网络 防御 笔记
网络安全背景
网络空间安全 --- Cyberspace cyber赛博punk是一种风格
2003年美国提出这个概念 --- 一个由信息基础设施(计算机、路由器、交换机等)组成的相互依赖的网络
我国官方文件定义:网络空间为继海,陆,空,天以外的第五大人类活动领域
通信保密阶段 --- 计算机安全阶段 --- 信息系统安全 --- 网络空间安全
云计算 --分布式计算 云原生 终极目标 -- 万物互联
ATP攻击 --- 高级持续性威胁
信息安全的脆弱性及常见的安全攻击
协议栈TCP/IP 自身的脆弱性
-
缺乏数据源验证机制
-
缺乏完整性验证机制
-
缺乏机密性保障机制
MAC泛洪攻击---链路层
攻击者利用学习机制不断发送不同的MAC地址交给交换机,填满整个MAC表,此时交换机只能进行数据广播,攻击者凭此获得信息
ARP欺骗---链路层
当A与B需要通讯时,黑客冒充B发送ARP Reply给A(此时A以为接收到的MAC地址是B的,但其实是黑客的),A将数据包发送给冒充B的黑客
ICMP---链路层
TCP SYN Flood攻击---传输层
syn报文是TCP连接的第一个报文,攻击者通过大量发送SYN报文,造成大量未完成建立的TCP链接,占用被攻击者的资源
DDoS 分布式拒绝服务攻击
控制别人电脑成为肉鸡,整体叫僵尸网路
防御:异常流量清洗、CDN分流
DNS欺骗攻击
黑客篡改DNS数据使用户被引导去钓鱼网站
缓冲区溢出攻击
利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变
溢出的危害:最大数量的漏洞类型、漏洞危害等级高
病毒威胁
勒索病毒
可以感染设备、网络与数据中心并时期瘫痪,直至用户支付赎金解锁
会将电脑中的各类文档进行加密,如果用户未在指定时间缴纳赎金,被锁文件将永远无法恢复
挖矿病毒
可自动传播,在未授权的情况下占用资源为攻击者牟利,使受害者及其性能明显下降,影响正常使用
特洛伊木马
被控制 更人隐私数据泄露,占用系统资源
蠕虫病毒
可以自我复制(变异),通过网络传播
恶意程序的特性
1.非法性
2.隐蔽性
3.潜伏性
4.可触发性
5.表现性
6.破坏性
7.传染性 --- 蠕虫病毒的典型特点
8.针对性
9.变异性(有了补丁后 在其他漏动攻击)
10.不可预见性(比如变异就不可预见)
病毒分类:
1.病毒 --- 以破坏为目的病毒
2.木马病毒 --- 以控制为目的病毒
3.蠕虫病毒 --- 具有传播性的病毒
安全的标准
信息安全的五要素
- 保密性---confidentiality
- 完整性---integrity
- 可用性---availability
- 可控性---controllabillity
- 不可否认性---Non-repudiatio
防火墙
防火墙的主要职责在于:控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之
后做出对应的动作。
防火墙分类:
- 按物理特性划分:软件防火墙、硬件防火墙
- 按性能划分:百兆级防火墙、千兆级防火墙…(吞吐量:防火墙同一时间处理的数据量)
- 按防火墙结构划分:单一主机防火墙、路由集成防火墙、分布式防火墙…
- 按防火墙技术划分:包过滤防火墙、应用代理防火墙、状态检测防火墙…
传统防火墙:
包过滤防火墙
缺点:
1.很多安全风险集中在应用层的,所以仅关注三四层的数据无法做到完全隔离安全风险。
2.逐包进行包过滤检测,将导致防火墙的转发效率过低,成为网络中的瓶颈。
在ACL列表中,华为体系下,末尾是没有隐含规则的,即如果匹配不到ACL列表,则认为ACL列表不存在,之前可以通过,则还可以通过;但是,在防火墙的安全策略中,为了保证安全,末尾会隐含一条拒绝所有的规则,即只要没有放通的流量,都是不能通过的。
应用代理防火墙
缺点:
1.因为需要防火墙进行先一步安全识别,所以转发效率会降低(原来的三层握手就会变成6次握手)
2.可伸缩性差:每一种应用程序需要代理的话,都需要开发对应对应的代理功能,如果没有开发,则无法进行代理。
状态检测防火墙
“会话表技术”---首包检测
专用设备
入侵检测系统(IDS)
