渗透测试之防火墙
防火墻相關
防火墻的基本概念(安全防護功能網絡設備)
隔離設備,負責隔離網絡,將需要保護的網絡與不可信任網絡進行隔離,隱藏信息并進行安全防護
防火墻也可以配路由,屬于三層以上設備,能夠代替路由,和路由的根本區別是防火墻要做限制,防火墻的本質功能就是隔離,防火墻是默認所有都不能過,寫完策略之后,少部分能通過,路由是默認所有人都能過,寫完策略之后,一少部分人不能過。
泛洪攻擊,運營商清洗流量
Dos拒絕服務攻擊與DDOS分布式拒絕攻擊
防火墻的基本功能(防火墻完全可以替代路由器)
-----------------------------------------
防火墻產品及廠家
防火墻產品:H3C U200(新華三)
新建連接數:同一時間,創建的會話數
?
?
啟明星辰
深信服
國外:思科,F5
************區域隔離*************
防火墻區域概念:
- 內部區域(Inside/trust/Insight)
- DMZ區域:成為‘隔離區’,‘非軍事化區/停火區’
- 外部區域(outside/untrust/outsigtht)
內網訪問外網全部通過(單向策略),因為防火墻默認(不寫策略的時候),默認都不能通過。
先將區域進行隔離,然后再寫策略
?
正規的策略:
從內網到外網全部放行
從內網到DMZ全部放行
從DMZ到外網全部放行
?
為什么設置DMZ區域?
凡是對外發布的服務器都建議放在DMZ區域,絕對禁止從DMZ到inside寫策略,設置DMZ區域,如果DMZ區域淪陷的話,由于防火墻,DMZ到Inside是全部禁止的,因而能夠保證核心業余的安全性。
?
對于思科而言:內網 DMZ 外網 分別稱為高 中 低
高區域向低區域走是放行的,反之需要寫策略
普通防火墻是第一道防線,可能是開通了外網到DMZ區域的一個策略,某個IP的80-端口可以被訪問,但是想做進一步檢查,想攻擊web應用,第一道防火墻已經做不到了,因為已經寫策略了,允許放行,沒有能力基于五層檢查,這個時候需要在這個服務器前面在放一個防火墻,也就是WEB應用防火墻(WAF)WAF的價格要比普通防火墻要貴,WAF一般放在內網,一般公司出口絕不會放WAF,這樣做的好處:
公司的第一道防火墻先把大部分攻擊干掉(因為開放策略的時候,只是一小部分流量進來了),例如你想攻擊445端口,以小部分流量進來之后,其中存在一點點的帶有攻擊的流量,通過內網的防火墻(WAF)進行防護。
?
IPS(入侵防御系統)(根據特征庫(病毒庫)直接干掉進來之后的流量,將病毒什么的編成特征碼,將特征碼更新至數據庫,只要進來的流量滿足特征庫,直接干掉)
IPS是犧牲性能來換取安全
**************************************************************************
IPS很貴,一般小公司部署IDS(入侵檢測系統),一般IDS是旁路分析,你該怎么通過怎么通過,我只是把所有的流量做了個備份,交給IDS慢慢分析,IDS最后生成一個報告。IDS只是給出預警,并不能進行防御
IPS 和IDS主要是做五層的防御,三層四層交給防火墻做第一道防御,里面可以配IPS,IDS或者WAF
如果內網員工訪問了非法或者帶有病毒的網站,會有回包,但是防火墻認為判斷為回包,并不會進行阻攔,這個時候有IPS就可以產生很好的防御效果。如上圖所示,
IPS沒有方向沒有分區這么一說,只要通過就檢測每個包是否有威脅。
***************************************************************************
防火墻的分類
?
應用代理防火墻(防火墻對外代理員工,對內代理服務器)
應用網關型防火墻,也叫應用代理防火墻
每個代理需要一個不同的應用進程,或一個后臺運行的服務程序,對每個新的應用必須添加針對此應用的服務程序,否則不能使用該服務。
優點:安全性高,檢測內容
缺點:鏈接性能差,可伸縮性差
?
*********現在主流的防火墻-----狀態檢測防火墻*************
防火墻先做狀態匹配,狀態匹配永遠是第一步,無論是進,還是出。
有狀態就能回,沒有狀態就是通過策略,但是策略就沒有寫。
############################################################################
防火墻的工作模式(適用于所有安全設備):
防火墻的工作模式及部署類型
?
?
?
總結
- 上一篇: 2020京东双十一【全民营业,瓜分十亿】
- 下一篇: OpenCvSharp函数:Dilate