防御保护---安全策略

文章目录

一.安全策略概述

概述:

安全策略的作用:

包过滤防火墙的安全风险

 状态检测防火墙访问过程

安全策略与传统防火墙的区别

二.案例分析

 基础配置:(正常数通)

 安全策略配置

练习


一.安全策略概述

概述:

        防火墙安全策略的作用在于加强网络系统的安全性,保护网络免受恶意攻击、非法访问和数据泄露的威胁。它可以限制和控制网络流量,识别和阻止网络攻击,过滤和审查数据内容,提供安全的远程访问,并监控和记录网络活动。

安全策略的作用:

  1. 访问控制:防火墙通过在网络边界上设置访问规则,控制网络流量的进出,限制不必要的访问并阻止潜在的威胁。它可以根据源IP地址、目标IP地址、端口号和协议类型等信息来定义规则,仅允许经过授权的流量通过。

  2. 防止网络攻击:防火墙可以检测和阻止常见的网络攻击,如端口扫描、DDoS攻击、SQL注入和跨站脚本攻击等。它可以根据预定义的攻击模式或异常行为来识别和阻止恶意流量。

  3. 数据过滤和内容审查:防火墙可以根据设定的规则对网络流量进行内容过滤和审查。它可以检测和阻止包含敏感数据、恶意软件或违反政策的数据传输。这有助于保护网络系统免受数据泄露、恶意软件和非法内容的影响。

  4. 虚拟专用网络(VPN)安全:防火墙可以提供VPN服务,通过加密和隧道技术为远程访问用户提供安全的连接。它可以验证用户的身份并加密数据传输,确保远程访问的安全性和隐私性。

  5. 监控和日志记录:防火墙可以监控网络流量,记录和分析网络活动。它可以生成日志文件,记录访问尝试、攻击行为和异常流量等信息。这有助于及时检测和应对网络安全事件,并进行安全审计和调查。

具体流程如下图:

包过滤防火墙的安全风险

        包过滤防火墙的主要缺点是在检测攻击状态方面有限。它主要通过检查网络数据包的源和目的IP地址、端口号以及协议类型来判断是否允许数据包通过。这种方法容易被攻击者绕过,因为攻击者可以使用各种技术来隐藏其攻击的特征,例如使用动态IP地址、改变端口号或使用其他协议等。

状态检测防火墙

  • 命令行开启状态检测
[USG6000V1]display firewall session table --- 查看会话表
[USG6000V1]display firewall session table verbose -- 查看会话表详情
  • Web页面开启状态检测 

 状态检测防火墙访问过程

        状态检测防火墙引入了状态跟踪机制。它不仅仅检查每个数据包的源和目的地址、端口和协议等基本信息,还会记录每个连接的状态信息,以便能够识别和分析应用层协议的特征和上下文。

通过跟踪每个连接的状态,状态检测防火墙可以实施更精细的访问控制策略。它可以识别和过滤具有恶意意图的数据包,如针对特定应用层协议的攻击。此外,它还可以执行会话管理和应用层代理功能,以提供更高级的安全功能。

会话表概念

        会话表会将报文中的五元组进行哈希计算并利用哈希算法任意长度输入,定长输出的特点,哈希计算将这些属性结合起来生成一个唯一的哈希值,用于标识每个会话表项。这样,防火墙可以根据哈希值快速查找和识别会话表项,并对数据包进行相应的处理。

        会话表中的记录存在老化时间,若长时间没有流量经过防火墙从而触发会话表更新,该会话表将被删除;如果会话表中的记录被删掉之后,相同五元组的流量再通过防火墙,则应该由其首包重新匹配安全策略,创建会 话表,如果无法创建会话表,则将丢弃该数据流的数据。

安全策略与传统防火墙的区别

防火墙安全策略和传统防火墙列表在实现网络安全方面有一些区别。以下是一些主要的区别:

  1. 精细化的访问控制:传统防火墙列表通常基于IP地址、端口号等常规规则进行访问控制。而防火墙安全策略可以更灵活地基于更多因素来决定是否允许或禁止特定流量,例如应用程序、用户身份、数据包内容等。这样可以实现更精细化的访问控制。

  2. 上下文感知的安全策略:传统防火墙列表通常只能基于单个数据包进行决策,而防火墙安全策略可以基于整个会话的上下文信息来做出决策。这意味着它可以考虑到会话的历史、状态和目的地等信息,从而更全面地评估安全威胁。

  3. 内容过滤和检测:防火墙安全策略可以对数据包内容进行更深入的检测和过滤。它可以检测和拦截包含恶意代码、病毒、垃圾邮件等不安全内容的数据包。

  4. 适应性安全策略:防火墙安全策略可以根据实时的网络情况和威胁情报进行调整和更新。它可以通过学习网络流量模式和威胁情报来自动适应不断变化的安全环境。

总的来说,防火墙安全策略相对于传统防火墙列表具有更高的灵活性、精细化的访问控制、上下文感知的安全决策、内容过滤和适应性安全策略等优势,颗粒度更细致,这使得它能够更有效地保护网络免受各种威胁和攻击。

