学习啦>学习电脑>电脑安全>防火墙知识>

防火墙的基础知识科普

时间: 怀健0 分享

防火墙主要由四个部分组成:服务访问规则、验证工具、包过滤和应用网关。所有计算机的一切输入输出的网络通信和数据包都要经过防火墙。下面就让小编带你去看看防火墙的基础知识科普,希望能帮助到大家!

网络基础知识:TCP协议之探测防火墙

为了安全,主机通常会安装防火墙。防火墙设置的规则可以限制其他主机连接。例如,在防火墙规则中可以设置IP地址,允许或阻止该IP地址主机对本机的连接;还可以设置监听端口,允许或阻止其他主机连接到本地监听的端口。

为了清楚地了解目标主机上是否安装防火墙,以及设置了哪些限制,netwo__工具提供了编号为76的模块来实现。它通过发送大量的TCP[SYN]包,对目标主机进行防火墙探测,并指定端口通过得到的响应包进行判断。

如果目标主机的防火墙处于关闭状态,并且指定的端口没有被监听,将返回[RST,ACK]包。

如果目标主机上启用了防火墙,在规则中设置了端口,阻止其他主机连接该端口,那么在探测时将不会返回响应信息。如果设置为允许其他主机连接该端口,将返回[SYN,ACK]包。

如果在规则中设置了IP地址,并允许该IP地址的主机进行连接,探测时返回[SYN,ACK]包;当阻止该IP地址的主机进行连接,探测时将不会返回数据包。

由于它可以发送大量的TCP[SYN]包,用户还可以利用该模块实施洪水攻击,耗尽目标主机资源。

在主机192.168.59.131上对目标主机192.168.59.133进行防火墙探测。

1)向目标主机端口2355发送TCP[SYN]包,探测是否有防火墙。执行命令如下:

root@da__ueba:~# netwo__ 76 -i 192.168.59.133 -p 2355

执行命令后没有任何输出信息,但是会不断地向目标主机发送TCP[SYN]包。

2)为了验证发送探测包情况,可以通过Wireshark抓包进行查看,如图1所示。其中,一部分数据包目标IP地址都为192.168.59.133,源IP地址为随机的IP地址,源端口为随机端口,目标端口为2355。这些数据包是探测防火墙时发送的TCP[SYN]数据包。另一部分数据包源IP地址为192.168.59.133,目标IP地址为随机的IP地址,源端口为2355,目标端口为随机端口。这些数据包为对应的响应包。这里的响应包为[RST,ACK]包,表示目标主机的防火墙没有开启,并且目标主机没有监听2355端口。

3)目标主机没有开启防火墙时,如果监听了端口(如监听了49213端口),将会得到[SYN,ACK]响应包,如图2所示。其中,一部分数据包的源IP地址为192.168.59.133,目标IP地址为随机的IP地址,源端口为49213,目标端口为随机端口。这些数据包为对应的响应包。这里的响应包为第2次握手包,表示目标主机监听了49213端口。

4)当目标主机上开启了防火墙,再进行探测时,如果目标主机监听了端口,并且在防火墙规则中允许连接到该端口,那么将会收到[SYN,ACK]响应包。如果不允许连接到该端口,那么将不会返回任何响应数据包。例如,防火墙规则中不允许连接49213端口,那么在探测时,将只有TCP[SYN]包,如图3所示。其中,所有的数据包目标IP地址都为192.168.59.133,源IP地址为随机的IP地址,源端口为随机端口,目标端口为49213。这些数据包就是探测时发送的TCP[SYN]包。

5)目标主机的防火墙规则可能限制了特定IP地址的主机进行连接。那么,在进行探测时,其他IP地址的TCP[SYN]包会得到对应的[SYN,ACK]响应包,被限制的IP地址主机将不会收到响应包。捕获到的探测数据包,如图4所示。其中,伪造了大量的IP地址向目标主机发送的TCP[SYN]包。例如,第45个数据包为伪造主机19.182.220.102向目标主机192.168.59.133发送的探测包。第53个数据包为伪造主机223.145.224.217向目标主机192.168.59.133发送的探测包。

6)通过显示过滤器,过滤主机19.182.220.102的数据包,如图5所示。图中第45个数据包为发送的探测包,第283个数据包为对应的响应包[SYN,ACK]。这说明目标主机防火墙规则中没有限制主机19.182.220.102的连接。

7)过滤主机223.145.224.217的数据包,如图6所示。该数据包为进行探测发送的[SYN]包,主机IP地址为223.145.224.217,但是该数据包没有对应的响应包。这说明目标主机防火墙规则中限制了主机223.145.224.217的连接。

8)对目标主机实施洪水攻击,在攻击之前,在目标主机上查看所有端口的相关状态信息,如图7所示。其中,192.168.59.133:49213表示主机192.168.59.133开启了49213端口。状态列中的LISTENING表示该端口处于监听状态。

9)对目标主机进行洪水攻击,执行命令如下:

root@da__ueba:~# netwo__ 76 -i 192.168.59.133 -p 49213

10)再次在目标主机上查看所有端口的相关状态信息,如图8所示。图中显示了大量的地址192.168.59.133:49213,表示有大量的主机连接了主机的49213端口。其中,1.11.56.194:49356表示,主机1.11.56.194的49356端口连接了主机192.168.59.133的49213端口。

