六月丁香五月婷婷,丁香五月婷婷网,欧美激情网站,日本护士xxxx,禁止18岁天天操夜夜操,18岁禁止1000免费,国产福利无码一区色费

學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>防火墻知識>

防火墻的基礎(chǔ)知識科普

時間: 懷健0 分享

防火墻主要由四個部分組成:服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)。所有計算機(jī)的一切輸入輸出的網(wǎng)絡(luò)通信和數(shù)據(jù)包都要經(jīng)過防火墻。下面就讓小編帶你去看看防火墻的基礎(chǔ)知識科普,希望能幫助到大家!

網(wǎng)絡(luò)基礎(chǔ)知識:TCP協(xié)議之探測防火墻

為了安全,主機(jī)通常會安裝防火墻。防火墻設(shè)置的規(guī)則可以限制其他主機(jī)連接。例如,在防火墻規(guī)則中可以設(shè)置IP地址,允許或阻止該IP地址主機(jī)對本機(jī)的連接;還可以設(shè)置監(jiān)聽端口,允許或阻止其他主機(jī)連接到本地監(jiān)聽的端口。

為了清楚地了解目標(biāo)主機(jī)上是否安裝防火墻,以及設(shè)置了哪些限制,netwo__工具提供了編號為76的模塊來實現(xiàn)。它通過發(fā)送大量的TCP[SYN]包,對目標(biāo)主機(jī)進(jìn)行防火墻探測,并指定端口通過得到的響應(yīng)包進(jìn)行判斷。

如果目標(biāo)主機(jī)的防火墻處于關(guān)閉狀態(tài),并且指定的端口沒有被監(jiān)聽,將返回[RST,ACK]包。

如果目標(biāo)主機(jī)上啟用了防火墻,在規(guī)則中設(shè)置了端口,阻止其他主機(jī)連接該端口,那么在探測時將不會返回響應(yīng)信息。如果設(shè)置為允許其他主機(jī)連接該端口,將返回[SYN,ACK]包。

如果在規(guī)則中設(shè)置了IP地址,并允許該IP地址的主機(jī)進(jìn)行連接,探測時返回[SYN,ACK]包;當(dāng)阻止該IP地址的主機(jī)進(jìn)行連接,探測時將不會返回數(shù)據(jù)包。

由于它可以發(fā)送大量的TCP[SYN]包,用戶還可以利用該模塊實施洪水攻擊,耗盡目標(biāo)主機(jī)資源。

在主機(jī)192.168.59.131上對目標(biāo)主機(jī)192.168.59.133進(jìn)行防火墻探測。

1)向目標(biāo)主機(jī)端口2355發(fā)送TCP[SYN]包,探測是否有防火墻。執(zhí)行命令如下:

root@da__ueba:~# netwo__ 76 -i 192.168.59.133 -p 2355

執(zhí)行命令后沒有任何輸出信息,但是會不斷地向目標(biāo)主機(jī)發(fā)送TCP[SYN]包。

2)為了驗證發(fā)送探測包情況,可以通過Wireshark抓包進(jìn)行查看,如圖1所示。其中,一部分?jǐn)?shù)據(jù)包目標(biāo)IP地址都為192.168.59.133,源IP地址為隨機(jī)的IP地址,源端口為隨機(jī)端口,目標(biāo)端口為2355。這些數(shù)據(jù)包是探測防火墻時發(fā)送的TCP[SYN]數(shù)據(jù)包。另一部分?jǐn)?shù)據(jù)包源IP地址為192.168.59.133,目標(biāo)IP地址為隨機(jī)的IP地址,源端口為2355,目標(biāo)端口為隨機(jī)端口。這些數(shù)據(jù)包為對應(yīng)的響應(yīng)包。這里的響應(yīng)包為[RST,ACK]包,表示目標(biāo)主機(jī)的防火墻沒有開啟,并且目標(biāo)主機(jī)沒有監(jiān)聽2355端口。

3)目標(biāo)主機(jī)沒有開啟防火墻時,如果監(jiān)聽了端口(如監(jiān)聽了49213端口),將會得到[SYN,ACK]響應(yīng)包,如圖2所示。其中,一部分?jǐn)?shù)據(jù)包的源IP地址為192.168.59.133,目標(biāo)IP地址為隨機(jī)的IP地址,源端口為49213,目標(biāo)端口為隨機(jī)端口。這些數(shù)據(jù)包為對應(yīng)的響應(yīng)包。這里的響應(yīng)包為第2次握手包,表示目標(biāo)主機(jī)監(jiān)聽了49213端口。