入侵防御系统(IPS)
安全策略
路由模式
以三层为主
透明模式
二层为主
旁路模式
在旁路做安全检测
对原始网络影响小
管理:三层
做TCP控制,上网使用http协议里面有字段 ,防火墙抓字段,冒充访问的地址,发送TCP rest包,把中间TCP会话斩断了 (防火墙在内网速快,通过过时间差先断掉)
本身可能需要升级、联网
混合模式
二三层
安全策略 --- 相较于ACL的改进之处:1.可以在更细的颗粒度下匹配流量
2.可以完成内容安全的检测
- 访问控制(允许和拒绝)
- 内容检测 --- 如果允许通过,则可以进行
传统的包过滤防火墙 --- 本质为ACL列表,根据数据包中的特征进行过滤,之后对比规则,执行作
安全策略技术可过滤内容:
- 五元组:源IP、目标IP、源端口、目标端口、协议
- 源/目的安全区域
- 时间段
- 用户
- 安全配置文件
颗粒度要细,传统ACL无法实现
入侵防御 病毒杀毒针对应用层
一体化检测 针对流量、文件更深层的安全把控
用户认证
用户 用身份对行为绑定、流量
防火墙的状态检测和会话表
状态检测:提高安全性 会话表:提高效率
基于流的流量监测:设备仅对流量的第一个数据包进行过滤,并将结果作为这一条数据流的特征记录下来(记录在本地的“绘话表”),之后该数据流后续的报文都将基于这个特征来进行转发,而不再去匹配安全策略。这样做的目的是为了提高效率。
状态检测防火墙访问过程:
当WEB服务器给OC进行回报时,来到防火墙上,防火墙会将报文中的信息和绘画表的信息进行比对,如果发现报文中的信息与绘画表中的信息匹配,并且符合协议规范对后续报文的定义,则认为该数据包属于PC,可以允许该数据包通过。
包过滤把数据流看作一个动态整体过程
技术:
- 会话表 :本身也是基于五元组来区分流量,会话表在比对时,会通过计算HASH来比较五元组,因为HASH定长,所以可以基于硬件进行处理,提高转发效率。
因为会话表中的记录只有在流量经过触发时才有意义,所以如果记录长时间不被触发,作为删除掉,即会话中的记录应该存在老化时间,如果会话表中的记录背删除掉后,相同五元组流量在通过防火墙,作为应该尤其首包(逻辑上的,TCP的首包是SYN)重新匹配安全策略,创建会话表,如果无法创建会话表,则将丢弃该数据流的数据。
会话表的老化时间过长:会造成系统资源的浪费,同时有可能导致新的会话表项无法政策建立。
会话表的老化时间过短:会导致一些需要长时间收发一次的报文连接被系统强行中断,影响业务的转发。
不同协议的会话表老化时间不同
查看会话表:display firewall session table
查看会话表详情:display firewall session table verbose
- 状态检测技术:主要检测协议逻辑上的后续报文,以及仅允许逻辑上的第一个报文通过后创建会话表。可以选择开启或关闭该功能。
firewall session link-state tcp check
数据通过防火墙的流程:
认证策略 用户认证
ASPF技术
针对应用层的过滤,用来抓取多通道协议中的协商端口的关键数,将结果记录在sever-map表中,相当于开辟了一条隐形的通道。
默认开启
Tftp --- 简单文件传输协议
FTP --- 文件传输协议,是一个典型的C/S架构协议
相较于Tftp有认证动作,拥有一套完整的命令集
工作过程中存在两个进程:
- 控制进程
- 数据的传输进程
两种工作模式:
- 主动模式
客户端开放一个随机端口
服务器收到 会主动向客户端发起三次握手
- 被动模式 PASV
客户端发送PASV命令
服务器开放一个随机端口,告诉客户端
客户端会主动向服务器发起三次握手
像FTP这种使用多个端口号的协议叫做多通道协议(双通道协议)
防火墙的用户认证:上网行为管理的一部分
上网行为管理三要素: 用户 、行为、流量 ( 不可否认性、可控性)
注:跨网段的通信(三层认证)都可以叫上网行为,针对这些行为,我们希望将行为和产生行为的人进行绑定,所以需要进行上网用户认证。
用户认证的分类:
- 上网用户认证--上网行为管理(三层认证)目的:身份识别
跨网段的通信都可以叫上网行为,针对这些行为,我们希望将行为和产生行为的人进行绑定,所以需要进行上网用户认证。
