网络 防御 笔记

网络安全背景

网络空间安全 --- Cyberspace                             cyber赛博punk是一种风格

2003年美国提出这个概念 --- 一个由信息基础设施（计算机、路由器、交换机等）组成的相互依赖的网络

我国官方文件定义：网络空间为继海，陆，空，天以外的第五大人类活动领域

通信保密阶段 --- 计算机安全阶段 --- 信息系统安全 --- 网络空间安全

云计算 --分布式计算 云原生                                终极目标 -- 万物互联

ATP攻击 --- 高级持续性威胁

信息安全的脆弱性及常见的安全攻击

协议栈TCP/IP 自身的脆弱性

• 缺乏数据源验证机制

• 缺乏完整性验证机制

• 缺乏机密性保障机制

MAC泛洪攻击---链路层

攻击者利用学习机制不断发送不同的MAC地址交给交换机，填满整个MAC表，此时交换机只能进行数据广播，攻击者凭此获得信息

ARP欺骗---链路层

当A与B需要通讯时，黑客冒充B发送ARP Reply给A（此时A以为接收到的MAC地址是B的，但其实是黑客的），A将数据包发送给冒充B的黑客

ICMP---链路层

TCP SYN Flood攻击---传输层

syn报文是TCP连接的第一个报文，攻击者通过大量发送SYN报文，造成大量未完成建立的TCP链接，占用被攻击者的资源

DDoS 分布式拒绝服务攻击

控制别人电脑成为肉鸡，整体叫僵尸网路

防御：异常流量清洗、CDN分流

DNS欺骗攻击

黑客篡改DNS数据使用户被引导去钓鱼网站

缓冲区溢出攻击

利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变

溢出的危害：最大数量的漏洞类型、漏洞危害等级高

病毒威胁

勒索病毒

可以感染设备、网络与数据中心并时期瘫痪，直至用户支付赎金解锁

会将电脑中的各类文档进行加密，如果用户未在指定时间缴纳赎金，被锁文件将永远无法恢复

挖矿病毒

可自动传播，在未授权的情况下占用资源为攻击者牟利，使受害者及其性能明显下降，影响正常使用

特洛伊木马

被控制   更人隐私数据泄露，占用系统资源

蠕虫病毒

可以自我复制（变异），通过网络传播

恶意程序的特性

1.非法性

2.隐蔽性

3.潜伏性

4.可触发性

5.表现性

6.破坏性

7.传染性 --- 蠕虫病毒的典型特点

8.针对性

9.变异性（有了补丁后 在其他漏动攻击）

10.不可预见性（比如变异就不可预见）

病毒分类：

1.病毒 --- 以破坏为目的病毒

2.木马病毒 --- 以控制为目的病毒

3.蠕虫病毒 --- 具有传播性的病毒

安全的标准

信息安全的五要素

• 保密性---confidentiality
• 完整性---integrity
• 可用性---availability
• 可控性---controllabillity
• 不可否认性---Non-repudiatio

防火墙

防火墙的主要职责在于：控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之

后做出对应的动作。

防火墙分类：

• 按物理特性划分：软件防火墙、硬件防火墙
• 按性能划分：百兆级防火墙、千兆级防火墙…(吞吐量：防火墙同一时间处理的数据量)
• 按防火墙结构划分：单一主机防火墙、路由集成防火墙、分布式防火墙…
• 按防火墙技术划分：包过滤防火墙、应用代理防火墙、状态检测防火墙…

传统防火墙：

 包过滤防火墙

 

缺点：

1.很多安全风险集中在应用层的，所以仅关注三四层的数据无法做到完全隔离安全风险。

2.逐包进行包过滤检测，将导致防火墙的转发效率过低，成为网络中的瓶颈。

 

在ACL列表中，华为体系下，末尾是没有隐含规则的，即如果匹配不到ACL列表，则认为ACL列表不存在，之前可以通过，则还可以通过；但是，在防火墙的安全策略中，为了保证安全，末尾会隐含一条拒绝所有的规则，即只要没有放通的流量，都是不能通过的。

 

应用代理防火墙

缺点：

1.因为需要防火墙进行先一步安全识别，所以转发效率会降低（原来的三层握手就会变成6次握手）

2.可伸缩性差：每一种应用程序需要代理的话，都需要开发对应对应的代理功能，如果没有开发，则无法进行代理。

 

状态检测防火墙

 

 

