安全防御第二天--课堂问题总结
目录
1、 防火墙如何处理双通道协议?
2.、防火墙如何处理nat?
3、 防火墙支持那些NAT技术,主要应用场景是什么?
4、当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?
5、防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?
6、 防火墙支持哪些接口模式,一般使用在那些场景?
7、 什么是IDS?
8、 IDS和防火墙有什么不同?
概念不同:
保护内容不同:
部署位置不同:
9、 IDS的主要检测方法有哪些详细说明?
主机入侵检测系统(HIDS)
网络入侵检测系统(NIDS)
响应方式
10、 IDS的部署方式有哪些?
11、IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
提示:上一周我们刚刚学习了防火墙的基础知识对防火墙有了一定的了解并且学会了一些基础的安全策略配置,今天我们继续深入学习有关防火墙防御的更深一层知识。
1、 防火墙如何处理双通道协议?
提示:基于以上这个问题我们先来了解一下什么叫做多通道协议,什么叫做多通道协议。
(1)单通道协议:通信过程中只需占用一个端口的协议。如:WWW只需占用80端口。
由图可知我们知道FTP有两个进程一个控制进程,一个数据传输进程。
- 控制进程:登录、查看等
- 数据传输进程:文件传输下载
因此我们知道了两个不同的进程必然就会存在两个协议号,这里我们知道控制进程是使用TCP协议建立连接的,用的是21端口。下面重点来了,那数据传输进程是使用的多少端口号呢。我们利用数据抓包来一探究竟。首先搭建一个实验拓扑图如下;
client端配置:
客户端IP为:10.1.1.2/24
server端配置:
server端IP为:10.1.1.1/24
我们由数据抓包可知道在server端给客户端回包的时候,目的端口是未知的,上面我们提到安全策略是要知道端口过滤的即使不知道虽然也可以,但是那样防火墙会承受很大的压力,不可靠。要想解决这个问题,由此引出了server-map表。
2.、防火墙如何处理nat?
当主机访问外网时,华为防火墙的处理过程如下:
- 当私网地址用户访问Internet的报文到达华为防火墙时,华为防火墙将报文的源IP地址由私网地址转换为公网地址
- 当回程报文返回至华为防火墙时,华为防火墙再将报文的目的地址由公网地址转换为私网地址
3、 防火墙支持那些NAT技术,主要应用场景是什么?
- 源NAT
适用场景: 源NAT是指对报文中的源地址进行转换,通过源NAT技术将私网IP地址转换成公网IP地址,使私网用户可以利用公网地址访问Internet。
- server NAT
适用场景:主要应用于实现私网服务器以公网IP地址对外提供服务的场景。
- 域内双向NAT
适用场景:想让内网用户通过外网地址访问DMZ区的服务器,且想经过出口墙检查来增加安全性。
需求:由于管理员在规划网络时“偷懒”,将内网用户和内网服务器规划到同一个网段中。现在希望内网用户通过外网地址访问内网服务器。作用是隐藏内网服务器地址,并使流量经过防火墙,由此来提高网络的安全性。
- 域间双向NAT
适用场景:一般是解决内网服务器没有外网路由的问题 。工业现场一些设备不允改动,例如网络设备不能修改路由、工业摄像机无法修改网关、工业PLC无法配置网关。
需求:由于三层交换机到操作员站1的路由没有配置或配置错误,导致操作员站1与西门子PLC无法通信。在不修改三层交换机的情况下,实现操作员站1与西门子PLC通信
4、当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?
问题:内网PC要访问内网服务器那这个访问的ip也是内网同网段的ip,但是经过公网解析之后ip又变为了公网,此时改怎么办?
解决方法:就是进行域内双nat。
5、防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?
问题:
1、防火墙必须能够检测到链路或设备故障。
2、防火墙检测到故障后能够实现流量的平滑切换。
解决办法:
6、 防火墙支持哪些接口模式,一般使用在那些场景?
