面就让小编带你去看看防火墙的基础知识科普,希望能帮助到大家!
网络基础知识:TCP协议之探测防火墙
为了安全,主机通常会安装防火墙。防火墙设置的规则可以限制其他主机连接。例如,在防火墙规则中可以设置IP地址,允许或阻止该IP地址主机对本机的连接;还可以设置监听端口,允许或阻止其他主机连接到本地监听的端口。
为了清楚地了解目标主机上是否安装防火墙,以及设置了哪些限制,netwo__工具提供了编号为76的模块来实现。它通过发送大量的TCP[SYN]包,对目标主机进行防火墙探测,并指定端口通过得到的响应包进行判断。
如果目标主机的防火墙处于关闭状态,并且指定的端口没有被监听,将返回[RST,ACK]包。
如果目标主机上启用了防火墙,在规则中设置了端口,阻止其他主机连接该端口,那么在探测时将不会返回响应信息。如果设置为允许其他主机连接该端口,将返回[SYN,ACK]包。
如果在规则中设置了IP地址,并允许该IP地址的主机进行连接,探测时返回[SYN,ACK]包;当阻止该IP地址的主机进行连接,探测时将不会返回数据包。
由于它可以发送大量的TCP[SYN]包,用户还可以利用该模块实施洪水攻击,耗尽目标主机资源。
在主机192.168.59.131上对目标主机192.168.59.133进行防火墙探测。
1)向目标主机端口2355发送TCP[SYN]包,探测是否有防火墙。执行命令如下:
root@da__ueba:~# netwo__ 76 -i 192.168.59.133 -p 2355
执行命令后没有任何输出信息,但是会不断地向目标主机发送TCP[SYN]包。
2)为了验证发送探测包情况,可以通过Wireshark抓包进行查看,如图1所示。其中,一部分数据包目标IP地址都为192.168.59.133,源IP地址为随机的IP地址,源端口为随机端口,目标端口为2355。这些数据包是探测防火墙时发送的TCP[SYN]数据包。另一部分数据包源IP地址为192.168.59.133,目标IP地址为随机的IP地址,源端口为2355,目标端口为随机端口。这些数据包为对应的响应包。这里的响应包为[RST,ACK]包,表示目标主机的防火墙没有开启,并且目标主机没有监听2355端口。
3)目标主机没有开启防火墙时,如果监听了端口(如监听了49213端口),将会得到[SYN,ACK]响应包,如图2所示。其中,一部分数据包的源IP地址为192.168.59.133,目标IP地址为随机的IP地址,源端口为49213,目标端口为随机端口。这些数据包为对应的响应包。这里的响应包为第2次握手包,表示目标主机监听了49213端口。
4)当目标主机上开启了防火墙,再进行探测时,如果目标主机监听了端口,并且在防火墙规则中允许连接到该端口,那么将会收到[SYN,ACK]响应包。如果不允许连接到该端口,那么将不会返回任何响应数据包。例如,防火墙规则中不允许连接49213端口,那么在探测时,将只有TCP[SYN]包,如图3所示。其中,所有的数据包目标IP地址都为192.168.59.133,源IP地址为随机的IP地址,源端口为随机端口,目标端口为49213。这些数据包就是探测时发送的TCP[SYN]包。
5)目标主机的防火墙规则可能限制了特定IP地址的主机进行连接。那么,在进行探测时,其他IP地址的TCP[SYN]包会得到对应的[SYN,ACK]响应包,被限制的IP地址主机将不会收到响应包。捕获到的探测数据包,如图4所示。其中,伪造了大量的IP地址向目标主机发送的TCP[SYN]包。例如,第45个数据包为伪造主机19.182.220.102向目标主机192.168.59.133发送的探测包。第53个数据包为伪造主机223.145.224.217向目标主机192.168.59.133发送的探测包。
6)通过显示过滤器,过滤主机19.182.220.102的数据包,如图5所示。图中第45个数据包为发送的探测包,第283个数据包为对应的响应包[SYN,ACK]。这说明目标主机防火墙规则中没有限制主机19.182.220.102的连接。
7)过滤主机223.145.224.217的数据包,如图6所示。该数据包为进行探测发送的[SYN]包,主机IP地址为223.145.224.217,但是该数据包没有对应的响应包。这说明目标主机防火墙规则中限制了主机223.145.224.217的连接。
8)对目标主机实施洪水攻击,在攻击之前,在目标主机上查看所有端口的相关状态信息,如图7所示。其中,192.168.59.133:49213表示主机192.168.59.133开启了49213端口。状态列中的LISTENING表示该端口处于监听状态。
9)对目标主机进行洪水攻击,执行命令如下:
