一、day01
网络安全概述
网络安全背景
网络空间安全--Cyberspace(赛博朋克)
2023年美国提出网络空间大点概念--一个由信息基础设施组成的互相依赖的网络。
我国官方文件定义:网络空间位继海,陆,空,天意外的第五大人类活动领域
通信保密阶段---计算机安全阶段---信息系统安全---网络空间安全
APT攻击---高级持续性魏姐
2017.6《网络安全法》正式生效
2019.5《信息安全技术网络安全等级保护基本要求等三大核心标准发布》
等级保护:
应用层-物理损坏
链路层-MAC攻击
链路层-ARP欺骗
网络层-ICMP攻击
传输层-TCP SYN Flood攻击(Dos纯流量攻击)
介绍防御三种:
1.代理防火墙(风险转移)--每目标IP代理阈值,每目标IP丢包阈值--经验值
2.首包丢包
3.SYN cookie(把状态信息记录在cookie里面)
4.DDos攻击--僵尸网络
5.DNS欺骗
网络中有两种链路资源+算力
MTU(最大传输字节)=1500字节
恶意程序---一般会具有以下多个或全部特性
1.非法性
2.隐蔽性
3.潜伏性
4.可触发性
5.表现性
6.破坏性
7.传染性---蠕虫病毒的典例
8.针对性
9.变异性
10.不可预见性
病毒三大类:
普通病毒---以破坏为目的的病毒
木马病毒---以控制为目的的病毒
蠕虫病毒---具有传播性的病毒-
二、day02
区域
防火墙的主要职责在于控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作
防火墙的分类:
单一主机防火墙:专门有设备作为防火墙
路由集成:核心设备,可流量转发
分布式防火墙:部署多个
吞吐量 --- 防火墙同一时间处理的数据量
防火墙发展历史:
说白了就是ACL
五元组是用来标识一条数据流的(协议类型是网络层)
缺点:
1.很多安全风险集中在应用层,所以仅关注三四层的数据无法做到完全隔离安全风险
2.逐包进行包过滤检测,将导致防火墙的转发效率过低,成为网络中的瓶颈
在ACL列表中,华为体系下,末尾是没有隐含规则的,即就是如果匹配不到ACL列表,则认为ACl列表不存在,之前可以通过,则还可以通过;但是在防火墙的安全策略中,为了保证安全,末尾会隐含一条拒绝所有的规则,即就是只要没有放通的流量,都是不能通过的
1.因为需要防火墙进行先一步安全识别,所以,转发效率会降低(原来的三次握手会变成六次握手)
2.可伸缩性差:每一种应用程序需要代理的话,都需要开发对应的代理功能,如果没有开发,则无法代理
“会话包技术” ---首包检测
入侵检测设备为独立的设备(检测日志的)
IDS---一种侧重于风险管理的安全机制---滞后性
旁路部署为电路思想中的并联部署
旁路:不影响本来的情况
针对主题为流量
针对主体为文件
因为众多的专用设备导致企业在部署安全防护时,需要同时部署大量的设备进行防护,则设备维护成本大大提高,所有设备都需要对流量进行检测,所以,效率很低
在UTM中,各功能模块是串联工作的,所以检测效率并没有得到提升,但是因为集成在一台设备中,所以维护成本得到了降低
改进点核心:相较于之前UTM中各模块的串联部署变为了并联部署,仅需要一次检测,所有功能板块都可以做出相应的处理,大大提高了工作效率
多点部署:范围问题,性能问题
防火墙的其他功能
网络环境支持:三层交换机特点---像路由器也像交换机
二层口:只能解封装二层不能配ip
三层口:能配ip
防火墙的控制
带内管理---通过网络环境对设备进行控制---telnet,ssh,web---登录设备和被登录设备需要联通
带外管理---console线连接,mini usb线(备用)
华为防火墙的MGMT接口也就是G0/0/0接口默认出厂时,默认配置有ip地址192.168.0.1/24,并且该接口默认开启了DHCP和Web登录的功能,方便进行web管理
防火墙管理员
用户权限等级
本地认证 --- 用户信息存储在防火墙上,登录时防火墙根据输入的用户名和密码进行判断,如果通过认证,则成功登录
服务器认证 --- 和第三方的认证服务器对接,登录时,防火墙将登录信息发送给第三方服务器之后由第三方服务器来进行验证,通过则反馈给防火墙,防火墙放行。
一般适用于企业本身使用第三方服务器来存储用户信息,则用户信息不需要重复创建。