4)當(dāng)目標(biāo)主機(jī)上開啟了防火墻,再進(jìn)行探測時,如果目標(biāo)主機(jī)監(jiān)聽了端口,并且在防火墻規(guī)則中允許連接到該端口,那么將會收到[SYN,ACK]響應(yīng)包。如果不允許連接到該端口,那么將不會返回任何響應(yīng)數(shù)據(jù)包。例如,防火墻規(guī)則中不允許連接49213端口,那么在探測時,將只有TCP[SYN]包,如圖3所示。其中,所有的數(shù)據(jù)包目標(biāo)IP地址都為192.168.59.133,源IP地址為隨機(jī)的IP地址,源端口為隨機(jī)端口,目標(biāo)端口為49213。這些數(shù)據(jù)包就是探測時發(fā)送的TCP[SYN]包。

5)目標(biāo)主機(jī)的防火墻規(guī)則可能限制了特定IP地址的主機(jī)進(jìn)行連接。那么,在進(jìn)行探測時,其他IP地址的TCP[SYN]包會得到對應(yīng)的[SYN,ACK]響應(yīng)包,被限制的IP地址主機(jī)將不會收到響應(yīng)包。捕獲到的探測數(shù)據(jù)包,如圖4所示。其中,偽造了大量的IP地址向目標(biāo)主機(jī)發(fā)送的TCP[SYN]包。例如,第45個數(shù)據(jù)包為偽造主機(jī)19.182.220.102向目標(biāo)主機(jī)192.168.59.133發(fā)送的探測包。第53個數(shù)據(jù)包為偽造主機(jī)223.145.224.217向目標(biāo)主機(jī)192.168.59.133發(fā)送的探測包。

6)通過顯示過濾器,過濾主機(jī)19.182.220.102的數(shù)據(jù)包,如圖5所示。圖中第45個數(shù)據(jù)包為發(fā)送的探測包,第283個數(shù)據(jù)包為對應(yīng)的響應(yīng)包[SYN,ACK]。這說明目標(biāo)主機(jī)防火墻規(guī)則中沒有限制主機(jī)19.182.220.102的連接。

7)過濾主機(jī)223.145.224.217的數(shù)據(jù)包,如圖6所示。該數(shù)據(jù)包為進(jìn)行探測發(fā)送的[SYN]包,主機(jī)IP地址為223.145.224.217,但是該數(shù)據(jù)包沒有對應(yīng)的響應(yīng)包。這說明目標(biāo)主機(jī)防火墻規(guī)則中限制了主機(jī)223.145.224.217的連接。

8)對目標(biāo)主機(jī)實施洪水攻擊,在攻擊之前,在目標(biāo)主機(jī)上查看所有端口的相關(guān)狀態(tài)信息,如圖7所示。其中,192.168.59.133:49213表示主機(jī)192.168.59.133開啟了49213端口。狀態(tài)列中的LISTENING表示該端口處于監(jiān)聽狀態(tài)。

9)對目標(biāo)主機(jī)進(jìn)行洪水攻擊,執(zhí)行命令如下:

root@da__ueba:~# netwo__ 76 -i 192.168.59.133 -p 49213

10)再次在目標(biāo)主機(jī)上查看所有端口的相關(guān)狀態(tài)信息,如圖8所示。圖中顯示了大量的地址192.168.59.133:49213,表示有大量的主機(jī)連接了主機(jī)的49213端口。其中,1.11.56.194:49356表示,主機(jī)1.11.56.194的49356端口連接了主機(jī)192.168.59.133的49213端口。

科普 l 防火墻的基礎(chǔ)知識整理

一、基本特征

1、內(nèi)外部網(wǎng)絡(luò)之間的一切網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻

2、只有符合安全策略的數(shù)據(jù)流的數(shù)據(jù)才能通過防火墻

3、防火墻本身就應(yīng)該具備非常強(qiáng)的抗攻擊和免疫力

4、應(yīng)用層防火墻應(yīng)該具備更精細(xì)的防護(hù)能力

5、數(shù)據(jù)庫防火墻應(yīng)該具備針對數(shù)據(jù)庫惡意攻擊的阻斷能力

二、主要優(yōu)點

1、防火墻具有強(qiáng)化安全策略的能力。

2、防火墻可以有效對Internet上的活動進(jìn)行記錄。

3、防火墻具有限制暴露用戶點的能力,可以用來隔開網(wǎng)絡(luò)中的網(wǎng)段,有效防止其中某一網(wǎng)段的出現(xiàn)問題時影響其他網(wǎng)段。