- 入网用户认证---全网行为管理(二层认证)目的:身份识别
设备在接入网络中,比如插入交换机进行认证才能正常使用网络
- 接入用户认证---远程接入---VPN 目的:检验身份的合法性
防火墙管理员登录认证:检验身份的合法性,划分身份权限
认证方式:
- 本地认证 --- 用户信息在防火墙上,整个认证过程都在防火墙上进行。
- 服务器认证 --- 对接第三方服务器,防火墙将用户信息传递给服务器之后服务器将认证结果返回,防火墙执行对应的动作即可。
- 单点登录 --- 与第三方服务器认证类似。
认证域:可以决定认证的方式和组织结构
私有用户 一个IP地址只能同时登录一个
公有用户 好几个
身份合法 --- 管理员认证、VPN
行为追溯 --- 上网、入网
认证策略
Portal认证 --- 一种常见的的认证方式,比如网页认证,我们要流量触发对应的服务时,弹出窗口,需要输入用户名和密码
免认证 --- 需要在IP/MAC双向绑定的情况下使用,则对应用户在对应设备上登陆时,就可以选择免认证,不做认证
匿名认证 (透明认证)--- 和免认证类似,认证动作越透明越好,选择匿名认证,则登录者不需要输入用户名和密码,直接使用IP地址作为其身份认证
防火墙的NAT
静态NAT --- 一对一 回 跟服务器的映射
动态NAT --- 多对多
NAPT --- 一对多的NAPT(easy ip)
--- 多对多的NAPT
服务器映射
分类:
- 源NAT:基于源IP地址进行转换(静态NAT、动态NAT、NAPT) 目的:为了保证内网用户可以访问公网
注意:源NAT是在安全策略之后执行
- 目标NAT:基于目标IP地址进行转换(服务器映射) 目的:为了保证公网用户可以访问内部服务器
- 双向NAT:同时转换源IP和目标地址
easy ip 一对多
动态NAT 要加 no-pat(napt)
多对多NAPT
源NAT是在安全策略之后执行
空接口 直接丢掉 防止链路浪费
配置黑洞路由:黑洞即路由空接口,在NAT地址池中的地址,建议配置达到这个地址指向空接口的路由,不然在特定环境下回出现环路。(主要针对地址池中的地址和出接口地址不在同一个网段中的场景)
决定了使用的是动态NAT还是NAPT的逻辑
高级
NAT类型---五元组NAT 针对五个参数(源IP、目标IP、源端口、目标端口、协议)识别出的数据流进行端口转换 能否命中同一个会话
三元组NAT 只看源IP、源端口、协议三个参数识别出的数据流进行端口转换
在保留地址中的地址将不被用于转换使用
动态NAT创建完后,触发访问流量后会同时生成两条server-map的记录(其中一条是反向记录),反向记录前相当于是一条讲台NAT记录,外网的任意地址在安全策略方通的情况下是可以访问到内网的。
基于端口的NAT转换,是不会生成server-map表的
p2p --- peer to peer
三元组
端口转换基于五元组
因为P2P在端口转换的情况下,识别五元组将导致P2P客户端之间无法直接访问,不符合五元组的筛选条件,所以在这种场景下可以使用三元组NAT放宽筛选条件,保证P2P客户端可以正常通信
目标NAT策略在安全策略之前,源NAT策略在安全策略之后 (因为自动生成的安全策略的目标地址是转换后的地址,这说明需要先进行转换,再触发安全策略)
目标NAT
服务器映射
安全区域:需要访问服务器的设备所在的区域。
双向NAT
多出口NAT
负载均衡 减轻每条单路的压力
浮动静态路由 主备模式 两条都需要承载流量
源NAT
- 根据出接口创建多个不同的安全区域,再根据安全区域来做NAT
- 出去还是一个区域,选择出接口来进行转换
目标NAT
- 也可以分为两个不同的区域做服务器映射
- 可以只设置一个区域,但是要注意写两条策略分别正对两个接口的地址池,并且不能同时勾选允许服务器上网,否则会造成地址冲突。
智能选路
就近选路
我们希望在访问不同运营商的服务器是,通过对应运营商的链路。这样可以提高通信效率,避免绕路。
策略路由 -- PBR 传统的路由,仅基于数据包中的目标IP地址查找路由表。仅关心其目标,所以,在面对一些特殊的需求时,传统路由存在短板,缺乏灵活性,适用场景比较单一。
