首页 > 其他分享 >安全HCIE_防火墙入侵防御

安全HCIE_防火墙入侵防御

时间:2023-10-20 11:23:53浏览次数:32  
标签:攻击 HCIE 防火墙 网络 DDoS 防御 入侵 签名

防火墙入侵防御

0. 入侵概述

· 入侵是指指未经授权而尝试访问信息系统资源、篡改信息系统中的数据,使信息系统不可靠或不能使用的行为。

· 入侵企图破坏信息系统的完整性、机密性、可用性以及可控性。

· 常见入侵手段如下:

1> 利用系统及软件的漏洞
2> DDoS攻击
3> 病毒及恶意软件安全威胁

特征、威胁 未授权访问 未授权篡改 未授权破坏
系统与软件漏洞

Y

Y Y
DDoS攻击威胁 Y   Y
病毒及恶意威胁 Y Y Y

· 什么是漏洞威胁?

1> 网络攻击者、企业内部恶意员工利用系统及软件的漏洞入侵服务器,严重威胁企业关键业务数据的安全。

 

· 什么是DDoS攻击?

1> Distributed Denial of Service,即分布式拒绝服务。

2> DDoS攻击是指攻击者通过控制大量的僵尸主机,向被攻击目标发送大量精心构造的攻击报文。

3> 造成被攻击者所在网络的链路拥塞、系统资源耗尽,从而使被攻击者产生拒绝向正常用户提供服务的效果。

4> 目前,互联网中存在着大量的僵尸主机和僵尸网络,在商业利益的驱使下,DDoS攻击已经成为互联网面 临的重要安全威胁。遭受DDoS攻击时,网络带宽被大量占用,网络陷于瘫痪;受攻击服务器资源被耗尽无 法响应正常用户请求,严重时会造成系统死机,企业业务无法正常运行。

 

· 什么是恶意代码入侵威胁?

1> 恶意代码包含病毒、木马和间谍软件等.

2> 恶意代码可感染或附着在应用程序或文件中,一般通过邮件或文件共享等方式进行传播。

3> 恶意代码入侵威胁包括以下特点:

[1] 浏览网页和邮件传输是病毒、木马、间谍软件进入内网的主要途径。
[2] 病毒能够破坏计算机系统,纂改、损坏业务数据。
[3] 木马使攻击者不仅可以窃取计算机上的重要信息,还可以对内网计算机破坏。
[4] 间谍软件搜集、使用并散播企业员工的敏感信息,严重干扰企业的正常业务。
[5] 桌面型反病毒软件难以从全局上防止恶意代码泛滥。

 

1. 入侵防御技术

· 入侵防御是一种安全机制,通过分析网络流量,检测入侵。

· 并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。

· 入侵防御功能通常用于防护来自内部或外部网络对内网服务器和客户端的入侵。

 

· 华为USG-IPS功能部署模式:接口对直路部署

1> 透明接入网络。

2> 优点:实时监控,提高安全性。

3> 缺点:增加转发延迟,降低转发效率,设备故障后会导致网络中断。

 

· 华为USG-IPS功能部署模式:旁路检测部署

1> 旁路检测。

2> 优点:设备故障不会影响现有网络,不会导致网络转发延迟。

3> 缺点:通过流量备份技术执行非实时监控,安全性较低。

 

· 华为USG-IPS功能部署模式:三层接口,激活IPS功能

1> 防火墙正常使用三层接口,做为各区域网关,通过激活并调用IPS功能也可以实现检测。

2> 优点:无需更改现有配置和增加物理连线,实时监控,安全性高。

3> 缺点:对设备性能要求高,增加转发延迟,降低转发效率,设备故障后会导致网络中断。

 

· 华为入侵检测实现机制(四块内容):

 

· 什么是签名?

1> 入侵防御签名用来描述网络中攻击行为的特征。

2> 防火墙通过将数据流和入侵防御签名进行比较来检测和防范攻击。

 

· 什么是签名过滤器?

1> 由于设备升级签名库后会存在大量签名,而这些签名是没有进行分类的。

2> 且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。

3> 签名过滤器是满足指定过滤条件的集合。

 

· 什么是例外签名?