4、防火墻是一個檢查站。所有輸入輸出的信息都必須通過防火墻的檢查,確認(rèn)安全才能通過,可疑的訪問全都會被拒絕于門外。

三、基本功能

1.對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行過濾

2.管理用戶進(jìn)出訪問網(wǎng)絡(luò)的行為

3.封堵禁止的業(yè)務(wù)

4.記錄所有通過防火墻信息內(nèi)容和活動

5.對網(wǎng)絡(luò)攻擊行為進(jìn)行檢測和告警

四、防火墻的分類

按照防火墻的實現(xiàn)方式可將防火墻分為下列幾種:

1、包過濾防火墻:包過濾防火墻比較簡單,但缺乏靈活性。而且包過濾防火墻每個包通過時都需要進(jìn)行策略檢查,一旦策略過多會導(dǎo)致性能的急劇下降。

2、代理型防火墻:安全性高,但開發(fā)成本也很高,如果每個應(yīng)用都開發(fā)一個的代理服務(wù)的話是很難做到的。所以代理型防火墻需要針對某些業(yè)務(wù)應(yīng)用,不適合很豐富的業(yè)務(wù)。

3、狀態(tài)檢測防火墻:屬于高級通信過濾,在狀態(tài)檢測防火墻中,會維護(hù)著一個會話表項,通過Session表項就能判斷連接是否合法訪問,現(xiàn)在主流的防火墻產(chǎn)品多為狀態(tài)檢測防火墻。

論防火墻之基礎(chǔ)知識

1.防火墻原理

通過匹配數(shù)據(jù)包中的源目IP地址及源目端口或者協(xié)議,地址轉(zhuǎn)換及隱藏端口等,定義相應(yīng)策略,從而實現(xiàn)需求及效果。

2.作用

2.1防止外部攻擊,保護(hù)內(nèi)網(wǎng);

2.2在防火墻上做NAT地址轉(zhuǎn)換(源和目的);

2.3基于源地址及目的地址應(yīng)用協(xié)議及端口做策略規(guī)則,控制訪問關(guān)系;

2.4限定用戶訪問特殊站點

2.5管理訪問網(wǎng)絡(luò)的行為

2.6做監(jiān)管認(rèn)證

3.部署位置(以Hillstone SG6000為例)

一般部署在出口位置,如出口路由器等,或者區(qū)域出口

4.接入方式

三層接入(需要做NAT轉(zhuǎn)換,常用)

二層透明接入(透明接入不影響網(wǎng)絡(luò)架構(gòu))

混合接入(一般有接口需要配置成透明模式,可以支持此模式)

5.安全域劃分

5.1一般正常三個安全域untrust(外網(wǎng))、trust(內(nèi)網(wǎng))、DMZ

5.2服務(wù)器網(wǎng)段也可自定義多個,外網(wǎng)接口ip地址:客戶提供

5.3內(nèi)網(wǎng)口ip地址:如果內(nèi)網(wǎng)有多個網(wǎng)段,建議在中心交換機(jī)配置獨立的VLAN網(wǎng)段,不要與內(nèi)網(wǎng)網(wǎng)段相同。

5.4如果客戶內(nèi)網(wǎng)只有一個網(wǎng)段,沒有中心交換機(jī),則把防火墻內(nèi)網(wǎng)口地址設(shè)置為客戶內(nèi)網(wǎng)地址段,并作為客戶內(nèi)網(wǎng)網(wǎng)關(guān)(使用于中小型網(wǎng)絡(luò))

5.5 DMZ口ip地址:建議配置成服務(wù)器網(wǎng)段的網(wǎng)關(guān)

配置基本思路:

配置安全域(默認(rèn)三個安全域)

配置接口地址

配置路由

默認(rèn)路由:其中指定的接口:untrust(外網(wǎng))接口,如果有多個出口,可以在這選擇不同的接口,其中網(wǎng)關(guān)為跟FW互聯(lián)設(shè)備接口的地址,比如59.60.12.33是給電信給的出口網(wǎng)關(guān)地址。

靜態(tài)路由:網(wǎng)關(guān)地址為下一跳地址,客戶內(nèi)部有多個VLAN,需要配置靜態(tài)路由,比如客戶內(nèi)部有172.16.2.0/24,172.16.3.0/24等多網(wǎng)段,可以指定一條靜態(tài)路由。