服务器/本地认证---优先使用服务器认证,如果服务器认证失败,则也不进行本地认证。只有在服务器对接不上的时候,才用本地认证
信任主机:添加一个ip或一个网段,则其含义是只有在该地址或者地址段内可以登录管理设备---最多可以添加10个信任主机
防火墙的组网
物理接口
二层口---不能配IP
普通的二层口
接口对---”透明网线“(深信服)---可以将两个接口绑定成为接口对,如果流量从一个接口进入,则必定从另一个接口出去,不需要查看MAC地址表。---其实一个接口也可以做接口对,从该接口进再从该接口出
旁路检测接口---主要用于防火墙的旁路部署,用于接收防火墙的镜像流量
三层口---可以配IP
虚拟接口
环回接口
子接口
链路聚合
telnet接口
VLAN接口
Bypass --- 4个千兆口其实是两队bypass口(容错机制,内部直通)---如果设备故障,则两个接口直通,保证流量不中断
虚拟系统 --- VRF技术,相当于逻辑上将一台设备分割为多太设备,平行工作,互不影响。需要通过接口区分虚拟系统的范围
管理口和其余物理接口默认不在同一个虚拟接口中
高于安全策略
接口队默认为truck
不同的虚拟空间之间通信使用的虚拟接口,只需要配置IP地址即可,新创建一个虚拟系统会自动生成一个虚拟的接口
安全区域
Trust --- 一般企业内网会被规划在Trust区域中
Untrust --- 一般公网区域被规划在untrust区域中
我们将一个接口规划到某一个区域,则代表该接口所连接的所有网络都被规划到该区域
Local---指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的,凡是需要设备响应并处理的报文,均可以认为是有Local区接收。我们无法修改Local区的配置,并且我们无法将接口划入该区域。接口本身属于该区域。
Dmz---非军事化管理区域--这个区域主要是为内网的服务器所设定的区域。这些服务器本身在内网,但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以,这个区域就代表的是严格管理和松散管理之间的部分管理区域
优先级--- 1-100 --- 取值是越大越优 ---流量从优先级高的区域到优先级低的区域 --- 出方向(outbound)
流量从优先级低的区域到优先级高的区域 --- 入方向 (inbound)
路由模式---
1,接口,区域配置完成
2,内网配置回包路由
3,是否需要配置服务器映射
4,配置内网访问外网的NAT
5、针对内外网的安全策略
透明模式---
旁路模式---
混合模式---
子接口
三、day03
Windows上看路由route print(可以百度写一个静态)
搭建eve环境
路由模式--防火墙接口充当三层口
透明模式--接口对使用场景--二层部署
旁路模式--安全监测
底下的管理口是用来登录,因为纯二层无法登录
混合模式
tcp控制(上网行为管理):http协议,host字段,ua字段,抓到请求报文,然后根据策略进行拦截
冒充假装优酷服务器,发给客户机,tcp vst包的回包,tcp连接断掉
混合模式:灵活搭配都属于混合
安全策略
传统的包过滤其本质为acl列表,根据数据包中的特征进行过滤,之后对比规则,执行动作。
数据包中的特征:五元组:源ip,目标ip,源端口,目标端口,协议
上网行为管理三要素:用户,行为,流量
新时代网络,颗粒度越细越好
安全策略相较于ACL的改进之处在于,首先,可以在更细的颗粒度下匹配流量,另一方面可以完成内容安全的检测
安全策略--1,访问控制(允许和拒绝)
2,内容检测---如果允许通过,则可以进行内容检测
实际操作:
需求:DMZ区存在两台服务器,现在要求生产区的设备仅能在办公时间(9:00-18:00)访问
但是办公区全天可以访问
1.规划ip
2.配ip地址
3.路由
4.策略
以上部分均为流量匹配的条件
每一项之间的关系为与关系,如果不进行选择,则默认为any;
多选的里面,每一项之间的关系为“或”
四、day04
五、day05
六、day06
回顾:nat
配置路由黑洞:配置黑洞路由可以防止环路的产生
配置黑洞路由:地址池和我们出接口的ip不在一个网段,必须有一条指向地址池的静态,如果勾选配置黑洞路由会有一条指向空接口的ip,又能防环,又能让流量转换,一句两得
源进源出路由控制(防止nat server多出口的情况)两个AS区域可能绕一大圈:
正式开始:多出口智能选路
防火墙的智能选路:
1.就近选路 --- 我们希望在访问不同运营商的服务器时,通过对应运营商的链路,这样可以提高通讯效率,避免绕路
如何实现效果:至少知道服务器属于电信还是属于移动
如何判断:不管怎么,都是属于公网网段,可以通过看ip即可
不同运营商的公网网段如何判断呢,可以通过导入运营商地址库
2.策略路由-PBR
传统的路由,仅基于数据包中的目标ip地址查找路由表。仅关心其目标,所以,在面对一些特殊的需求时,传统路由存在短板,缺乏灵活性,适用场景比较单一
策略路由本身也是一种策略,策略主要先匹配流量,再执行动作。策略路由可以从多维度去匹配流量,之后执行的动作就是定义其转发出接口和下一跳。策略路由末尾隐含一条不做策略的规则,即所有没匹配上策略路由的流量,都将匹配传统路由表进行转发
如果存在多条策略路由,则匹配规则也是自上而下逐一匹配,如果匹配上了,则按照对应动作执行,不再向下匹配
DSCP优先级---相当于在数据包中设定其转发的优先级(利用的是IP头部中tos字段),之后下游设备会根据优先级来差异化保存流量的通过
动作:
转发 --- 可以定义其转发的方式
转发其他虚拟系统 --- VRF
不做策略路由
监控下一跳能不能通,链路故障,没开启,报文将直接被FW丢弃,为了提高可靠性,我们可以配置针对下一跳的监控,即使下一跳不可达,也可以继续查找本地路由表,而不是直接丢弃开启后检测可达性
3.智能选路 --- 全局路由策略
基于链路带宽的负载分担
当过载保护后,退出负载分担
基于链路带宽的负载分担会按照多条链路带宽比例来分配流量,并且,如果配置的过载保护阈值,则一条链路达到过载保护阈值之后,除了已经创建会话表的流量依然可以从该接口通过外,该接口将不再参与智能选路,需要新建会话表的流量将从其余链路中按照比例转发
会话保持 --- 开启该功能后,流量首次通过智能选路的接口后,会创建会话表,后续命中会话表的流量都将通过同一个接口来进行转发,选择源IP和目的IP的效果时,所有相同源IP或者目标IP流量将通过同一个接口转发。---应对与不希望链路频繁切换的场景
效果图:
在链路接口中可以配置就近选路
过载保护阈值:
基于链路质量进行负载分担
丢包率---FW会发送若干个探测报文(默认发5个),将统计丢包的个数。丢包率就等于回应报文个数除以探测报文个数。丢包率是最重要的评判依据
时延---应答报文接收时间减去探测报文发送时间。防火墙会发送若干个探测报文,取平均时延作为结果进行评判
延时抖动---两次时延差值的绝对值,FW会发送若干个探测报文,取两两延时抖动最后的平均值
首次探测后会将结果记录在链路质量探测表中,之后将按照表中的接口来进行选路。表中的老化时间结束后,将重新探测
基于链路权重进行负载分担
权重是由网络管理员针对每一条链路进行手工分配的,分配之后,将按照权重比例分配流量
基于链路优先级的主备备份
优先级也是由网络管理员针对每一条链路手工分配的。
执行逻辑:
1.接口没有配置了过载保护:
优先使用优先级最高的链路转发流量,其他链路不工作。直到优先级最高的链路故障,则优先级次高的链路开始转发流量。其余链路依旧不工作
2.接口配置了过载保护:
优先使用优先级最高的链路转发流量,其他链路不工作,如果最高的链路达到或超过保护阈值,则优先级次高的链路开始工作。
4.DNS透明代理
DNS透明代理的前提是开启就近选路
防火墙的可靠性
防火墙和路由器在进行可靠性备份时,路由器备份可能仅需要同步路由表中的信息就可以了,但是,防火墙是基于状态检查的,所以还需要同步记录状态的会话表等。所以,防火墙需要使用到双机热备技术。
双机 --- 目前防火墙的双机热备技术仅支持两台设备
热备 --- 两台设备同时运行,在一台设备出现故障的情况下,另一台设备可以立即代替原设备
VRRP技术
虚拟路由器冗余协议---“实的不行来虚的”
Initialize---在VRRP中,如果一个接口出现故障的时候,接口会进入初始化状态
VGMP --- VRRP Group Management Protocol
华为私有协议---这个协议就是将一台设备上的多个VRRP组看成一个组,之后统一进行管理----切换的协议。一次来保证VRRP组状态的一致性
接口故障切换场景:
在防火墙的双机热备中,我们不论是VRRP组还是VGMP组,主备的叫法发生了变化,主统一被称为Active,备被称为standby