“会话表技术”---首包检测

 

专用设备

入侵检测系统（IDS）

入侵防御系统（IPS）

 安全策略

路由模式

以三层为主

透明模式

二层为主

旁路模式

在旁路做安全检测

对原始网络影响小

管理：三层

         做TCP控制，上网使用http协议里面有字段 ，防火墙抓字段，冒充访问的地址，发送TCP rest包，把中间TCP会话斩断了        (防火墙在内网速快，通过过时间差先断掉)

本身可能需要升级、联网

混合模式

二三层

安全策略 --- 相较于ACL的改进之处：1.可以在更细的颗粒度下匹配流量

                                                         2.可以完成内容安全的检测

1. 访问控制（允许和拒绝）
2. 内容检测 --- 如果允许通过，则可以进行

传统的包过滤防火墙 --- 本质为ACL列表，根据数据包中的特征进行过滤，之后对比规则，执行作

安全策略技术可过滤内容：

• 五元组：源IP、目标IP、源端口、目标端口、协议
• 源/目的安全区域
• 时间段
• 用户
• 安全配置文件

颗粒度要细，传统ACL无法实现

入侵防御 病毒杀毒针对应用层

一体化检测 针对流量、文件更深层的安全把控

用户认证

用户 用身份对行为绑定、流量

防火墙的状态检测和会话表

状态检测：提高安全性 会话表：提高效率

基于流的流量监测：设备仅对流量的第一个数据包进行过滤，并将结果作为这一条数据流的特征记录下来（记录在本地的“绘话表”），之后该数据流后续的报文都将基于这个特征来进行转发，而不再去匹配安全策略。这样做的目的是为了提高效率。

状态检测防火墙访问过程：

当WEB服务器给OC进行回报时，来到防火墙上，防火墙会将报文中的信息和绘画表的信息进行比对，如果发现报文中的信息与绘画表中的信息匹配，并且符合协议规范对后续报文的定义，则认为该数据包属于PC，可以允许该数据包通过。

包过滤把数据流看作一个动态整体过程

技术：

1. 会话表 ：本身也是基于五元组来区分流量，会话表在比对时，会通过计算HASH来比较五元组，因为HASH定长，所以可以基于硬件进行处理，提高转发效率。

     因为会话表中的记录只有在流量经过触发时才有意义，所以如果记录长时间不被触发，作为删除掉，即会话中的记录应该存在老化时间，如果会话表中的记录背删除掉后，相同五元组流量在通过防火墙，作为应该尤其首包（逻辑上的，TCP的首包是SYN）重新匹配安全策略，创建会话表，如果无法创建会话表，则将丢弃该数据流的数据。