具体区别如下图:

二.案例分析

需求:

DMZ区存在两台服务器,现在要求生产区的设备仅能在办公时间(9:00 - 18:00)访问,办公区的设备全天都可以访问。

 基础配置:(正常数通)

  • SW3配置
[Huawei]sysname sw3	
[sw3]undo info-center enable 
Info: Information center is disabled.
[sw3]vlan 2
[sw3-vlan2]q
[sw3]vlan 3
[sw3-vlan3]q
[sw3]interface GigabitEthernet 0/0/2
[sw3-GigabitEthernet0/0/2]port link-type access 	
[sw3-GigabitEthernet0/0/2]port default vlan 2
[sw3-GigabitEthernet0/0/2]q
[sw3]interface GigabitEthernet 0/0/3
[sw3-GigabitEthernet0/0/3]port link-type access 
[sw3-GigabitEthernet0/0/3]port default vlan 3
[sw3-GigabitEthernet0/0/3]q
[sw3]interface GigabitEthernet 0/0/1
[sw3-GigabitEthernet0/0/1]port link-type trunk 
[sw3-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
  •  FW1配置
[USG6000V1]interface GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 169.254.93.22 16
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
  • 防火墙管理DMZ区域的接口

  • 分别创建两个安全区域对应办公区和生产区

  •  创建子接口分别对应办公区以及生产区

 

  • 完成剩余设备基础配置实现正常通信

 安全策略配置

注:未设置任何安全策略时防火墙默认采用拒绝所有访问的策略

  • 新建生产区域和DMZ区域的安全策略

:新建策略中顶栏有策略模板可供使用,提高生产效率

注:下述条件为安全策略中的条件匹配,各条件之间是“”的关系

  •  配置生产区策略满足:生产区的设备仅能在办公时间(9:00 - 18:00)访问

 验证生产区域安全策略是否生效

  •  配置办公区域安全策略:办公区的设备全天都可以访问。

  •  验证办公区域安全策略是否生效

 


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/650901.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

OpenAI API 的最新动态:新一代的嵌入模型,更新 GPT-4 Turbo,更新 GPT-3.5 Turbo 以及降低 API 价格

文章目录 一、前言二、主要内容三、总结 🍉 CSDN 叶庭云:https://yetingyun.blog.csdn.net/ 一、前言 OpenAI 正在推出新一代嵌入模型、新的 GPT-4 Turbo 和审查模型、新的 API 使用管理工具,而且很快就会降低 GPT-3.5 Turbo 的价格。 OpenAI…

vuepress搭建个人博客以及部署

vuepress,Vue 驱动的静态网站生成器,以 Markdown 为中心的项目结构,以最少的配置帮助你专注于写作。 vuepress官网 vuepress存在很多主题,也可以自定义设计主题,上传npm使用 这里采用vuepress-theme-hope主题模板进行制…

移动端应用(APP)如何设计测试用例?

为 APP 设计测试用例需要考虑移动设备的特殊性,如不同的操作系统、设备尺寸、硬件特性以及应用程序自身的特定功能。 以下是为APP设计测试用例时要考虑的内容: 1. 理解需求 熟悉APP的功能需求、用户故事和设计文档。 确定APP的目标用户群体、使用场景…

Leetcode刷题笔记题解(C++):1114. 按序打印(多线程)

思路: 保证A,B,C三个线程的顺序不会变,即优先级顺序的问题 A,B需要资源1,B,C需要资源2 A先占用资源1和资源2,A线程完了之后释放资源1不释放资源2,然后B线程占用资源1,A线程完了之后释放资源1和资源2&…

C++ 11 多线程库初步学习

在C11标准中&#xff0c;可以简单通过使用thread库&#xff0c;来管理多线程。 thread库可以看做对不同平台多线程API的一层包装&#xff1b;因此使用新标准提供的线程库编写的程序是跨平台的。 使用时需要#include <thread>头文件&#xff1b; #include <iostream&g…

Wpf 使用 Prism 实战开发Day16

客户端使用RestSharp库调用WebApi 动态加载数据 在MyDoTo客户端中&#xff0c;使用NuGet 安装两个库 RestSharp Newtonsoft.Json 一. RestSharp 简单的使用测试例子 当前章节主要目的是&#xff1a;对RestSharp 库&#xff0c;根据项目需求再次进行封装。下面先做个简单的使用…

Python语言入门到精通之练习实例15:利用条件运算符的嵌套来完成此题:学习成绩>=90分的同学用A表示,60-89分之间的用B表示,60分以下的用C表示。

题目&#xff1a;利用条件运算符的嵌套来完成此题&#xff1a;学习成绩>90分的同学用A表示&#xff0c;60-89分之间的用B表示&#xff0c;60分以下的用C表示。 程序分析&#xff1a;程序分析&#xff1a;(a>b) ? a:b 这是条件运算符的基本例子。 程序源代码&#xff1…

瑞丽杂志引领潮流,VOSS眼镜概念店开启奢华新纪元!

