渗透测试之防火墙

防火墙相关

防火墙的基本概念(安全防护功能网络设备)

隔离设备,负责隔离网络,将需要保护的网络不可信任网络进行隔离,隐藏信息并进行安全防护

防火墙也可以配路由,属于三层以上设备,能够代替路由,和路由的根本区别是防火墙要做限制,防火墙的本质功能就是隔离,防火墙是默认所有都不能过,写完策略之后,少部分能通过,路由是默认所有人都能过,写完策略之后,一少部分人不能过。

泛洪攻击,运营商清洗流量

Dos拒绝服务攻击与DDOS分布式拒绝攻击

防火墙的基本功能(防火墙完全可以替代路由器)

  1. 访问控制(ACL)
  2. 攻击防护

-----------------------------------------

  1. 冗余设计
  2. 路由交换
  3. 日志记录
  4. 虚拟专网VPN
  5. NAT

防火墙产品及厂家

防火墙产品:H3C U200(新华三)

渗透测试之防火墙_第1张图片

渗透测试之防火墙_第2张图片

渗透测试之防火墙_第3张图片

新建连接数:同一时间,创建的会话数

 

 

启明星辰

深信服

国外:思科,F5

************区域隔离*************

防火墙区域概念:

  • 内部区域(Inside/trust/Insight)
  • DMZ区域:成为‘隔离区’,‘非军事化区/停火区’
  • 外部区域(outside/untrust/outsigtht)
  • 渗透测试之防火墙_第4张图片

内网访问外网全部通过(单向策略),因为防火墙默认(不写策略的时候),默认都不能通过。

先将区域进行隔离,然后再写策略

 

正规的策略:

从内网到外网全部放行

从内网到DMZ全部放行

从DMZ到外网全部放行

 

为什么设置DMZ区域?

凡是对外发布的服务器都建议放在DMZ区域,绝对禁止从DMZ到inside写策略,设置DMZ区域,如果DMZ区域沦陷的话,由于防火墙,DMZ到Inside是全部禁止的,因而能够保证核心业余的安全性。

 

对于思科而言:内网 DMZ 外网 分别称为高 中 低

高区域向低区域走是放行的,反之需要写策略

渗透测试之防火墙_第5张图片

普通防火墙是第一道防线,可能是开通了外网到DMZ区域的一个策略,某个IP的80-端口可以被访问,但是想做进一步检查,想攻击web应用,第一道防火墙已经做不到了,因为已经写策略了,允许放行,没有能力基于五层检查,这个时候需要在这个服务器前面在放一个防火墙,也就是WEB应用防火墙(WAF)WAF的价格要比普通防火墙要贵,WAF一般放在内网,一般公司出口绝不会放WAF,这样做的好处:

公司的第一道防火墙先把大部分攻击干掉(因为开放策略的时候,只是一小部分流量进来了),例如你想攻击445端口,以小部分流量进来之后,其中存在一点点的带有攻击的流量,通过内网的防火墙(WAF)进行防护。

 

IPS(入侵防御系统)(根据特征库(病毒库)直接干掉进来之后的流量,将病毒什么的编成特征码,将特征码更新至数据库,只要进来的流量满足特征库,直接干掉)

IPS是牺牲性能来换取安全

渗透测试之防火墙_第6张图片

**************************************************************************

IPS很贵,一般小公司部署IDS(入侵检测系统),一般IDS是旁路分析,你该怎么通过怎么通过,我只是把所有的流量做了个备份,交给IDS慢慢分析,IDS最后生成一个报告。IDS只是给出预警,并不能进行防御

IPS 和IDS主要是做五层的防御,三层四层交给防火墙做第一道防御,里面可以配IPS,IDS或者WAF

渗透测试之防火墙_第7张图片

如果内网员工访问了非法或者带有病毒的网站,会有回包,但是防火墙认为判断为回包,并不会进行阻拦,这个时候有IPS就可以产生很好的防御效果。如上图所示,

IPS没有方向没有分区这么一说,只要通过就检测每个包是否有威胁。

***************************************************************************

防火墙的分类

  1. 按照防火墙的种类
  1. 硬件防火墙
  2. 软件防火墙

 

  1. 按技术实现
  1. 包过滤防火墙(已经被淘汰了,是不是回包无法检测)
  2. 状态检测防火墙
  3. 应用(代理)防火墙
  4. WAF防火墙
  5. 应用防火墙

应用代理防火墙(防火墙对外代理员工,对内代理服务器)

渗透测试之防火墙_第8张图片

应用网关型防火墙,也叫应用代理防火墙

每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。

优点:安全性高,检测内容

缺点:链接性能差,可伸缩性差

 

*********现在主流的防火墙-----状态检测防火墙*************

防火墙先做状态匹配,状态匹配永远是第一步,无论是进,还是出。

渗透测试之防火墙_第9张图片

有状态就能回,没有状态就是通过策略,但是策略就没有写。

渗透测试之防火墙_第10张图片

渗透测试之防火墙_第11张图片

############################################################################

防火墙的工作模式(适用于所有安全设备):

  1. 透明模式
  2. 路由模式
  3. 混杂模式

防火墙的工作模式及部署类型

渗透测试之防火墙_第12张图片

渗透测试之防火墙_第13张图片

渗透测试之防火墙_第14张图片

 

 

 

你可能感兴趣的:(2.0,渗透测试)