会话表的老化时间过长：会造成系统资源的浪费，同时有可能导致新的会话表项无法政策建立。

会话表的老化时间过短：会导致一些需要长时间收发一次的报文连接被系统强行中断，影响业务的转发。

不同协议的会话表老化时间不同

查看会话表：display firewall session table

查看会话表详情：display firewall session table verbose

1. 状态检测技术：主要检测协议逻辑上的后续报文，以及仅允许逻辑上的第一个报文通过后创建会话表。可以选择开启或关闭该功能。

firewall session link-state tcp check

数据通过防火墙的流程：

认证策略 用户认证

ASPF技术

针对应用层的过滤，用来抓取多通道协议中的协商端口的关键数，将结果记录在sever-map表中，相当于开辟了一条隐形的通道。

默认开启

Tftp --- 简单文件传输协议

FTP --- 文件传输协议，是一个典型的C/S架构协议

相较于Tftp有认证动作，拥有一套完整的命令集

工作过程中存在两个进程：

1. 控制进程
2. 数据的传输进程

两种工作模式：

1. 主动模式

客户端开放一个随机端口

服务器收到 会主动向客户端发起三次握手

1. 被动模式 PASV

客户端发送PASV命令

服务器开放一个随机端口，告诉客户端

客户端会主动向服务器发起三次握手

像FTP这种使用多个端口号的协议叫做多通道协议（双通道协议）

防火墙的用户认证:上网行为管理的一部分

上网行为管理三要素： 用户 、行为、流量   （ 不可否认性、可控性）

注：跨网段的通信（三层认证）都可以叫上网行为，针对这些行为，我们希望将行为和产生行为的人进行绑定，所以需要进行上网用户认证。

用户认证的分类：

• 上网用户认证--上网行为管理（三层认证）目的：身份识别

跨网段的通信都可以叫上网行为，针对这些行为，我们希望将行为和产生行为的人进行绑定，所以需要进行上网用户认证。

• 入网用户认证---全网行为管理（二层认证）目的：身份识别

设备在接入网络中，比如插入交换机进行认证才能正常使用网络

• 接入用户认证---远程接入---VPN    目的：检验身份的合法性

防火墙管理员登录认证：检验身份的合法性，划分身份权限

认证方式：

• 本地认证 --- 用户信息在防火墙上，整个认证过程都在防火墙上进行。
• 服务器认证 --- 对接第三方服务器，防火墙将用户信息传递给服务器之后服务器将认证结果返回，防火墙执行对应的动作即可。
• 单点登录 --- 与第三方服务器认证类似。

认证域：可以决定认证的方式和组织结构

私有用户 一个IP地址只能同时登录一个

公有用户 好几个

身份合法 --- 管理员认证、VPN

行为追溯 --- 上网、入网

认证策略

Portal认证 ---  一种常见的的认证方式，比如网页认证，我们要流量触发对应的服务时，弹出窗口，需要输入用户名和密码

免认证 --- 需要在IP/MAC双向绑定的情况下使用，则对应用户在对应设备上登陆时，就可以选择免认证，不做认证

匿名认证 （透明认证）---  和免认证类似，认证动作越透明越好，选择匿名认证，则登录者不需要输入用户名和密码，直接使用IP地址作为其身份认证

防火墙的NAT

静态NAT --- 一对一     回 跟服务器的映射

动态NAT --- 多对多

NAPT --- 一对多的NAPT（easy ip）

           --- 多对多的NAPT

服务器映射

分类：

• 源NAT：基于源IP地址进行转换（静态NAT、动态NAT、NAPT）      目的：为了保证内网用户可以访问公网

注意：源NAT是在安全策略之后执行

• 目标NAT：基于目标IP地址进行转换（服务器映射） 目的：为了保证公网用户可以访问内部服务器
• 双向NAT：同时转换源IP和目标地址                                     

easy ip              一对多

动态NAT    要加 no-pat(napt)

多对多NAPT

源NAT是在安全策略之后执行   

空接口    直接丢掉  防止链路浪费

配置黑洞路由：黑洞即路由空接口，在NAT地址池中的地址，建议配置达到这个地址指向空接口的路由，不然在特定环境下回出现环路。（主要针对地址池中的地址和出接口地址不在同一个网段中的场景）

决定了使用的是动态NAT还是NAPT的逻辑

 

高级

NAT类型---五元组NAT    针对五个参数（源IP、目标IP、源端口、目标端口、协议）识别出的数据流进行端口转换     能否命中同一个会话

                三元组NAT   只看源IP、源端口、协议三个参数识别出的数据流进行端口转换

在保留地址中的地址将不被用于转换使用 

动态NAT创建完后，触发访问流量后会同时生成两条server-map的记录（其中一条是反向记录），反向记录前相当于是一条讲台NAT记录，外网的任意地址在安全策略方通的情况下是可以访问到内网的。

基于端口的NAT转换，是不会生成server-map表的

p2p --- peer to peer 

三元组

端口转换基于五元组

因为P2P在端口转换的情况下，识别五元组将导致P2P客户端之间无法直接访问，不符合五元组的筛选条件，所以在这种场景下可以使用三元组NAT放宽筛选条件，保证P2P客户端可以正常通信

目标NAT策略在安全策略之前，源NAT策略在安全策略之后 （因为自动生成的安全策略的目标地址是转换后的地址，这说明需要先进行转换，再触发安全策略） 

目标NAT

服务器映射

安全区域：需要访问服务器的设备所在的区域。

双向NAT

多出口NAT

负载均衡 减轻每条单路的压力

浮动静态路由  主备模式 两条都需要承载流量

源NAT

1. 根据出接口创建多个不同的安全区域，再根据安全区域来做NAT
2. 出去还是一个区域，选择出接口来进行转换

目标NAT

1. 也可以分为两个不同的区域做服务器映射
2. 可以只设置一个区域，但是要注意写两条策略分别正对两个接口的地址池，并且不能同时勾选允许服务器上网，否则会造成地址冲突。