6.配置策略

Rule id 4

Action permit //動作允許

log session-start

log session-end

src-zone "untrust" //源安全域為untrust

dst-zone "trust" //目的安全域為trust

src-addr "________廣場_10.126.242.3"

dst-addr "____系統(tǒng)_144.160.31.139"

service "Any"

description "______廣場訪問____系統(tǒng)"

e__it

//源地址______廣場訪問目的地址____系統(tǒng)

6.1配置安全域之間的允許策略

6.2配置trust到untrust的允許所有的策略

6.3配置DMZ到untrust的允許所有的策略

6.4配置trust到DMZ的允許所有的策略

6.5配置untrust到DMZ服務(wù)器的允許策略

6.6配置untrust到trust服務(wù)器的允許策略

(有時候有需求是從untrust訪問trust內(nèi)部地址的需求,同樣要先做目的NAT,然后配置從untrust到trust的允許策略)

7.配置詳細(xì)策略

一般為了使接口流量能夠流入或者流出接口,將接口綁定到某個安全域下。

三層安全域,還需為接口配置ip地址,然后規(guī)定策略,多個接口可以綁定到一個安全域下,但是一個接口不能被綁定到多個安全域。

策略查詢:

系統(tǒng)會根據(jù)數(shù)據(jù)包的源安全域、目的安全域、源ip地址及端口號和目的ip地址及端口號及協(xié)議等,查找策略規(guī)則,如果找不到策略,則丟棄數(shù)據(jù)包,如果找到相應(yīng)的策略,則根據(jù)規(guī)則所定義的動作來執(zhí)行,動作為允許、拒絕、隧道。

7.1配置策略規(guī)則

Address address1

Ip address 192.168.10.1 255.255.255.0

Policy from l2-trust2 to l2-untrust2

Rule from ipaddress1 to any service any permit //從地址1來的所有服務(wù)都允許通過

7.2安全域

Trust、untrust、DMZ、l2-trust、l2-untrust、l2-DMZ。

接口綁定到域,并且綁定到vswitch,二層和三層域決定了接口工作在二層模式還是三層模式。

創(chuàng)建vswitch2,創(chuàng)建二層安全域trust1,將trust1綁定到vswitch2中,再將eth0/0綁定到trust1中:

配置示例:

Vswitch vswitch2

Zone trust1 l2

Bind vswitch2

Int eth0/0

Zone trust1

配置安全域:

Zone +域名稱

L2+指定所創(chuàng)建域為二層域

在全局模式下使用no zone+域名稱則刪除指定域

綁定二層域到vswitch,默認(rèn)情況下,每一個二層域都被綁定到vswitch1中

7.3接口模式

物理接口:設(shè)備上eth0/0、eth0/1等都屬于物理接口

邏輯接口:VLAN接口、環(huán)回接口、等屬于邏輯接口。

二層接口:屬于二層域以及VLAN的接口均屬于二層接口

三層接口:屬于三層域的接口都屬于三層接口,只有三層接口在NAT/路由模式下工作。

8.Juniper?SSG-550M防火墻

使用Get system 查看版本信息等

使用Get interface查看接口狀態(tài),系統(tǒng)默認(rèn)的登錄用戶名和密碼都為netscreen

幾個系統(tǒng)默認(rèn)的安全區(qū)及接口:安全域中如無物理接口存在,則無實際意義。

Trust eth1口

Untrust eth4口

DMZ eth3口

接口模式

NAT模式

當(dāng)流量從端口流入,再流出端口時,源地址會轉(zhuǎn)換為接口的地址,不管策略中轉(zhuǎn)換池有沒有指定源地址轉(zhuǎn)換,接口會進(jìn)行轉(zhuǎn)換,eth1口默認(rèn)是NAT默認(rèn),使用時修改為router模式。

路由模式

(更加靈活,常用)當(dāng)流量從端口流入,再流出端口時,如果在策略中轉(zhuǎn)換池指定源地址轉(zhuǎn)換了,則流出端口時會進(jìn)行轉(zhuǎn)換,如策略地址池中無源地址轉(zhuǎn)換策略,則不會進(jìn)行轉(zhuǎn)換。

