包过滤防火墙

一、防火墙基本概念 1、防火墙概念 防火墙是一个连接多个网络区域，基于策略限制区域间流量的网络边界设备。 2、防火墙类型 1）包过滤防火墙 缺点： 无法关联后续报文 无法解决多通道协议 无法检测应用层 2）状态检测防火墙 优点： 可以关联后续报文 解决多通道协议（ASPF） 解决检测应用层（内容安全） 3）代理服务器防火墙 缺点： 速度慢 升级困难 3、防火墙组网方式 1）路由模式 组网特点： 支持更多安全特性 对网络拓扑有所影响 2）透明模式 组网特点： 对网络拓扑透明 不需要更改组网 二、设备管理 1、登录方式 防火墙设备管理支持Console、SSH、Telnet、HTTP、HTTPS等方式，通常使用HTTPS方式来登录防火墙。 1）WEB方式登录 山石防火墙WEB登录默认使用Ethernet0/0或管理口MGT，通过https://192.168.1.1 登录账号和密码均为hillstone 2）Console登录 通过Console登录的账号和密码均为hillstone 2、账号管理 山石防火墙默认有四种管理员角色： 系统管理员 系统操作员 系统审计员 系统管理员（只读） 支持自定义管理员角色 创建管理员时，选择新建按钮，输入管理员名称、管理员角色、密码和登录类型 3、信任主机 信任主机即允许某个网段内主机登录管理防火墙，默认是任何主机都可以登录管理。配置窗口如下： 4

20199111 2019-2020-2 《网络攻防实践》第六周作业 1.实践内容 1.1安全模型 静态安全模型：对网络进行风险分析，制定相应的安全策略，然后采取安全技术作为防护措施，主要针对固定、静态的威胁和环境弱点。 PDR安全模型：基于闭环控制理论的时间动态可适应网络安全模型，以经典的网络安全不等式P>D+R（保护、检测、响应）为本质基础，并提出安全性可量化和可计算的观点。 P2DR安全模型：基于PDR安全模型提出，增加了Policy分析制定安全策略，并以此为核心，所有的防护、检测、响应都是依据安全策略实施的。 1.2防火墙技术 防火墙指的是置于不同的网络安全域之间，对网络流量或访问行为实施访问控制的安全组件或设备，达到保护特定网络安全域免受非法访问和破坏的安全目标 Linux系统中提供了开源的netfilter/iptables解决方案，可以帮助网络管理员在自己的网络中快速实施防火墙边界保护。具体提供： 检查控制进出网络的网络流量 防止脆弱或不安全的协议和服务 防止内部网络信息的外泄 对网络存取和访问进行监控审计 防火墙可以强化网络安全策略并集成其他安全防御机制 netfilter/iptables工作原理： 在nefilter/iptables防火墙系统中，netfilter组件位于Linux的内核空间中，实现了静态包过滤和状态报文检查(即动态包过滤)基本防火墙功能

20199122 2019-2020-2 《网络攻防实践》第六周作业 目录 20199122 2019-2020-2 《网络攻防实践》第六周作业 1.实践内容 1.1 安全模型 1.2 网络安全防范技术与系统 1.3 网络检测技术与系统 1.4 网络安全事件响应技术 2.实践过程 2.1防火墙的配置 2.2 实践：Snort 2.3 分析蜜网网关的防火墙和IDS/IPS配置规则 3.学习中遇到的问题及解决 4.实践总结 参考资料 1.实践内容 1.1 安全模型 动态可适安全模型基于闭环控制理论，典型模型是PDR模型和P 2 DR模型 PDR模型是基于时间的动态安全模型，如果信息系统的防御机制能够抵御入侵的时间P t ，能够超过检测机制发现的入侵时间D t 和响应机制有效应对入侵时间R t 之和，即P t >D t +R t ，则这个系统是安全的 P 2 DR模型：网络安全=安全策略（Policy）+防护策略（Protection）+实时检测（Detection）+实时响应（Response），其中安全策略是核心。 防护机制通常采用：防火墙、加密、身份认证和访问控制等。 检测技术：入侵检测和漏洞评估等。 响应措施：应急处理、备份恢复、灾难恢复等。 1.2 网络安全防范技术与系统 防火墙在网络协议栈的各个层次上实施网络访问控制机制，对网络流量和访问进行检查和控制

