HCIE-SEC笔记-第四节-网络入侵和防火墙基础

等级保护：

网络安全：防火墙、VPN、准入控制

渗透测试：

防火墙：区域隔离和访问控制

数字与研究公司：用数据说话

IDC：国际数据公司

Gartner：著名的数字与咨询公司

弗雷斯特：

数世咨询：

安全牛：

奇安信：冬奥会安全产品

启明星辰：数据库审计、态势感知系统

深信服：下一代防火墙AF、SSLVPN产品、上网行为管理

绿盟科技：入侵防御系统、Anti Ddos

华为：防火墙

天融信：

2013年-华为-3com--惠普--清光紫光

防火墙：区域隔离和访问控制 思科、华为、Palo alto、飞塔、Checkpoint、山石、深信服等等

WAF:Web 应用防火墙，保护网站 Imperva

SVN：MPLSVPN、IPSec、L2TP、SSLVPN 深信服

IPS：入侵防御系统，串接，部署在网络出口 华为 绿盟

IDS：入侵检测系统，旁接，部署在网络内部

ASG：上网行为管理 深信服

漏洞扫描系统：

数据库审计：Oracle、SQL等 增删改查 启明星辰

Anti DDos：抵御DDos攻击 华为 绿盟

沙箱：基于大数据对流量进行分析的产品

蜜罐：

态势感知系统：天气预报 美国空军 军事 网络安全 网络现状 感知

安全控制器：

UMA:准入控制产品

日志审计系统：运维产品 事后的产品

探针：检测网络流量、对流量做分析

零信任：核心----准入控制

超融合：服务器

DDos攻击，分布式拒绝服务攻击：消耗网络带宽、消耗内存资源等

窃听攻击、欺骗攻击

病毒：可怕，自我复制，寄生，删除文件，破坏操作系统

恶意软件/流氓软件/灰色软件：频繁弹出广告、电脑流量主页被篡改【小马哥、KMS】

反病毒：反恶意代码

木马程序：

防火墙：管控、区域隔离和访问控制

防火墙部署位置：

企业出口-保护整个内网

服务器前面-专门保护服务器-做nat-隐藏服务器真实地址

核心位置-区域隔离和访问控制

状态检测，以色列Checkpoint公司，会话表

一般防火墙默认的策略是全部拒绝，所有区域直接，所有接口之间的流量都是不通的。

如果防火墙收到一个数据包，1、看策略 2、路由 3、会话表（源ip、目的ip、源端口、目的端口、协议号等等）---发出去

数据返回：1、是否有会话表，有，直接根据会话表返回。不看策略，当然会看路由。

2、没有会话表，没有，看策略，允许，放行，不允许，丢弃

在防火墙做区域间流量控制策略的时候，考虑初始流量。

ICMP echo---初始

ICMP echo-reply---后续

TCP：Flag位 仅仅只有SYN被置为---初始

UDP：一般没有初始和非初始一说

TCP(HTTP/Telnet/SSH/SNMP/SMTP/POP3/RDP/SMB等)，建立TCP三次握手

SYN：请求建立链接 -----始发

ACK：确认报文-------后续

FIN：请求断开链接----后续

Reset：踢掉----后续

URG：紧急指针-----告诉对方优先处理此数据---后续

Push：告诉对方尽快把数据从缓冲区取走，因为可能我要跟你断开链接---后续

华为防火墙默认存在的四个安全区域：（只是名字而已，可以自己创建）

内网区域：Trust

外网区域：Untrust

服务器区域：DMZ

防火墙本地：Local

一个接口只能属于一个区域，一个区域可以用多个接口。

默认情况下：所有区域之间的单播流量都不通，一个区域内部的多个接口之间默认是可以通的。

华为防火墙最基本的四个配置步骤（可以实现内部主机访问互联网）：

一、接口配置ip地址并且划分到安全区域

二、路由

三、网络地址转换-NAT

四、做策略放行你需要放行的流量

Window 2008 密码Test123

Windows 10 密码Test123

华为USG 命令行密码 admin，网页登陆用户名admin，密码Admin@123

华为AR路由器：

username：admin

password：admin@huawei.com

或者

username：super

password：super

或者

username：super

password：superman

命令配置：

第一步：配置接口IP地址，接口加入安全区域

system-view

Enter system view, return user view with Ctrl+Z.

[USG6000V2]sysname FW

[FW]undo info-center enable

[FW]user-interface console 0

[FW-ui-console0]idle-timeout 0

[FW-ui-console0]quit

[FW]int G1/0/0

[FW-GigabitEthernet1/0/0]ip add 192.168.1.1 24

[FW-GigabitEthernet1/0/0]quit

[FW]int G1/0/1

[FW-GigabitEthernet1/0/1]ip add 103.231.1.1 24

[FW-GigabitEthernet1/0/1]quit

[FW]int G1/0/2

[FW-GigabitEthernet1/0/2]ip add 10.1.1.1 24

[FW-GigabitEthernet1/0/2]quit

[FW]display zone //查看防火墙安全区域

[FW]firewall zone trust

[FW-zone-trust]add interface G1/0/0

[FW-zone-trust]quit

[FW]firewall zone untrust

[FW-zone-untrust]add interface G1/0/1

[FW-zone-untrust]q

[FW]firewall zone dmz

[FW-zone-dmz]add interface G1/0/2

[FW-zone-dmz]quit

第二步：配置路由

[FW]ip route-static 0.0.0.0 0.0.0.0 103.231.1.100

第三步：配置NAT

[FW]nat-policy

[FW-policy-nat]rule name Permit_Win10_Internet //WIN10访问Internet的数据，转换源IP

[FW-policy-nat-rule-Permit_Win10_Internet]source-zone trust

[FW-policy-nat-rule-Permit_Win10_Internet]destination-zone untrust

[FW-policy-nat-rule-Permit_Win10_Internet]source-address 192.168.1.0 24

[FW-policy-nat-rule-Permit_Win10_Internet]service icmp

[FW-policy-nat-rule-Permit_Win10_Internet]action source-nat easy-ip

[FW-policy-nat-rule-Permit_Win10_Internet]quit

[FW-policy-nat]dis this

2022-01-08 13:54:52.270

nat-policy

rule name Permit_Win10_Internet

source-zone trust

destination-zone untrust

source-address 192.168.1.0 mask 255.255.255.0

service icmp

action source-nat easy-ip

return

[FW-policy-nat]