 智能选路

就近选路 

我们希望在访问不同运营商的服务器是，通过对应运营商的链路。这样可以提高通信效率，避免绕路。

策略路由 -- PBR 传统的路由，仅基于数据包中的目标IP地址查找路由表。仅关心其目标，所以，在面对一些特殊的需求时，传统路由存在短板，缺乏灵活性，适用场景比较单一。

策略路由本身也是一种策略，策略主要先匹配流量，再执行动作。策略路由可以从多维度去匹配流量，之后，执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐含一条不做策略的规则，即所有没有匹配上策略路由的流量，都将匹配传统路由表进行转发。

如果存在多条策略路由，则匹配规则也是自上而下，逐一匹配，如果匹配上了，则按照对应动作执行，不再向下匹配；

DSCP优先级 --- 相当于在数据包中设定其转发的优先级（利用的是IP头部中tos字段），之后下游设备会根据优先级来差异化保证流量的通过。

动作：转发 --- 可以定义其转发的方式

转发其他虚拟系统 --- VRF 不做策略路由

监控 --- 当策略是单出口时，如果这里写的下一跳和出接口不可达，报文将直接被FW丢弃。为了提高可靠性，我们可以配置针对下一跳的监控，即使下一跳不可达，也可以继续查找本地路由表，而不是直接丢弃。

智能选路 --- 全局路由策略

智能选路方式：

基于链路带宽的负载分担

基于链路带宽的负载分担会按照多条链路的带宽比例来分配流量。并且，如果配置的过载保护阈值，则一条链路达到过载保护阈值之后，除了已经创建会话表的流量依然可以从该接口通过外，该接口将不再参与智能选路，需要新建会话表的流量将从其余链路中按照比例转发。

会话保持 --- 开启该功能后，流量首次通过智能选路的接口后，会创建会话表，后续命中会话表的流量都将通过同一个接口来进行转发，选择源IP和目的IP的效果时，所有相同源IP或者目标IP的流量将通过同一个接口转发。 --- 应对于不希望链路频繁切换的场景。

在链路接口中可以配置就近选路。

基于链路质量进行负载分担

丢包率 --- FW会发送若干个探测报文（默认5个），将统计丢包的个数。丢包率等于回应报文个数除以探测报文个数。丢包率是最重要的评判依据。

时延 --- 应答报文接受时间减去探测报文发送时间。FW会发送若干个探测报文，取平均时延作为结果进行评判

延时抖动 --- 两次探测报文时延差值的绝对值。FW会发送若干个探测报文，取两两延时抖动的平均值。

首次探测后会将结果记录在链路质量探测表中，之后，将按照表中的接口来进行选路。

表中的老化时间结束后，将重新探测。

基于链路权重进行负载分担

权重是由网络管理员针对每一条链路手工分配的，分配之后，将按照权重比例分配流量。

基于链路优先级的主备备份

优先级也是由网络管理员针对每一条链路手工分配的。

执行逻辑：

1，接口没有配置过载保护：优先使用优先级最高的链路转发流量，其他链路不工作。直到优先级最高的链路故障，则优先级次高的链路开始转发流量。其余链路依旧不工作。

2，接口配置了过载保护：优先使用优先级最高的链路转发流量，其他链路不工作；如果最高的链路达到或超过保护阈值，则优先级次高的链路开始工作。

DNS透明代理的前提是开启就近选路

防火墙的可靠性

防火墙和路由器在进行可靠性备份时，路由器备份可能仅需要同步路由表中的信息就可以了，但是，防火墙是基于状态检测的，所以，还需要同步记录状态的会话表等。所以，防火墙需要使用到双机热备技术。

双机 --- 目前防火墙的双机热备技术仅支持两台设备

热备 --- 两台设备同时运行，在一台设备出现故障的情况下，另一台设备可以立即替代原设备。

VRRP技术

虚拟路由器冗余协议 --- “实的不行来虚的”

Initialize --- 在VRRP中，如果一个接口出现故障之后，则这个接口将进入到该过渡状态 VRRP备份组之间是相互独立的，当一台设备上出现多个VRRP组时，他们之间的状态无法同步。

VGMP ---- VRRP Group Management Protocol

华为私有协议 --- 这个协议就是将一台设备上的多个VRRP组看成一个组，之后统一进行管理，统一切换的协议。以此来保证VRRP组状态的一致性。

接口故障切换场景

在防火墙的双机热备中，我们不论时VRRP组还是VGMP组，主备的叫法发生了变化，主统一被称为Active，备被称为Standby

1，假设主设备的下联口发生故障，则这个接口的vrrp状态将由原来的Active状态切换为

initialize状态。（这种情况下，按照VRRP自己的机制，主设备将无法发送周期保活报文，则备设备在超过超时时间后将切换为主的状态。但是，因为这里启用VGMP在，则VRRP 切换状态将由VGMP接管，VRRP的机制名存实亡。）