1.假设主设备的下联口发生故障,则这个接口的vrrp状态将由原来的Active状态切换为initialize状态。(这种情况下,按照VRRP自己的机制,主设备将无法发送周期保活报文,备设备在超过时间后将切换为主的状态。但是,因为这里启用VGMP在,则VRRP切换状态将由VGRP接管,VRRP的机制名存实亡)
2.VGMP组发现VRRP组出现变化,将降低自身的优先级(说明,在VGRP组中,也存在优先级的概念。一开始,每台谁被中都会存在两个VGMP组,一个叫Active组,另一个叫做Standby组。Active组初始的默认优先级为65001,Standby组初始的默认优先级为65000(不同版本的防火墙,优先级的定义不同)一开始,我们FW1将两个VRRP组都拉入VGMP_ACTIVE组中,因为ACTIVE组的状态为active,所以,里面两个vrrp组的状态也是active(VGMP组的状态决定了VRRP组的状态),FW2同理,当一个VRRP组的状态变为initialize,则VGMP组的优先级-2)之后,原主设备会发送一个VGMP请求报文给对端,里面包含了自己当前变化后的优先级。
3.当原备设备接收到请求报文后,看到里面的优先级是64999,而低于自身的65000,则会将自己的VGMP_STANDBY组的状态有原来的standby切换为active。同时,发送一个同意请求报文给原主设备。
4.原主设备接收到对方的应答报文之后,将会把自身VGMP_ACTIVE组的状态由原来的ACTIVE切换为STANDBY
5.在原备设备发送应答报文的同时,因为其VGMP组的状态切换,所以,其内部的VRRP组状态也将由原来的standby转换为active。原主设备在接受到对方的应答报文之后,因为将其VGMP组状态切换,所以,同时将其内部的VGRP组状态由原来的active状态切换为standby状态(注意,故障接口依旧保持init的状态。)
6.原备设备会通过接口向上下联链路发送免费ARP报文,切换交换机的MAC地址表,流量将被切换到原备设备上
HRP协议---Huawei Redundancy Protocol --- 华为冗余协议
这是一款华为的私有协议---备份我们的配置信息和状态信息。
HRP备份有一个前提,就是两台设备之间必须专门连一根用于备份的线路,这跟线路我们称为心跳线(广义上,任何两台设备之间的链路都可以叫做心跳线)
心跳线的接口必须是一个三层接口,需要配置对应的IP地址。这条备份数据的链路不受路由策略限制(直连场景。非直连场景依然需要配置安全策略。)
HRP协议本身算是VGMP协议的一部分
HRP的心跳线中也会传递心跳报文,用于检测对端是否处于工作状态,这个周期时间默认为1s,逻辑和vrrp一样,只有主设备会周期发送,备设备仅监听即可,如果在三个周期内,都没用收到HRP的心跳报文,则将认定原主设备故障,则将进行失效判断,认定自身为主。
VGRP的报文也是通过这条心跳线发送的。
配置信息 --- 策略,对象,网络里面的一些配置都属于配置信息。(接口ip地址,路由之类的不同步,因为这些是要在双机组建之前配置的)
状态信息 --- 会话表,server-map,黑名单,白名单。。。
第一种备份方式---自动备份
默认开启自动备份,可以实时备份配置信息。但是自动备份不能立即同步状态信息。一般是在主设备上状态生成后一段时间(10s左右)同步到备设备上。
Hrp standby config enable --- 这个命令可以让备设备上的配置同步到主设备上
第二种备份方式---手工备份
由管理员手工触发,可以立即同步配置信息以及状态信息
第三种备份方式---快速备份
该模式仅适用在负载分担的工作模式下。
因为负载分担的场景下,两台设备都需要处于工作状态,为了避免因为状态信息同步不及时,导致业务流量中断,所以,该场景下,默认开启快速备份。
快速备份可以实时同步状态信息。但是,该方式不同步配置信息
补充:各场景过程分析
1.主备形成背景
2.主备模式下,接口故障切换场景
3.主备场景,主设备故障切换---主故障之后,将无法周期发送HRP心跳报文,则备谁被监听超时,进行设备状态的切换。
4.主备场景,主设备接口故障恢复切换
没有开启抢占---没有抢占则原主设备保持备份状态。
开启抢占:
5.负载分担
6.负载分担接口故障场景
