ファイアウォール知識学習(1)
基本知識
安全地帯
- セキュリティゾーン:1つ以上のインターフェイスのコレクション。これは、ファイアウォールをルーターと区別する主な機能です。Huaweiファイアウォールは、デフォルトで3つのセキュリティゾーン、つまりTrust(85)、DMZ(50)、Untrust(5)、およびファイアウォール自体のローカル(100)ゾーンを提供します。
- パケットが低レベルのセキュリティエリアから高レベルのセキュリティエリアに流れる場合はインバウンド方向であり、パケットが高レベルのセキュリティエリアから低レベルのセキュリティエリアに流れる場合はアウトバウンド方向です。 (アウトバウンド)。
- ファイアウォールはネットワークを分割し、セキュリティゾーンを通過するメッセージフローの「ルート」を識別します。メッセージが異なるセキュリティゾーン間を流れると、セキュリティチェックがトリガーされます。
セッションベースの状態検出
- 状態検出ファイアウォールは、接続状態に基づく検出メカニズムを使用し、2つの通信パーティ間で交換される同じ接続に属するすべてのメッセージをデータフロー全体として扱います。
- セッションは、ファイアウォール上の2つの通信パーティ間の接続の具体的な表現であり、2つの通信パーティの接続状態を表します。セッションは、通信パーティ間の接続を表します。
セキュリティポリシー
- 同じデータフローの場合、アクセスが開始される方向にセキュリティポリシーを適用するだけで十分であり、リバースパケットに
追加のポリシーは必要ありません。 - 同じデータフローの場合、最初のパケットのみがセキュリティポリシーに一致してセッションを確立し、後続のパケットはセッション転送に一致します。
- パケットフィルタリングのコアテクノロジーは、アクセス制御リストACLです。
- NGFWのセキュリティポリシーはグローバルに適用され、IPアドレスと同様に、セキュリティゾーンはオプションの一致条件としてのみ使用されます。
- ASPF(アプリケーション固有のパケットフィルター):アプリケーション層のパケットフィルタリングです。原則として、デバイスを通過するパケットのアプリケーション層プロトコル情報を検出し、一時的にネゴシエートされたデータ接続を記録します。これにより、一部のセキュリティポリシーは次のようになります。リリースするように明確に定義されていませんメッセージは通常どおり転送することもできます。次の図Server1はFTPサーバーであり、ASPFを示しています。
攻撃防止
シングルパケット攻撃
- 死のping
- ファイアウォールは、Ping of Death攻撃パケットを処理するときに、データパケットのサイズが65535バイトより大きいかどうかを判断します。データパケットのサイズが65535バイトより大きい場合は、攻撃パケットと判断され、直接破棄されます。
- 土地攻撃
- 土地攻撃とは、攻撃者が偽造されたTCPパケットを被害者に送信することを意味します。このTCPパケットの送信元アドレスと宛先アドレスは、どちらも被害者のIPアドレスです。これにより、被害者は自分のアドレスに応答メッセージを送信し、リソースを消費します。
- ファイアウォールは、ランドアタックパケットを処理するときに、TCPパケットの送信元アドレスと宛先アドレスが同じであるかどうか、またはTCPパケットの送信元アドレスがループバックアドレスであるかどうかを確認し、同じである場合は破棄します。
- IPアドレススキャン攻撃
- ファイアウォールは、受信したTCP、UDP、ICMPパケットを検出します。送信元IPアドレスの宛先IPアドレスが前のパケットの宛先IPアドレスと異なる場合、例外として記録されます。例外の数がを超える場合事前定義されたしきい値が設定され、送信元IPの動作はIPアドレススキャン動作と見なされ、ファイアウォールは送信元IPアドレスをブラックリストに追加します。
トラフィックタイプの攻撃:SYNFLOOD
- SYNフラッド攻撃に対応して、ファイアウォールは通常、防御のためにTCPプロキシとソース検出を使用します。
- TCPプロキシとは、ファイアウォールがクライアントとサーバーの間に配置されていることを意味します。クライアントからサーバーに送信されたSYNメッセージがファイアウォールを通過すると、ファイアウォールがサーバーに取って代わり、クライアントとの3者間ハンドシェイクを確立します。一般的に**パケットの前後のパスが一貫しているシナリオで使用されます**。❓メッセージパスに関する一貫した知識
- ソース検出
- ファイアウォールは、クライアントから送信されたSYNメッセージを受信すると、SYNメッセージを傍受し、間違ったシーケンス番号のSYN + ACKメッセージを偽造して、クライアントに応答します。
- クライアントが誤ったソースである場合、クライアントは間違ったSYN + ACKメッセージに応答しません。
