huawei USG6001v1学习---防火墙相关知识(2)
目录
1.安全策略
2.防火墙的状态检测和会话表技术
3.FTP
4.用户认证
5.认证策略
1.安全策略
传统包过滤技术 --- 其本质就是ACL访问控制列表,根据数据包的特征进行过滤,对比规则,
执行对应的动作;
这里数据包的特征 --- 数据包的五元组 --- 源IP,目标IP,源端口,目标端口,协议
ACL功能-------1抓流量 2.对流量允许、拒绝
而安全策略 比ACL多一个对内容安全的识别
配置:
所有匹配项之间的关系是“与”,一条中如果可以多选,则多个选项之间为“或”关系
2.防火墙的状态检测和会话表技术
主要机制就是以数据流作为单位,仅针对首包进行检测,检测之后,将数据包的特征记录在本
地的会话表中,之后,数据流中的其他数据包来到防火墙,不再匹配安全策略,则匹配会话
表,根据会话表来进行转发
pc访问web服务器检测允许通过后,会建立会话,后面当web服务器回应pc直接就匹配会话,匹配成功则允许通过。
1,会话表技术;2,状态检测技术
会话表技术 作用: 提高转发效率的关键
老化机制
1,当会话表老化时间过长 会占用资源,导致一些会话无法正常建立
2,当老化时间过短 会导致一些需要长时间发送一次的报文强行终端,影响正常业务
查看会话和老化时间:
常见协议老化时间:
命令行查看
<USG6000V1>display firewall session table
状态检测技术:
1,检测数据包是否符合协议的逻辑顺序;
2,检查是否是逻辑上的首包,只有首包可以创建会话表。
这个首报可以理解为tcp三次握手的首包是SYN,如果首包不是SYN就丢弃,就不会创建会话表了
[USG6000V1]firewall session link-state tcp ?
check Indicate link state check
[USG6000V1]firewall session link-state tcp check --- 命令行中开启状态检测功能的命令,如果需
要关闭,则在该命令前面加undo
数据转发会查询会话表
ASPF --- 针对应用层的包过滤 --- 将识别到的端口信息记录在server-map的表中,在根据这
个表中的记录,创建会话表。
查看server-map表
3.FTP
FTP --- 文件传输协议
ASCII方式:用以传输文本文件(TXT、LOG、CFG )。发送端的字符在发送前被转换成ASCII码格式之后进行传输,接收端收到之后再将其转换成字符。
Binary方式(二进制):用以传输图像、声音、压缩文件等非文本文件(cc、BIN、EXE、PNG)。发送端在发送这些文件时无需转换格式,即可传输。
FTP还分为了两种工作模式 --- 主动模式,被动模式
主动模式
抓包:
192,168,1,2,8,2 --- IP地址为:192.168.1.2,端口号:8 * 256 + 2 = 2050
抓包:
-
主动模式: 服务器主动连接客户端的数据端口(21端口)。
-
被动模式: 服务器被动地等待客户端连接自己的数据端口(一个大于1024的端口)。
Tftp --- 简单文件传输协议
SSH File Transfer Protocol(SFTP)是建立在SSH(Secure Shell,安全外壳)协议之上的安全文件传输协议。相比于FTP和TFTP,SFTP提供了加密的通信通道,更适用于对安全性有较高要求的文件传输场景。
认情况下,FTP使用
20和 21这两个端口,其中 20用于数据连接(传递数据), 21用于控制连接(传递控制信息)。 4.用户认证
防火墙管理员认证 ---- 校验登录者身份合法性
用户认证 --- 上网行为管理中的一环
上网用户认证 --- 三层认证 --- 将用户和行为进行绑定
入网用户认证 --- 二层认证
接入用户认证 --- VPN --- 对身份合法性进行认证
认证方式
本地认证
服务器认证
单点登录 --- 和服务器认证的逻辑类似 
认证域 --- 可以定义用户的认证方式以及用户的组织结构
登录名 --- 用于登录的凭证,同一个认证域下不可以重复
显示名 --- 用来方便区分用户,不用的登录使用,可以重复,也不是必要项。
在到期之前,登录到期后不会强制下线,主动下线后,将无法再次登录
允许多人同时使用该账号登录
私有用户
公有用户
单向绑定 --- 该用户只能在设定的IP或者MAC或者IP/MAC的设备上登录,但该设备也可以让
其他用户登录
双向绑定 --- 该用户可以在设定的IP或者MAC或者IP/MAC的设备上登录,且其他用户不允许
在该设备上登录
安全组和用户组 --- 安全组和用户组都可以关联策略,但是,用户组关联的策略将递归执行,
即其下子用户组均需遵循策略,安全组不递归执行,只有选中的安全组执行策略。
5.认证策略
Portal --- 网页认证,在触发需要认证的流量后,将提供网页认证界面,需要在界面中输入用
户明和密码进行认证
免认证 --- 认证透明化,在符合单点登录或者IP/MAC双向绑定的前提下,可以不需要进行认
证环节,直接通过IP/MAC地址信息来追溯用户信息。
匿名认证 --- 通过流量中的IP地址来作为用户的身份标识,不需要输入用户名和密码
免认证和匿名认证不需要输入密码,但是从员工上网那一刻就已经被监视了,一些企业可以通过这种方法对员工进行上网行为管理。
Portal认证 --- 则认证策略里面的动作需要选择protal;
免认证 --- 则认证策略里面需要选择免认证
单点登录 --- 则认证策略里面也选择免认证
如果认证策略里面选择匿名认证,则不触发这里的认证方式
两个认证域之间是“或”的关系
tfp详细的原文链接:https://blog.csdn.net/DontDash/article/details/139929641