策略路由本身也是一种策略,策略主要先匹配流量,再执行动作。策略路由可以从多维度去匹配流量,之后,执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐含一条不做策略的规则,即所有没有匹配上策略路由的流量,都将匹配传统路由表进行转发。
如果存在多条策略路由,则匹配规则也是自上而下,逐一匹配,如果匹配上了,则按照对应动作执行,不再向下匹配;
DSCP优先级 --- 相当于在数据包中设定其转发的优先级(利用的是IP头部中tos字段),之后下游设备会根据优先级来差异化保证流量的通过。
动作:转发 --- 可以定义其转发的方式
转发其他虚拟系统 --- VRF 不做策略路由
监控 --- 当策略是单出口时,如果这里写的下一跳和出接口不可达,报文将直接被FW丢弃。为了提高可靠性,我们可以配置针对下一跳的监控,即使下一跳不可达,也可以继续查找本地路由表,而不是直接丢弃。
智能选路 --- 全局路由策略
智能选路方式:
基于链路带宽的负载分担
基于链路带宽的负载分担会按照多条链路的带宽比例来分配流量。并且,如果配置的过载保护阈值,则一条链路达到过载保护阈值之后,除了已经创建会话表的流量依然可以从该接口通过外,该接口将不再参与智能选路,需要新建会话表的流量将从其余链路中按照比例转发。
会话保持 --- 开启该功能后,流量首次通过智能选路的接口后,会创建会话表,后续命中会话表的流量都将通过同一个接口来进行转发,选择源IP和目的IP的效果时,所有相同源IP或者目标IP的流量将通过同一个接口转发。 --- 应对于不希望链路频繁切换的场景。
在链路接口中可以配置就近选路。
基于链路质量进行负载分担
丢包率 --- FW会发送若干个探测报文(默认5个),将统计丢包的个数。丢包率等于回应报文个数除以探测报文个数。丢包率是最重要的评判依据。
时延 --- 应答报文接受时间减去探测报文发送时间。FW会发送若干个探测报文,取平均时延作为结果进行评判
延时抖动 --- 两次探测报文时延差值的绝对值。FW会发送若干个探测报文,取两两延时抖动的平均值。
首次探测后会将结果记录在链路质量探测表中,之后,将按照表中的接口来进行选路。
表中的老化时间结束后,将重新探测。
基于链路权重进行负载分担
权重是由网络管理员针对每一条链路手工分配的,分配之后,将按照权重比例分配流量。
基于链路优先级的主备备份
优先级也是由网络管理员针对每一条链路手工分配的。
执行逻辑:
1,接口没有配置过载保护:优先使用优先级最高的链路转发流量,其他链路不工作。直到优先级最高的链路故障,则优先级次高的链路开始转发流量。其余链路依旧不工作。
2,接口配置了过载保护:优先使用优先级最高的链路转发流量,其他链路不工作;如果最高的链路达到或超过保护阈值,则优先级次高的链路开始工作。
DNS透明代理的前提是开启就近选路
防火墙的可靠性
防火墙和路由器在进行可靠性备份时,路由器备份可能仅需要同步路由表中的信息就可以了,但是,防火墙是基于状态检测的,所以,还需要同步记录状态的会话表等。所以,防火墙需要使用到双机热备技术。
双机 --- 目前防火墙的双机热备技术仅支持两台设备
热备 --- 两台设备同时运行,在一台设备出现故障的情况下,另一台设备可以立即替代原设备。
VRRP技术
虚拟路由器冗余协议 --- “实的不行来虚的”
Initialize --- 在VRRP中,如果一个接口出现故障之后,则这个接口将进入到该过渡状态 VRRP备份组之间是相互独立的,当一台设备上出现多个VRRP组时,他们之间的状态无法同步。
VGMP ---- VRRP Group Management Protocol
华为私有协议 --- 这个协议就是将一台设备上的多个VRRP组看成一个组,之后统一进行管理,统一切换的协议。以此来保证VRRP组状态的一致性。
接口故障切换场景
在防火墙的双机热备中,我们不论时VRRP组还是VGMP组,主备的叫法发生了变化,主统一被称为Active,备被称为Standby
1,假设主设备的下联口发生故障,则这个接口的vrrp状态将由原来的Active状态切换为