第四步：配置策略

[FW]security-policy

[FW-policy-security]ru

[FW-policy-security]rule na

[FW-policy-security]rule name Permit_Win10_Internet //放行Win10访问互联网的ICMP数据

[FW-policy-security-rule-Permit_Win10_Internet]source-zone trust

[FW-policy-security-rule-Permit_Win10_Internet] destination-zone untrust

[FW-policy-security-rule-Permit_Win10_Internet] source-address 192.168.1.0 mask 255.255.255.0

[FW-policy-security-rule-Permit_Win10_Internet] service icmp

[FW-policy-security-rule-Permit_Win10_Internet]action permit

[FW-policy-security-rule-Permit_Win10_Internet]quit

[FW]security-policy

[FW-policy-security]rule name Permit_Win10_Win2008 //放行Win10访问WIN2008的ICMP数据

[FW-policy-security-rule-Permit_Win10_Win2008]source-zone trust

[FW-policy-security-rule-Permit_Win10_Win2008]destination-zone dmz

[FW-policy-security-rule-Permit_Win10_Win2008]source-address 192.168.1.100 32

[FW-policy-security-rule-Permit_Win10_Win2008]destination-address 10.1.1.100 32

[FW-policy-security-rule-Permit_Win10_Win2008]service icmp

[FW-policy-security-rule-Permit_Win10_Win2008]action permit

[FW-policy-security-rule-Permit_Win10_Win2008]quit

[FW-policy-security]dis this

2022-01-08 14:02:53.750

security-policy

rule name Permit_Win10_Internet

source-zone trust

destination-zone untrust

source-address 192.168.1.0 mask 255.255.255.0

service icmp

action permit

rule name Permit_Win10_Win2008

source-zone trust

destination-zone dmz

source-address 192.168.1.100 mask 255.255.255.255

destination-address 10.1.1.100 mask 255.255.255.255

service icmp

action permit

[FW]display firewall session table

[FW]display firewall session table verbose

总结：

1、网络入侵简介【病毒、恶意软件/流氓软件/灰色软件、木马、DDos】

2、防火墙基本理论【防火墙作用、防火墙和路由器区别、会话表】

3、华为防火墙默认四个安全区域以及华为防火墙基本配置【四步】

作业：

拓扑同课上一致

1、Win10属于Trust区域、WIN2008属于DMZ区域、Internet属于Untrust区域

2、地址断规划如图，Win10、Win2008、Intenet位X.X.X.100/24

FW接口地址位X.X.X.1/24

3、确保Win10可以Ping通8.8.8.8，并截图

4、确保Win10可以Ping通WIN2008，并截图

5、确保WIN2008不能ping通Win10，并截图

6、把display zone/display ip int bri/display ip routing截图

DMZ：军事隔离区、缓冲区

DMZ区域一般用来链接服务器区域，专门给访客来使用无线。

防火墙发展史：

包过滤防火墙：第一代防火墙 PIX

应用代理：华为WAF、思科WSA、思科ESA、深信服WOC广域网加速器等等

最安全的防火墙、识别应用层威胁，天生具备流量清洗

状态检测防火墙：Checkpoint，退出的状态检测--会话表【防火墙一大进步】---第三代防火墙

入侵防御系统--思科IPS4000

反病毒设备--思科AMP--瑞星--卡帕斯基

VPN----思科VPN3000

UTM（统一威胁管理）设备【上一代防火墙】：除了具备防火墙功能（狭义：区域隔离和访问控制）、IPS、AV、AC、VPN等等

思科 ASA防火墙（PIX、VPN3000、IPS4000）

华为 USG 2000 USG5000

飞塔 2008以前

下一代防火墙：Gartner定义的下一代防火墙

Palo alto 退出下一代防火墙

两点：1、识别用户、识别应用、识别内容 2、一体化安全策略

华为USG 6000+

深信服AC，上网行为管理：识别出邮件内容--加密

安全模块：解码 编码

华为：智能AI防火墙

1、可以与其他的安全设备联动--比如华为沙箱

2、具备自动智能学习能力

广义防火墙：区域隔离、访问控制、反病毒、入侵防御、文件过滤、内容过滤、URL过滤、VPN、上网行为管理等

光纤交换机和以太网交换机有啥区别：

前者一般连接存储和服务器

防火墙种类：

核心防火墙

网页安全防火墙----保护用户上网安全

邮件安全防火墙----保护收发电子邮件安全

web应用防火墙-----保护企业网站

介绍一下这几家公司:

思科防火墙：抵御威胁，最安全的防火墙，自带IPS的功能 Firepower 安全团队：Talos

Palo Alto：好 贵

飞塔Fortinet：性价比高 类似收集领域小米

华为：都挺好

山石网科：售后不错

Checkpoint：日志 报表 性能好

Juniper：

Netsceen：网屏

安全域：Netsceen