近日&#xff0c;由《瑞丽》杂志社举办的2023第4届瑞丽轻奢品牌大赛&#xff0c;以“轻奢•悦藏”为主题的大赛已圆满结束&#xff0c;VOSS眼镜荣获&#xff1a;2023瑞丽轻奢品牌大赛「轻奢时尚风格奖」&#xff0c;作为眼镜行业唯一获此奖项的品牌&#xff0c;VOSS眼镜对此表示…

LeetCode.11. 盛最多水的容器

题目 题目链接 分析 这道题的意思就是让我们找两个下标&#xff0c;以这两个下标组成的线为底&#xff0c;高度取这两个位置对应数字的最小值为高&#xff0c;组成一个长方形&#xff0c;求长方形最大的面积可以为多少。 暴力的解法是什么&#xff1f;&#xff1f;&#xf…

Spring Boot 访问数据库——JdbcTemplate

① Spring Boot 框架为 SQL 数据库提供了广泛的支持&#xff0c;既有用 JdbcTemplate 直接访问 JDBC&#xff0c;同时支持“object relational mapping”技术&#xff08;如 Hibernate、MyBatis&#xff09;。Spring Data 独立的项目提供对多种关系型和非关系型数据库的访问支持…

VUE中,跳转页面之前判断并显示弹框组件

VUE中&#xff0c;跳转页面之前判断并显示弹框组件。 涉及到路由守卫、数据交互。有空我在完善&#xff0c;先直接给出代码 代码使用了 element plus、vuex 案例代码 路由文件 import { createRouter, createWebHistory } from vue-router; import CommonEntry from /views/…

取消Vscode在输入符号时自动补全

取消Vscode在输入符号时自动补全 取消Vscode在输入符号时自动补全问题演示解决方法 取消Vscode在输入符号时自动补全 问题演示 在此状态下输入/会直接自动补全, 如下图 笔者想要达到的效果为可以正常输入/而不进行补全, 如下图 解决方法 在设置->文本编辑器->建议, 取消…

以太网的 MAC 层

目录 1. MAC 层的硬件地址 48 位的 MAC 地址 2. MAC 帧的格式 以太网 V2 的 MAC 帧格式 无效的 MAC 帧 IEEE 802.3 MAC 与以太网 V2 MAC 帧格式的区别 1. MAC 层的硬件地址 硬件地址又称为物理地址&#xff0c;或 MAC 地址。 IEEE 802 标准为局域网规定了一种 48 位…

Acwing801二进制中1的个数

题目 给定一个长度为 n 的数列&#xff0c;请你求出数列中每个数的二进制表示中 11 的个数。 输入格式: 第一行包含整数 n 第二行包含 n 个整数&#xff0c;表示整个数列。 输出格式: 共一行&#xff0c;包含 n 个整数&#xff0c;其中的第 i 个数表示数列中的第 i 个数的…

HTML你要知道哪些语法?

表格 表格的主要作用 1.表格主要用于显示、展示数据&#xff0c;因为它可以让数据显示的非常的规整&#xff0c;可读性非常好。特别是后台展示数据的时候&#xff0c;能够熟练运用表格就显得很重要。一个清爽简约的表格能够把繁杂的数据表现得很有条理 2.表格不是用来布局页…

【Kafka】高级特性:主题

目录 主题的管理创建主题查看主题修改主题删除主题 增加分区分区副本的分配必要参数配置KafkaAdminClient应用功能操作示例 主题的管理 使用kafka-topics.sh脚本。 下面是使用脚本的一些选项 选项说明–config <String: namevalue>为创建的或修改的主题指定配置信息。…

C语言常见面试题:什么是枚举,枚举的作用是什么?

枚举是一种特殊的数据类型&#xff0c;它是一组具命名的整型常量的集合。枚举的作用如下&#xff1a; 限制用户不能随意赋值&#xff1a;枚举类型可以限制用户只能使用定义时列举的值进行赋值&#xff0c;而不能随意赋值。这样可以增加代码的可读性和可维护性。方便管理公共的…

[题单练习] 大模拟题

看完题后不知所措 P1058 [NOIP2008 普及组] 立体图 - 洛谷 | 计算机科学教育新生态 (luogu.com.cn) 简单来说&#xff0c;题目要我们按照输入&#xff0c;把立体图画出来&#xff0c;先放张图来震撼一下 看题解&#xff0c;题解的思路如下&#xff1a; 1. 先把一个积木块存入…

栈和队列的动态实现(C语言实现)

✅✅✅✅✅✅✅✅✅✅✅✅✅✅✅✅ ✨✨✨✨✨✨✨✨✨✨✨✨✨✨✨✨ &#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1…

图像与二进制数据间的转换

概述 此文档主要是记录图像与二进制互相转换的方法&#xff0c;此文档记录于20220811 进行图片和二进制的互相转换 若想转为base64&#xff0c;可以看 图像与base64互转 的内容。 Python 资料&#xff1a;python 图片和二进制转换的三种方式_脸不大的CVer的博客-CSDN博客_p…