科普 l 防火墙的基础知识整理

一、基本特征

1、内外部网络之间的一切网络数据流都必须经过防火墙

2、只有符合安全策略的数据流的数据才能通过防火墙

3、防火墙本身就应该具备非常强的抗攻击和免疫力

4、应用层防火墙应该具备更精细的防护能力

5、数据库防火墙应该具备针对数据库恶意攻击的阻断能力

二、主要优点

1、防火墙具有强化安全策略的能力。

2、防火墙可以有效对Internet上的活动进行记录。

3、防火墙具有限制暴露用户点的能力,可以用来隔开网络中的网段,有效防止其中某一网段的出现问题时影响其他网段。

4、防火墙是一个检查站。所有输入输出的信息都必须通过防火墙的检查,确认安全才能通过,可疑的访问全都会被拒绝于门外。

三、基本功能

1.对进出网络的数据进行过滤

2.管理用户进出访问网络的行为

3.封堵禁止的业务

4.记录所有通过防火墙信息内容和活动

5.对网络攻击行为进行检测和告警

四、防火墙的分类

按照防火墙的实现方式可将防火墙分为下列几种:

1、包过滤防火墙:包过滤防火墙比较简单,但缺乏灵活性。而且包过滤防火墙每个包通过时都需要进行策略检查,一旦策略过多会导致性能的急剧下降。

2、代理型防火墙:安全性高,但开发成本也很高,如果每个应用都开发一个的代理服务的话是很难做到的。所以代理型防火墙需要针对某些业务应用,不适合很丰富的业务。

3、状态检测防火墙:属于高级通信过滤,在状态检测防火墙中,会维护着一个会话表项,通过Session表项就能判断连接是否合法访问,现在主流的防火墙产品多为状态检测防火墙。

论防火墙之基础知识

1.防火墙原理

通过匹配数据包中的源目IP地址及源目端口或者协议,地址转换及隐藏端口等,定义相应策略,从而实现需求及效果。

2.作用

2.1防止外部攻击,保护内网;

2.2在防火墙上做NAT地址转换(源和目的);

2.3基于源地址及目的地址应用协议及端口做策略规则,控制访问关系;

2.4限定用户访问特殊站点

2.5管理访问网络的行为

2.6做监管认证

3.部署位置(以Hillstone SG6000为例)

一般部署在出口位置,如出口路由器等,或者区域出口

4.接入方式

三层接入(需要做NAT转换,常用)

二层透明接入(透明接入不影响网络架构)

混合接入(一般有接口需要配置成透明模式,可以支持此模式)

5.安全域划分

5.1一般正常三个安全域untrust(外网)、trust(内网)、DMZ

5.2服务器网段也可自定义多个,外网接口ip地址:客户提供

5.3内网口ip地址:如果内网有多个网段,建议在中心交换机配置独立的VLAN网段,不要与内网网段相同。

5.4如果客户内网只有一个网段,没有中心交换机,则把防火墙内网口地址设置为客户内网地址段,并作为客户内网网关(使用于中小型网络)

5.5 DMZ口ip地址:建议配置成服务器网段的网关

配置基本思路:

配置安全域(默认三个安全域)

配置接口地址

配置路由

默认路由:其中指定的接口:untrust(外网)接口,如果有多个出口,可以在这选择不同的接口,其中网关为跟FW互联设备接口的地址,比如59.60.12.33是给电信给的出口网关地址。

静态路由:网关地址为下一跳地址,客户内部有多个VLAN,需要配置静态路由,比如客户内部有172.16.2.0/24,172.16.3.0/24等多网段,可以指定一条静态路由。

6.配置策略

Rule id 4

Action permit //动作允许

log session-start

log session-end

src-zone "untrust" //源安全域为untrust

dst-zone "trust" //目的安全域为trust

src-addr "________广场_10.126.242.3"

dst-addr "____系统_144.160.31.139"

service "Any"

description "______广场访问____系统"

e__it

//源地址______广场访问目的地址____系统

6.1配置安全域之间的允许策略

6.2配置trust到untrust的允许所有的策略

6.3配置DMZ到untrust的允许所有的策略

6.4配置trust到DMZ的允许所有的策略

6.5配置untrust到DMZ服务器的允许策略

6.6配置untrust到trust服务器的允许策略

(有时候有需求是从untrust访问trust内部地址的需求,同样要先做目的NAT,然后配置从untrust到trust的允许策略)

7.配置详细策略

一般为了使接口流量能够流入或者流出接口,将接口绑定到某个安全域下。

三层安全域,还需为接口配置ip地址,然后规定策略,多个接口可以绑定到一个安全域下,但是一个接口不能被绑定到多个安全域。

策略查询:

系统会根据数据包的源安全域、目的安全域、源ip地址及端口号和目的ip地址及端口号及协议等,查找策略规则,如果找不到策略,则丢弃数据包,如果找到相应的策略,则根据规则所定义的动作来执行,动作为允许、拒绝、隧道。