目录 一.概况 二、本周知识点总结 1.几种常用的安全模型（在网络安全与保密技术课上老师让整理过） 1.1.IATF 1.2.PPDR 1.3.OODA 2.防火墙技术 2.1.信息技术中防火墙的定义 2.2.防火墙分类 2.3.防火墙的功能 2.4.防火墙的缺陷 3.VPN技术 4.入侵检测技术与系统IDS 4.1.入侵检测的概念 4.2.入侵者分类 4.3.入侵检测系统的性能指标 4.4.入侵检测技术 5.入侵防御系统IPS 三、实践内容 1.防火墙配置 2.动手实践 snort 3.综合实践 分析蜜网网关的防火墙和IDS/IPS配置规则 四、疑难 一.概况 本次作业属于哪门课 网络攻防实践 作业要求 网络安全防护技术 收获 对于网络安全防护有了更深的认识，以前考计算机网络技术三级的时候书上介绍过一些防护措施，现在通过重复学习和动手实践更加深了记忆和知识点的掌握 二、本周知识点总结 1.几种常用的安全模型（在网络安全与保密技术课上老师让整理过） 1.1.IATF IATF 是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架，它提出了信息保障时代信息基础设施的全套安全需求。IATF创造性的地方在于，它首次提出了信息保障依赖于人、技术和操作来共同实现组织职能/业务运作的思想，对技术/信息基础设施的管理也离不开这三个要素。 IATF规划的信息保障体系包含三个要素： 人

iptables命令是Linux上常用的防火墙软件，是netfilter项目的一部分。可以直接配置，也可以通过许多前端和图形界面配置。 1.语法介绍 iptables(选项)(参数) 2.选项介绍 -t<表>：指定要操纵的表； -A：向规则链中添加条目； -D：从规则链中删除条目； -i：向规则链中插入条目； -R：替换规则链中的条目； -L：显示规则链中已有的条目； -F：清楚规则链中已有的条目； -Z：清空规则链中的数据包计算器和字节计数器； -N：创建新的用户自定义规则链； -P：定义规则链中的默认目标； -h：显示帮助信息； -p：指定要匹配的数据包协议类型； -s：指定要匹配的数据包源ip地址； -j<目标>：指定要跳转的目标； -i<网络接口>：指定数据包进入本机的网络接口； -o<网络接口>：指定数据包要离开本机所使用的网络接口。 iptables命令选项输入顺序 iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作 表名包括 raw：高级功能，如：网址过滤。 mangle：数据包修改（QOS），用于实现服务质量。 net：地址转换，用于网关路由器。 filter：包过滤，用于防火墙规则。

信息安全学习笔记（一）------防火墙技术 $1.定义： 位于可信网络之间与不可信网络之间并对二者进行流动的数据包进行检查的一台，多台计算机或路由器。 $2.防火墙的规则： 防火墙需要对内，外部网络之间的通信数据进行 筛选 ，那么其遵循的安全规则（安全策略）有如下两部分： 匹配条件：逻辑表达式，用于判断通信流量是否合法。 处理方式：接受，拒绝和丢弃。 即先判断是否符合规则，再决定如何处理。 $3.防火墙的优缺点： 1.优点： 可以完成整个网络安全策略的实施。防火墙可以把通信访问限制在可管理的范围内。 可以限制对某种特殊对象的访问，如限制某些用户对重要的服务器的访问。 审计功能。对网络连接的记录，历史记录，故障记录都有审计功能。 可以对有关人员发出警告。 使内部网络透明化。 2.缺点： 对于授权访问攻击，不经过它的攻击无效。 只对配置的规则有效，不能防止没有配置规则的访问。 不能防止针对设计有问题的系统的攻击。 $4.防火墙的核心技术： 包过滤技术 ：防火墙在网络层中根据数据包中包头信息有选择地实施允许通过或阻断。可以根据数据包的源地址，目的地址，TCP/UDP源端口号，TCP/UDP目的端口号以及数据包包头的各种标志位等因素。其核心是安全策略的筛选规则设计的。 本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口 。例如，作为防火墙的设备可能有两块网卡(NIC)

网络边界（Network Border） 网络边界是指内部安全网络与外部非安全网络的分界线。 　　由于 网络 中的泄密、攻击、病毒等侵害行为主要是透过 网络边界 实现，网络边界实际上就是网络安全的第一道防线。网络攻击入侵者通过互联网与内网的边界进入 内部网络 ，篡改存储的 数据 ，实施破坏，或者通过某种技术手段降低网络性能，造成网络的瘫痪。 　　 把不同安全级别的网络相连接，就产生了网络边界 。防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。非安全网络互联带来的安全问题与网络内部的安全问题是截然不同的，主要的原因是攻击者不可控，攻击是不可溯源的，也没有办法去“封杀”，一般来说 网络边界上的安全问题主要有下面几个方面： (信息泄密、入侵者的攻击、网络病毒、木马入侵) 1、 信息泄密 　　网络上的资源是可以共享的，但没有授权的人得到了他不该得到的资源，信息就泄露了。一般 信息泄密 有两种方式： 攻击者(非授权人员)进入了网络，获取了信息，这是从网络内部的泄密；合法使用者在进行正常业务往来时， 信息 被外人获得，这是从网络外部的泄密。 2、入侵者的攻击 　　互联网是世界级的大众网络，网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道)，篡改渠道，或实施破坏行为，造成你网络业务的瘫痪，这种攻击是主动的、有目的、甚至是有组织的行为。 3、网络病毒 　