Juniper防火墻地址轉(zhuǎn)換方式

MIP靜態(tài)一對一地址轉(zhuǎn)換

VIP虛擬一對多地址轉(zhuǎn)換

DIP動態(tài)多對多地址轉(zhuǎn)換

配置MIP和VIP時轉(zhuǎn)換時有要求,轉(zhuǎn)換后的地址必須是與eth1內(nèi)網(wǎng)口地址所屬同一網(wǎng)段,否則無法使用,而DIP不受此規(guī)則限制看,所以比較靈活。

1.QOS流量限制

作用:對流量進(jìn)行限速,增加鏈路帶寬

實現(xiàn)方式:先對需要限速的報文分類標(biāo)記,然后進(jìn)行流量策略匹配,將流策略和流行為進(jìn)行綁定,然后應(yīng)用于接口。

2.Ospf 10 area 1 使用OSPF協(xié)議

Ospf路由協(xié)議,手動配置,路由表自動生成

ospf協(xié)議特點:

1.1路由信息傳遞與路由計算分離

1.2無路由自環(huán)收斂速度快

1.3以帶寬作為選路條件,更精確

1.4支持無類域間路由

1.5使用ip組播收發(fā)協(xié)議數(shù)據(jù)

1.6支持協(xié)議報文的認(rèn)證

OSPF開銷:

COST=參考帶寬/實際帶寬(參考帶寬缺省100)

3.起子接口連接各支行

在接口下啟用子接口,配置IP地址,連接各支行

4.做NQA檢測

主要檢測地市分行核心路由器到數(shù)據(jù)中心出口路由器,主備線路,當(dāng)檢測到主鏈路出現(xiàn)故障時,切換到備用鏈路上。

5.使用靜態(tài)路由

靜態(tài)路由,手動配置,路由表逐條添加

6.NTP時鐘服務(wù)

設(shè)置NTP時鐘服務(wù)器,同步各設(shè)備時間。

7.SSH遠(yuǎn)程登錄

遠(yuǎn)程登錄設(shè)備控制

8.靜態(tài)NAT網(wǎng)絡(luò)地址轉(zhuǎn)換

可以針對源地址轉(zhuǎn)換,針對目的地址轉(zhuǎn)換。

防火墻的基礎(chǔ)知識科普相關(guān)文章

防火墻的基礎(chǔ)知識科普相關(guān)文章:

防火墻的基礎(chǔ)知識大全有哪些

防火墻的詳細(xì)介紹

【電腦知識】:防火墻的工作技術(shù)分類與基礎(chǔ)原理是什么?

【電腦知識】:防火墻的三種工作模式是什么?

系統(tǒng)安全基礎(chǔ)知識大全有哪些

網(wǎng)絡(luò)基礎(chǔ)知識匯總學(xué)習(xí)

【電腦知識】:防火墻性能的幾個重要參數(shù)指標(biāo)是什么?

【網(wǎng)絡(luò)安全】:網(wǎng)絡(luò)安全基礎(chǔ)知識點匯總

認(rèn)識網(wǎng)絡(luò)的基礎(chǔ)知識教程

什么是網(wǎng)絡(luò)的基礎(chǔ)知識

防火墻的基礎(chǔ)知識科普

防火墻主要由四個部分組成:服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)。所有計算機(jī)的一切輸入輸出的網(wǎng)絡(luò)通信和數(shù)據(jù)包都要經(jīng)過防火墻。下面就讓小編帶你去看看防火墻的基礎(chǔ)知識科普,希望能幫助到大家!網(wǎng)絡(luò)基礎(chǔ)知識:TCP協(xié)議之探測防火墻為了安全,主機(jī)通常會安裝防火墻。防火墻設(shè)置的規(guī)則可以限制其他主機(jī)連接。例如,在防火墻規(guī)則中可以設(shè)置IP地址,允許或阻止該IP地址主機(jī)對本機(jī)的連接;還可以設(shè)置監(jiān)聽端口,允許或阻止其他主機(jī)連接到本地監(jiān)聽的端口。為了清楚地了解目標(biāo)主機(jī)上是否安裝防火墻,以及設(shè)置了哪些限制,netwo
推薦度:
點擊下載文檔文檔為doc格式

精選文章

  • 防火墻的基礎(chǔ)知識大全
    防火墻的基礎(chǔ)知識大全

    什么是防火墻? 防火墻是使用一段"代碼墻"把你的電腦和internet分隔開。它檢查到達(dá)防火墻兩端的所有數(shù)據(jù)包,無論是進(jìn)入還是發(fā)出,從而決定該攔

737571