区域隔离,以防火墙的接口为中心定义区域,在防火墙中不同区域互访使用策略来进行控制
NGFW,下一代防火墙,除了是否对他通过进行判断,也可以对安全进行判断(例如是否是病毒,DDOS攻击),有了模块还需要买授权才可以使用,既能保证流量的通过,也要保证不安全的流量不能通过
防火墙的区域可以自己定义,与广播域、VLAN这类区域没有任何关系
安全诉求:外部网络安全隔离,内部网络安全管控,内容安全过滤,入侵防御,防病毒
为什么病毒越来越少了?因为360开始免费,之前的病毒一般是杀毒软件公司制作的,然后自己的杀毒软件可以杀掉,因此来赚取利益
普通电脑入侵的价值:灰产,家用电脑可以抓肉鸡,首先往电脑里装某个公司的软件,赚取公司的利益,或者卖给DDOS攻击的用户
防火墙根据设备形态分为:框式防火墙,盒式防火墙,软件防火墙,云计算防火墙(防火墙过少,使用软件防火墙,设备先将流量甩给防火墙,防火墙过滤后再给主机)
路由器的功能:IP编制寻址、异类网络的连接,路由表通过计算生成的,需要用到CPU
交换机:实现快速转发,三层交换机也是一次路由,多次转发,需要用到转发芯片
防火墙:NAT,可以流量控制和安全防护,区分和隔离不同的区域,多了一个SPU(安全的服务单元)
防火墙的发展历程
最早基于访问控制:ACL,每过来一个包就需要查一下
基于状态监测:基于五元组,看一下第一个包五元组,后面的包就不用监测
基于ASIC:提高了芯片转发
UTM统一威胁管理:来了数据包,一个模块一个模块的检测
多核+分布式架构:可以做集群
NGFW:下一代防火墙,把包拆掉过完所有模块检测功能,然后再合,一次解封,多次检查
AI防火墙:之前的防火墙是基于特征库进行检查,AI防火墙是AI检查(例如正常情况下是点击进入的网页,而黑客是直接输入了URL进入的网页)
防火墙的分类
包过滤防火墙:基于五元组对每个数据表进行检测(源地址,目的地址,端口号,协议,动作)
状态检测防火墙:考虑报文前后的关联性
AI防火墙:探针,把攻击报文交给CIS系统,也有蜜罐诱补系统,也有专门的沙箱负责运行不确定的程序,策略也不需要人为配置,CIS系统会自动下发
区域定义
防火墙默认有四个区域:Trust(信任区域)、untrust(非信任区)、DMZ(军事停火区域)、Local(本地区域)
防火墙的接口能够正常工作,接口必须要配置区域,任何情况下防火墙不配置区域是无法工作的
防火墙的所有接口永远属于Local区域
一个接口配置了DMZ区域,指的是这个接口连接了DMZ区域
安全区域,简称为Zone,防火墙大部分的安全策略都基于安全区域实施
对于Cisco的设备,流量从高优先级区域往低优先级区域走是不需要策略,直接放行。
对于Huawei设备,流量从任何区域到任何区域都需要策略
安全策略,是控制防火墙流量转发以及对流量进行内容安全一体化检测的策略
会话表的产生
会话表是有老化时间的,修改老化时间非常长的话称为长连接
ASPF,应用层包过滤功能,放行策略的时候,可以判断出是一个FTP协议,会触发ASPF的功能,会去读ABCDEF的信息,读完之后,就可以知道要开哪个随机端口要和对方的哪个端口进行连接,这个时候会生成一个Server-map的表项,设备会根据这个表项直接生成会话
1.登录 username:admin password:Admin@123 连线的时候不能连接防火墙的G0/0/0口,这个口用于管理防火墙 2.区域添加接口 firewall zone trust 进入到trust区域 add interface g1/0/0 将g1/0/0添加到区域 3.新建区域 firewall zone name dalong 新建一个dalong的区域 set priority 25 给区域配置优先级 add interface g1/0/1 添加接口,策略表的最后一条是拒绝所有 4.配置策略 security-policy 配置策略,使用五元组定义 rule name t2dalong source-zone trust destination-zone dalong source-address 1.1.1.100 32 destination-zone 2.2.2.100 32 service icmp access-autication permit 放行 5.会话列表 发出去的报文做记录,回来的话也放行 dis firewall session table dis firewall server-map 6.web界面 int g0/0/0 ip add 1.1.1.1 32 service-manage all