2，VGMP组发现VRRP组出现变化，将降低自身的优先级。（说明，在VGMP组中，也存在优先级的概念。一开始，每台设备中都会存在两个VGMP组，一个叫做Active组，另一个叫做Standby组。Active组初始的默认优先级为65001，Standby组初始的默认优先级为65000（不同版本的防火墙，这个优先级的定义不同）。一开始，我们FW1将两个VRRP组都拉入VGMP_ACTIVE组中，因为ACTIVE组的状态时active，所以，里面两个vrrp组的状态也是active（VGMP组的状态决定了VRRP组的状态），FW2同理。当一个VRRP组的状态变为initialize，则VGMP则的优先级-2。）之后，原主设备会发送一个VGMP请求报文给对端，里面包含了自己当前变化后的优先级。

3，当原备设备接收到请求报文后，看到里面的优先级时64999，而低于自身的65000，则会将自己的VGMP_STANDBY组的状态由原来的standby切换为active。同时，发送一个同意请求报文给原主设备。

4，原主设备接收到对方的应答报文之后，将会把自身VGMP_ACTIVE组的状态由原来的

ACTIVE切换为STANDBY。

5，在原备设备发送应答报文的同时，因为其VGMP组的状态切换，所以，其内部的

VRRP组状态也将由原来的standby转换为avtive。原主设备在接受到对方的应答报文之后，因为将其VGMP组状态切换，所以，同时将其内部的VRRP组状态由原来的active状态切换为standby状态（注意，故障接口依旧保持init的状态。）

6，原备设备会通过接口向上下联链路发送免费ARP报文，切换交换机的MAC地址表。

流量将被切换到原被设备上。

HRP --- Huawei Redundancy Protocol --- 华为冗余协议

这是一款华为的私有协议 --- 备份配置信息和状态信息。

HRP备份有一个前提，就是两台设备之间必须专门连一根用于备份的线路，这跟线路我们称为心跳线（广义上，任何两台设备之间的链路都可以叫做心跳线）

心跳线的接口必须是一个三层接口，需要配置对应的IP地址。这条备份数据的链路不受路由策略限制（直连场景。非直连场景依然需要配置安全策略。）

HRP协议本身算是VGMP协议的一部分

HRP的心跳线也会传递心跳报文，用于检测对端是否处于工作状态。这个周期时间默认

1s，逻辑和vrrp一样，只有主设备会周期发送，备设备仅监听即可，如果在三个周期内，都没有收到HRP的心跳报文，则将认定原主设备故障，则将进行失效判断，认定自身为主。

VGMP的报文也是通过这条心跳线发送的。

配置信息 --- 策略，对象，网络里面的一些配置都属于配置信息。（接口IP地址，路由之类的不同步，因为这些是需要在双机组建之前配置的）

状态信息 --- 会话表，server-map，黑名单，白名单。。

第一种备份方式 --- 自动备份默认开启自动备份，可以实时备份配置信息。但是，自动备份不能立即同步状态信息。

一般是在主设备上状态生成后一段时间（10s左右）同步到备设备上。

Hrp standby config enable --- 这个命令可以让备设备上的配置同步到主设备上。

第二种备份方式 --- 手工备份

由管理员手工触发，可以立即同步配置信息以及状态信息。

第三种备份方式 --- 快速备份该模式仅使用在 负载分担的工作方式下。

因为负载分担的场景下，两台设备都需要处于工作状态，为了避免因为状态信息同步不及时，导致业务流量中断，所以，该场景下，默认开启快速备份。

快速备份可以实时同步状态信息。但是，该方式不同步配置信息。

各场景过程分析

1.主备形成场景

2.主备模式下，接口故障切换场景

3.主备场景，主设备故障切换

主故障之后，将无法周期发送HRP心跳报文，则备设备监听超时，进行设备状态的切换。

4.主备场景，主设备接口故障恢复切换没有开启抢占

--- 没有抢占则原主设备保持备份状态。

开启抢占：

5.负载分担

6.负载分担接口故障场景