7.1配置策略规则

Address address1

Ip address 192.168.10.1 255.255.255.0

Policy from l2-trust2 to l2-untrust2

Rule from ipaddress1 to any service any permit //从地址1来的所有服务都允许通过

7.2安全域

Trust、untrust、DMZ、l2-trust、l2-untrust、l2-DMZ。

接口绑定到域,并且绑定到vswitch,二层和三层域决定了接口工作在二层模式还是三层模式。

创建vswitch2,创建二层安全域trust1,将trust1绑定到vswitch2中,再将eth0/0绑定到trust1中:

配置示例:

Vswitch vswitch2

Zone trust1 l2

Bind vswitch2

Int eth0/0

Zone trust1

配置安全域:

Zone +域名称

L2+指定所创建域为二层域

在全局模式下使用no zone+域名称则删除指定域

绑定二层域到vswitch,默认情况下,每一个二层域都被绑定到vswitch1中

7.3接口模式

物理接口:设备上eth0/0、eth0/1等都属于物理接口

逻辑接口:VLAN接口、环回接口、等属于逻辑接口。

二层接口:属于二层域以及VLAN的接口均属于二层接口

三层接口:属于三层域的接口都属于三层接口,只有三层接口在NAT/路由模式下工作。

8.Juniper?SSG-550M防火墙

使用Get system 查看版本信息等

使用Get interface查看接口状态,系统默认的登录用户名和密码都为netscreen

几个系统默认的安全区及接口:安全域中如无物理接口存在,则无实际意义。

Trust eth1口

Untrust eth4口

DMZ eth3口

接口模式

NAT模式

当流量从端口流入,再流出端口时,源地址会转换为接口的地址,不管策略中转换池有没有指定源地址转换,接口会进行转换,eth1口默认是NAT默认,使用时修改为router模式。

路由模式

(更加灵活,常用)当流量从端口流入,再流出端口时,如果在策略中转换池指定源地址转换了,则流出端口时会进行转换,如策略地址池中无源地址转换策略,则不会进行转换。

Juniper防火墙地址转换方式

MIP静态一对一地址转换

VIP虚拟一对多地址转换

DIP动态多对多地址转换

配置MIP和VIP时转换时有要求,转换后的地址必须是与eth1内网口地址所属同一网段,否则无法使用,而DIP不受此规则限制看,所以比较灵活。

1.QOS流量限制

作用:对流量进行限速,增加链路带宽

实现方式:先对需要限速的报文分类标记,然后进行流量策略匹配,将流策略和流行为进行绑定,然后应用于接口。

2.Ospf 10 area 1 使用OSPF协议

Ospf路由协议,手动配置,路由表自动生成

ospf协议特点:

1.1路由信息传递与路由计算分离

1.2无路由自环收敛速度快

1.3以带宽作为选路条件,更精确

1.4支持无类域间路由

1.5使用ip组播收发协议数据

1.6支持协议报文的认证

OSPF开销:

COST=参考带宽/实际带宽(参考带宽缺省100)

3.起子接口连接各支行

在接口下启用子接口,配置IP地址,连接各支行

4.做NQA检测

主要检测地市分行核心路由器到数据中心出口路由器,主备线路,当检测到主链路出现故障时,切换到备用链路上。

5.使用静态路由

静态路由,手动配置,路由表逐条添加

6.NTP时钟服务

设置NTP时钟服务器,同步各设备时间。

7.SSH远程登录

远程登录设备控制

8.静态NAT网络地址转换

可以针对源地址转换,针对目的地址转换。

防火墙的基础知识科普相关文章

防火墙的基础知识科普相关文章:

防火墙的基础知识大全有哪些

防火墙的详细介绍

【电脑知识】:防火墙的工作技术分类与基础原理是什么?

【电脑知识】:防火墙的三种工作模式是什么?

系统安全基础知识大全有哪些

网络基础知识汇总学习

【电脑知识】:防火墙性能的几个重要参数指标是什么?

【网络安全】:网络安全基础知识点汇总

认识网络的基础知识教程

什么是网络的基础知识

防火墙的基础知识科普

防火墙主要由四个部分组成:服务访问规则、验证工具、包过滤和应用网关。所有计算机的一切输入输出的网络通信和数据包都要经过防火墙。下面就让小编带你去看看防火墙的基础知识科普,希望能帮助到大家!网络基础知识:TCP协议之探测防火墙为了安全,主机通常会安装防火墙。防火墙设置的规则可以限制其他主机连接。例如,在防火墙规则中可以设置IP地址,允许或阻止该IP地址主机对本机的连接;还可以设置监听端口,允许或阻止其他主机连接到本地监听的端口。为了清楚地了解目标主机上是否安装防火墙,以及设置了哪些限制,netwo
推荐度:
点击下载文档文档为doc格式

精选文章

  • 防火墙的基础知识大全
    防火墙的基础知识大全

    什么是防火墙? 防火墙是使用一段"代码墙"把你的电脑和internet分隔开。它检查到达防火墙两端的所有数据包,无论是进入还是发出,从而决定该拦

737571