initialize状态。(这种情况下,按照VRRP自己的机制,主设备将无法发送周期保活报文,则备设备在超过超时时间后将切换为主的状态。但是,因为这里启用VGMP在,则VRRP 切换状态将由VGMP接管,VRRP的机制名存实亡。)
2,VGMP组发现VRRP组出现变化,将降低自身的优先级。(说明,在VGMP组中,也存在优先级的概念。一开始,每台设备中都会存在两个VGMP组,一个叫做Active组,另一个叫做Standby组。Active组初始的默认优先级为65001,Standby组初始的默认优先级为65000(不同版本的防火墙,这个优先级的定义不同)。一开始,我们FW1将两个VRRP组都拉入VGMP_ACTIVE组中,因为ACTIVE组的状态时active,所以,里面两个vrrp组的状态也是active(VGMP组的状态决定了VRRP组的状态),FW2同理。当一个VRRP组的状态变为initialize,则VGMP则的优先级-2。)之后,原主设备会发送一个VGMP请求报文给对端,里面包含了自己当前变化后的优先级。
3,当原备设备接收到请求报文后,看到里面的优先级时64999,而低于自身的65000,则会将自己的VGMP_STANDBY组的状态由原来的standby切换为active。同时,发送一个同意请求报文给原主设备。
4,原主设备接收到对方的应答报文之后,将会把自身VGMP_ACTIVE组的状态由原来的
ACTIVE切换为STANDBY。
5,在原备设备发送应答报文的同时,因为其VGMP组的状态切换,所以,其内部的
VRRP组状态也将由原来的standby转换为avtive。原主设备在接受到对方的应答报文之后,因为将其VGMP组状态切换,所以,同时将其内部的VRRP组状态由原来的active状态切换为standby状态(注意,故障接口依旧保持init的状态。)
6,原备设备会通过接口向上下联链路发送免费ARP报文,切换交换机的MAC地址表。
流量将被切换到原被设备上。
HRP --- Huawei Redundancy Protocol --- 华为冗余协议
这是一款华为的私有协议 --- 备份配置信息和状态信息。
HRP备份有一个前提,就是两台设备之间必须专门连一根用于备份的线路,这跟线路我们称为心跳线(广义上,任何两台设备之间的链路都可以叫做心跳线)
心跳线的接口必须是一个三层接口,需要配置对应的IP地址。这条备份数据的链路不受路由策略限制(直连场景。非直连场景依然需要配置安全策略。)
HRP协议本身算是VGMP协议的一部分
HRP的心跳线也会传递心跳报文,用于检测对端是否处于工作状态。这个周期时间默认
1s,逻辑和vrrp一样,只有主设备会周期发送,备设备仅监听即可,如果在三个周期内,都没有收到HRP的心跳报文,则将认定原主设备故障,则将进行失效判断,认定自身为主。
VGMP的报文也是通过这条心跳线发送的。
配置信息 --- 策略,对象,网络里面的一些配置都属于配置信息。(接口IP地址,路由之类的不同步,因为这些是需要在双机组建之前配置的)
状态信息 --- 会话表,server-map,黑名单,白名单。。
第一种备份方式 --- 自动备份默认开启自动备份,可以实时备份配置信息。但是,自动备份不能立即同步状态信息。
一般是在主设备上状态生成后一段时间(10s左右)同步到备设备上。
Hrp standby config enable --- 这个命令可以让备设备上的配置同步到主设备上。
第二种备份方式 --- 手工备份
由管理员手工触发,可以立即同步配置信息以及状态信息。
第三种备份方式 --- 快速备份该模式仅使用在 负载分担的工作方式下。
因为负载分担的场景下,两台设备都需要处于工作状态,为了避免因为状态信息同步不及时,导致业务流量中断,所以,该场景下,默认开启快速备份。
快速备份可以实时同步状态信息。但是,该方式不同步配置信息。
各场景过程分析
1.主备形成场景
2.主备模式下,接口故障切换场景
3.主备场景,主设备故障切换
主故障之后,将无法周期发送HRP心跳报文,则备设备监听超时,进行设备状态的切换。
4.主备场景,主设备接口故障恢复切换没有开启抢占
--- 没有抢占则原主设备保持备份状态。
开启抢占:
5.负载分担
6.负载分担接口故障场景