1.防火墙的主要功能是实现网络隔离和访问控制 1）.不受信区域：一般指internet 2）.受信区域：一般指内网 3.）DMZ区域：放置公共服务器的区域，能接受外部访问，但不主动访问外部 Aspf:针对应用层的包过滤 2.Secpath 防火墙体系结构 型号： Secblade: 防火墙插卡 Secpath F100-C Secpath F100-S Secpath F100-M Secpath F100-A-S Secpath F100-A Secpath F100-E Secpath F1000-M Secpath F1000-S Secpath F1000-A Secpath F1000-E 100w并发连接，每秒新建5w连接 10G吞吐量 3.安全区域 在H3C SecPath防火墙上，判断数据传输是出方向还是入方向，总是相对高级别的一侧而言，即由高级别区域向低级别区域的数据流动为出方向，由低级别区域向高级别区域数据流动为入方向。 安全区域基本配置包括 1) 创建安全区域 2) 进入安全区域视图 3) 进入区域间视图 4) 为安全区域添加接口 5) 设置安全区域的优先级 缺省情况系，所有接口不属于任何安全区域。 一个接口只能属于一个安全区域。将接口加入到一个安全区域中前， 这个接口不能已经属于其他的安全区域，否则需要先将此接口从其他区域中删 缺省情况下

什么是防火墙 防火墙也被称为防护墙，它是一种位于内部网络与外部网络之间的网络安全系统，可以将内部网络和外部网络隔离。通常，防火墙可以保护内部/私有局域网免受外部攻击，并防止重要数据泄露。在没有防火墙的情况下，路由器会在内部网络和外部网络之间盲目传递流量且没有过滤机制，而防火墙不仅能够监控流量，还能够阻止未经授权的流量。 在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。 除了将内部局域网与外部Internet隔离之外，防火墙还可以将局域网中的普通数据和重要数据进行分离，所以也可以避免内部入侵。 防火墙的工作原理 防火墙有硬件防火墙和软件防火墙这两种类型，硬件防火墙允许您通过端口的传输控制协议（TCP）或用户数据报协议（UDP）来定义阻塞规则，例如禁止不必要的端口和IP地址的访问。软件防火墙就像互连内部网络和外部网络的代理服务器，它可以让内部网络不直接与外部网络进行通信，但是很多企业和数据中心会将这两种类型的防火墙进行组合

Linux占用的系统资源少，运行效率高，具有很好的稳定性和安全性，作为一种网络操作系统，需要部署防火墙，将内网安全地接入到Internet中。CentOS7的防火墙已经用firewalld 替代iptables。firewalld提供一个动态的管理的防火墙。支持IPV4和IPV6防火墙设置。 防火墙技术可用于可信网络(内网)和不可信网络(外网)之间建立安全屏障 防火墙技术 防火墙的作用 人们通常在内网和外网之间安装防火墙，形成一个保护层，对进出所有的数据进行监测，分析，限制，并对用户进行认证。防止有害信息进入受保护的网络，保护其安全。内网和外网之间传输的所有数据都要经过防火墙检查，只有合法数据才能通过。 防火墙的最主要的目的是确保受保护网络的安全，但它只是一种网络安全技术，存在局限性，例如不能防范绕过防火墙的攻击，不能防止收到病毒感染的软件或文件的传输，以及收到木马的攻击等，难以避免来自内部的攻击 防火墙按照防护原理分为包过滤路由器，应用网关和状态检测的防火墙；按照防护范围分为网络防火墙和主机防火墙。网络防火墙主要用来保护内网计算机免受来自网络外部的入侵，但并能保护内部网络及算你免受其来自本身和内网计算机的攻击，主机防火墙主要用于主机面受攻击。 防火墙的配置方案 一般来说，只有内网和外网连接时才需要防火墙，当然，在内部不同部门之间的网络有时也需要防火墙。嘴贱当的防火墙配置