root@da__ueba:~# netwo__ 76 -i 192.168.59.133 -p 49213
10)再次在目标主机上查看所有端口的相关状态信息,如图8所示。图中显示了大量的地址192.168.59.133:49213,表示有大量的主机连接了主机的49213端口。其中,1.11.56.194:49356表示,主机1.11.56.194的49356端口连接了主机192.168.59.133的49213端口。
科普 l 防火墙的基础知识整理
一、基本特征
1、内外部网络之间的一切网络数据流都必须经过防火墙
2、只有符合安全策略的数据流的数据才能通过防火墙
3、防火墙本身就应该具备非常强的抗攻击和免疫力
4、应用层防火墙应该具备更精细的防护能力
5、数据库防火墙应该具备针对数据库恶意攻击的阻断能力
二、主要优点
1、防火墙具有强化安全策略的能力。
2、防火墙可以有效对Internet上的活动进行记录。
3、防火墙具有限制暴露用户点的能力,可以用来隔开网络中的网段,有效防止其中某一网段的出现问题时影响其他网段。
4、防火墙是一个检查站。所有输入输出的信息都必须通过防火墙的检查,确认安全才能通过,可疑的访问全都会被拒绝于门外。
三、基本功能
1.对进出网络的数据进行过滤
2.管理用户进出访问网络的行为
3.封堵禁止的业务
4.记录所有通过防火墙信息内容和活动
5.对网络攻击行为进行检测和告警
四、防火墙的分类
按照防火墙的实现方式可将防火墙分为下列几种:
1、包过滤防火墙:包过滤防火墙比较简单,但缺乏灵活性。而且包过滤防火墙每个包通过时都需要进行策略检查,一旦策略过多会导致性能的急剧下降。
2、代理型防火墙:安全性高,但开发成本也很高,如果每个应用都开发一个的代理服务的话是很难做到的。所以代理型防火墙需要针对某些业务应用,不适合很丰富的业务。
3、状态检测防火墙:属于高级通信过滤,在状态检测防火墙中,会维护着一个会话表项,通过Session表项就能判断连接是否合法访问,现在主流的防火墙产品多为状态检测防火墙。
论防火墙之基础知识
1.防火墙原理
通过匹配数据包中的源目IP地址及源目端口或者协议,地址转换及隐藏端口等,定义相应策略,从而实现需求及效果。
2.作用
2.1防止外部攻击,保护内网;
2.2在防火墙上做NAT地址转换(源和目的);
2.3基于源地址及目的地址应用协议及端口做策略规则,控制访问关系;
2.4限定用户访问特殊站点
2.5管理访问网络的行为
2.6做监管认证
3.部署位置(以Hillstone SG6000为例)
一般部署在出口位置,如出口路由器等,或者区域出口
4.接入方式
三层接入(需要做NAT转换,常用)
二层透明接入(透明接入不影响网络架构)
混合接入(一般有接口需要配置成透明模式,可以支持此模式)
5.安全域划分
5.1一般正常三个安全域untrust(外网)、trust(内网)、DMZ
5.2服务器网段也可自定义多个,外网接口ip地址:客户提供
5.3内网口ip地址:如果内网有多个网段,建议在中心交换机配置独立的VLAN网段,不要与内网网段相同。
5.4如果客户内网只有一个网段,没有中心交换机,则把防火墙内网口地址设置为客户内网地址段,并作为客户内网网关(使用于中小型网络)
5.5 DMZ口ip地址:建议配置成服务器网段的网关
配置基本思路:
配置安全域(默认三个安全域)
配置接口地址
配置路由
默认路由:其中指定的接口:untrust(外网)接口,如果有多个出口,可以在这选择不同的接口,其中网关为跟FW互联设备接口的地址,比如59.60.12.33是给电信给的出口网关地址。
静态路由:网关地址为下一跳地址,客户内部有多个VLAN,需要配置静态路由,比如客户内部有172.16.2.0/24,172.16.3.0/24等多网段,可以指定一条静态路由。
6.配置策略
Rule id 4
Action permit //动作允许
log session-start
log session-end
src-zone "untrust" //源安全域为untrust
dst-zone "trust" //目的安全域为trust
src-addr "________广场_10.126.242.3"
dst-addr "____系统_144.160.31.139"
service "Any"
description "______广场访问____系统"
e__it
//源地址______广场访问目的地址____系统
6.1配置安全域之间的允许策略
6.2配置trust到untrust的允许所有的策略
6.3配置DMZ到untrust的允许所有的策略
6.4配置trust到DMZ的允许所有的策略