1、路由模式
适用场景:防火墙的接口三层路由接口的形式参与组网 。
2、交换模式
适用场景:防火墙的接口二层交换接口的形式参与组网。
3、接口对模式
适用场景:
接口对模式是一种特殊的二层模式,该模式的接口是成对出现,这一对接口之间转发数据不经过二层的 MAC寻址,也就类似网线的形式转发,速度快。相当于一根虚拟网线。
7、 什么是IDS?
通过旁路部署的方式从网络或计算机系统关键节点收集信息依据动态学习或知识库进行分析,从中发现网络或系统中是否存在可疑或异常事件。
8、 IDS和防火墙有什么不同?
IDS:通过旁路部署的方式从网络或计算机系统关键节点收集信息依据动态学习或知识库进行分析,从中发现网络或系统中是否存在可疑或异常事件。
防火墙:防火墙是管理和控制网络流量的重要工具,防火墙适用于过滤流量的网络设备。防火墙根据一组定义的规则过滤流量。
概念不同:
防火墙和IPS属于访问控制类产品,而IDS属于审计类产品。我们可以用一个简单的比喻,描述三者的不同和关系——将网络空间比喻成一个大厦,那么防火墙相当于门锁,有效隔离内外网或不同安全域,IDS相当于监视系统,当有问题发生时及时产生警报,而IPS则是巡视和保证大厦安全的安保人员,能够根据经验,主动发现问题并采取措施。
保护内容不同:
防火墙较多应用在转发、内网保护(NAT)、流控、过滤等方面;IDS和IPS主要针对一些攻击情况。一般的防火墙只能做到3-4层的保护,对于5-7层的应用保护很一般,而5-7层的保护正是IDS和IPS的长处。
部署位置不同:
防火墙通常采用串行接入,部署在网络边界,用来隔离内外网;
IDS通常采用旁路接入,在网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源,这些位置通常是:
服务器区域的交换机上;
Internet接入路由器滞后的第一台交换机上;
重点保护网段的局域网交换机上。
9、 IDS的主要检测方法有哪些详细说明?
主机入侵检测系统(HIDS)
监测一台计算机上的活动,其中包括进程调用以及系统、应用程序、安全措施和基于主机防火墙日志记录的信息。
HIDS优于NIDS的一点是,HIDS能监测到NIDS检测不出来的主机系统异常情况;但是HIDS比NIDS的管理成本更高,并且更容易被入侵者发现和禁用,同时导致留存的日志被修改;
网络入侵检测系统(NIDS)
监测并评估网络活动,从中找出攻击或异常事件。一个NIDS可通过远程传感器监测一个大型网络,由传感器在关键网络位置收集数据后把数据发送给中央管理控制台和/或安全事件和事件管理(SIEM)系统。
响应方式
被动响应:通过电子邮件、文本或短信等方式将告警发送至管理员;
主动响应:动其他安全防护设备(防火墙、IPS等)对可疑流量进行阻断;
10、 IDS的部署方式有哪些?
控制中心部署
- 准备硬件,服务器,数据库
- 防火墙开放必要端口
- 安装.net 3.5.1
- 安装SQL Server 数据库
- 安装IDS控制中心
- 使用IDS导库工具,生成IDS控制中心
- 虚拟机防火墙开放对应端口,提供远程访问
引擎部署
- 更改IP/子网掩码
- 重置引擎认证密钥
- 配置路由
- 允许ping引擎管理端口
- 管理口接线,登陆IDS web管理界面
- 导入IDS授权文件,下发授权
11、IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
签名:用来描述网络入侵行为的特征,通过比较报文特征和签名来检测入侵行为。
签名过滤器作用:
- 阻断:丢弃命中签名的报文并记录日志。
- 告警:对命中签名的报文放行,但记录日志。
- 放行:对命中签名的报文放行,且不记录日志。添加黑名单:是指丢弃命中签名的报文,阻断报文 所在的数据流,记录日志,并可将报文的源地址或目的地址添加至黑名单。