1>由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些签名设置为与签名过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。

2> 例外签名的动作分为:
[1] 阻断:丢弃命中签名的报文并记录日志。
[2] 告警:对命中签名的报文放行,但记录日志。
[3] 放行:对命中签名的报文放行,且不记录日志。
[4] 添加黑名单:丢弃命中签名的报文,记录日志,并可将报文的源地址或目的地址添加至黑名单。

3> 例外签名的动作优先级高于签名过滤器。

 

· 入侵防御对数据流的处理

1> 当数据流命中的攻击防御模板中包含入侵防御模板时,设备将数据流送到入侵防御模块,并依次匹配入侵防御模板引用的签名。

 

标签:攻击,HCIE,防火墙,网络,DDoS,防御,入侵,签名
From: https://www.cnblogs.com/FFSec/p/17776620.html

相关文章

  • 山石防火墙HA配置--主备模式--命令行
    配置山石防火墙HA主备模式分为4部分 配置TRACK配置HA组配置HA链路检查状态1.配置track检测对象(非必须)主备设备配置相同configtrackha0interfacee0/1interfacee0/2 2.配置HA组属性主confighagroup0priority100    //优先级,值越小越优先preempt1   ......
  • 山石防火墙不同HA组需要配置不同的IP,不然接口地址MAC会冲突
    配置山石防火墙HA和管理地址,调试之后,发现管理地址不通。在网关设备上查看ARP信息,发现mac地址获取的位置不对,根据路径查询到另一组山石防火墙。接口MAC地址竟然一样!!!!!!!!!询问客服得知是因为HA配置问题,两组防火墙HAIP地址不能相同。接口MAC地址是根据这个进行计算的。这两组墙都配置......
  • 防火墙
                  ......
  • shein面试:nacos无入侵配置,做过吗,怎么做的?
    文章很长,且持续更新,建议收藏起来,慢慢读!疯狂创客圈总目录博客园版为您奉上珍贵的学习资源:免费赠送:《尼恩Java面试宝典》持续更新+史上最全+面试必备2000页+面试必备+大厂必备+涨薪必备免费赠送:《尼恩技术圣经+高并发系列PDF》,帮你实现技术自由,完成职业升级,薪......
  • kylin-verver firewalld 防火墙配置
    1.查看firewalld状态systemctlstatusfirewalldsystemctlstatusfirewalld.servicesystemctlis-activefirewalld2.firewalld服务开启:systemctlstartfirewalld关闭:systemctlstopfirewalld重启:systemctlrestartfirewalld3.开机自启systemctl......
  • 防火墙网络放行
    通常做设置时需要对指定的程序或端口进行防火墙放行@echooffrem设置需要启动的端口setOTHERPORT=1433,3389rem启用防火墙常规端口可以删除netshadvfirewallfirewalladdrulename="_Ping"dir=inprotocol=icmpv4action=allownetshadvfirewallfirewalladdr......
  • Ubuntu防火墙操作
    #查看防火墙状态ufwstatus#安装ufwapt-getinstallufw#开启ufwenable#关闭ufwdisable#开放指定端口ufwallow端口号#重启ufwreload关闭指定端口ufwdeleteallow端口号#设置默认访问权限,拒绝所有外部访问ufwdefaultdeny#开放指定ip所有......
  • 当防火墙开通策略后如何验证端口服务已经连通了?
    当防火墙开通策略后如何验证端口服务已经连通了?假设策略开通的没有问题。在源主机上进行测试:1.Windows下测试TCP端口格式:telnet【目的IP/域名】端口telnetwww.baidu.com443成功则会显示以下界面 telnetwww.baidu.com135失败则会显示以下界面 2.在Linux(cent......
  • 安全HCIE_防火墙高可靠性技术
    防火墙高可靠性技术0.高可靠解决方案(1)高可靠性技术背景·网络架构中硬件的不可靠主要源自于设备不可靠与链路不可靠两方面。·防火墙高可靠性技术分为两类:设备高可靠性和链路高可靠性。 (2)设备高可靠性·双机热备:两台防火墙组成双机热备,当一台防火墙发生故障时,另一台防......
  • linux 防火墙
    netstat是一个控制台命令,可用于监控本机的TCP/IP网络,获得路由表、网络连接以及所有网络接口设备的状态信息netstat-napt  查看监听的端口netstat-napt |grep5672  检查端口被那个进程占用ps6832查看进程的详细信息kill-96832终止进程常用的几个参数有:-a-n......