6.5配置untrust到DMZ服务器的允许策略
6.6配置untrust到trust服务器的允许策略
(有时候有需求是从untrust访问trust内部地址的需求,同样要先做目的NAT,然后配置从untrust到trust的允许策略)
7.配置详细策略
一般为了使接口流量能够流入或者流出接口,将接口绑定到某个安全域下。
三层安全域,还需为接口配置ip地址,然后规定策略,多个接口可以绑定到一个安全域下,但是一个接口不能被绑定到多个安全域。
策略查询:
系统会根据数据包的源安全域、目的安全域、源ip地址及端口号和目的ip地址及端口号及协议等,查找策略规则,如果找不到策略,则丢弃数据包,如果找到相应的策略,则根据规则所定义的动作来执行,动作为允许、拒绝、隧道。
7.1配置策略规则
Address address1
Ip address 192.168.10.1 255.255.255.0
Policy from l2-trust2 to l2-untrust2
Rule from ipaddress1 to any service any permit //从地址1来的所有服务都允许通过
7.2安全域
Trust、untrust、DMZ、l2-trust、l2-untrust、l2-DMZ。
接口绑定到域,并且绑定到vswitch,二层和三层域决定了接口工作在二层模式还是三层模式。
创建vswitch2,创建二层安全域trust1,将trust1绑定到vswitch2中,再将eth0/0绑定到trust1中:
配置示例:
Vswitch vswitch2
Zone trust1 l2
Bind vswitch2
Int eth0/0
Zone trust1
配置安全域:
Zone +域名称
L2+指定所创建域为二层域
在全局模式下使用no zone+域名称则删除指定域
绑定二层域到vswitch,默认情况下,每一个二层域都被绑定到vswitch1中
7.3接口模式
物理接口:设备上eth0/0、eth0/1等都属于物理接口
逻辑接口:VLAN接口、环回接口、等属于逻辑接口。
二层接口:属于二层域以及VLAN的接口均属于二层接口
三层接口:属于三层域的接口都属于三层接口,只有三层接口在NAT/路由模式下工作。
8.Juniper?SSG-550M防火墙
使用Get system 查看版本信息等
使用Get interface查看接口状态,系统默认的登录用户名和密码都为netscreen
几个系统默认的安全区及接口:安全域中如无物理接口存在,则无实际意义。
Trust eth1口
Untrust eth4口
DMZ eth3口
接口模式
NAT模式
当流量从端口流入,再流出端口时,源地址会转换为接口的地址,不管策略中转换池有没有指定源地址转换,接口会进行转换,eth1口默认是NAT默认,使用时修改为router模式。
路由模式
(更加灵活,常用)当流量从端口流入,再流出端口时,如果在策略中转换池指定源地址转换了,则流出端口时会进行转换,如策略地址池中无源地址转换策略,则不会进行转换。
Juniper防火墙地址转换方式
MIP静态一对一地址转换
VIP虚拟一对多地址转换
DIP动态多对多地址转换
配置MIP和VIP时转换时有要求,转换后的地址必须是与eth1内网口地址所属同一网段,否则无法使用,而DIP不受此规则限制看,所以比较灵活。
1.QOS流量限制
作用:对流量进行限速,增加链路带宽
实现方式:先对需要限速的报文分类标记,然后进行流量策略匹配,将流策略和流行为进行绑定,然后应用于接口。
2.Ospf 10 area 1 使用OSPF协议
Ospf路由协议,手动配置,路由表自动生成
ospf协议特点:
1.1路由信息传递与路由计算分离
1.2无路由自环收敛速度快
1.3以带宽作为选路条件,更精确
1.4支持无类域间路由
1.5使用ip组播收发协议数据
1.6支持协议报文的认证
OSPF开销:
COST=参考带宽/实际带宽(参考带宽缺省100)
3.起子接口连接各支行
在接口下启用子接口,配置IP地址,连接各支行
4.做NQA检测
主要检测地市分行核心路由器到数据中心出口路由器,主备线路,当检测到主链路出现故障时,切换到备用链路上。
5.使用静态路由
静态路由,手动配置,路由表逐条添加
6.NTP时钟服务
设置NTP时钟服务器,同步各设备时间。
7.SSH远程登录
远程登录设备控制
8.静态NAT网络地址转换
可以针对源地址转换,针对目的地址转换。
防火墙的基础知识科普相关文章:
防火墙的基础知识科普相关文章:
★ 防火墙的详细介绍
防火墙的基础知识科普
上一篇:防火墙的基础知识大全
下一篇:电脑防火墙基础知识