- クライアントが実際の送信元から送信された通常の要求SYNパケットである場合、誤ったSYN + ACKパケットを受信すると、ファイアウォールが正しいSYN + ACKパケットを再送信するように、別のRSTパケットを送信します。ファイアウォールはRST後に受信します。メッセージの場合、クライアントは実際の送信元であると判断され、送信元がホワイトリストに追加されます。ホワイトリストが期限切れになる前に、この送信元から送信されたメッセージは正当なメッセージと見なされ、ファイアウォールは検証なしで直接それらを渡します。
- HuaweiのプロフェッショナルAntiDDoS機器は、TCP再送信メカニズムを使用して、「最初のパケット破棄」機能と「TCPソース検出」を組み合わせた防御方法を開始し、大量のトラフィックを伴うSYNフラッド攻撃に対処します。SYNパケットが群れに到着すると、プロのAntiDDoSデバイスは最初に受信したパケットを記録して直接破棄し、2番目の再送信パケットを待ちます。再送信されたメッセージを受信した後、再送信されたメッセージの送信元が検出されます。
フロー攻撃:UDPFLOOD
- UDPには、TCPには匹敵しない速度の利点があります。
- ファイアウォールがUDPフラッド攻撃から防御するための2つの主な方法があります:電流制限と指紋学習
- 制限
- 宛先IPアドレスに基づく現在の制限。つまり、特定のIPアドレスを統計オブジェクトとして取得し、このIPアドレスに到着するUDPトラフィックをカウントして制限し、余分な部分を破棄します。
- 宛先セキュリティゾーンに基づくフロー制限:つまり、特定のセキュリティゾーンが統計オブジェクトとして使用され、このセキュリティゾーンに到着するUDPトラフィックがカウントおよび制限され、余分な部分は破棄されます。
- セッションベースの電流制限:つまり、各UDPセッションのパケットレートがカウントされます。セッションのUDPパケットのレートがアラームしきい値に達すると、セッションがロックされ、このセッションにヒットする後続のUDPパケットがロックされます。 。すべて破棄されます。このセッションに3秒以上トラフィックがない場合、ファイアウォールはセッションのロックを解除し、このセッションにヒットした後続のパケットは引き続き通過できます。
- 指紋学習
- フィンガープリント学習は、クライアントからサーバーに送信されたUDPパケットのペイロードに大量の一貫したコンテンツがあるかどうかを分析することにより、UDPパケットが異常であるかどうかを判断することです。
アプリケーション層攻撃:DNS FLOOD
- 一般的なDNSフラッド攻撃は、一般に、攻撃者が存在しないドメイン名解決要求を多数DNSサーバーに送信し、DNSキャッシュサーバーが許可されたサーバーに解決要求を継続的に送信し、最終的にDNSの故障につながる場合です。サーバーをキャッシュし、通常の要求への応答に影響を与えます。
- DNSサーバーはTCP接続を使用するように設定できます。クライアントがDNSサーバーへのクエリ要求を開始すると、DNS応答メッセージにTCフラグが含まれます。TCフラグが1に設定されている場合は、TCPによるクエリが必要であることを意味します。私たちのファイアウォールは、このメカニズムを使用してDNSフラッド攻撃から防御します。
- 防衛フローチャート:
アプリケーション層攻撃:HTTP FLOOD
- 一般的なHTTPフラッド攻撃は、一般に、ハッカーがプロキシまたはゾンビホストを介してターゲットサーバーに多数のHTTPパケットを送信することを指します。これらの要求には、データベース操作URIまたはシステムリソースを消費するその他のURIが含まれます。目的はサーバーリソースを使い果たされ、応答しません。通常の要求。
- HTTPフラッドに対するファイアウォールの防御は、主にHTTPプロトコルでサポートされているリダイレクト方法に依存しています。たとえば、クライアントがサーバーからwww.sina.comを要求した場合、サーバーはクライアントをwww.sohu.comに変更するコマンドを返すことができます。 。このリダイレクトされたコマンドは、HTTPプロトコルスタックでは有効です。ファイアウォールの防御メカニズムは、この技術的なポイントを使用して、HTTPクライアントが実際のホストであるかどうかを検出することです。
- 防衛フローチャート:
NATの記事
ソースNAT
- NAT No-PAT / NAPT(PAT)
配置ip# 配置IP
int g0/0/0
ip add 192.168.0.1 24
# 加入安全域
firewall zone trust
add int g0/0/0
## 建立地址池
nat address-group 1 202.30.1.1 202.30.1.2
## 配置NAT策略
nat-policy interzone trust untrust outbound
policy 1
action source-nat
policy source 192.168.0.0 0.0.0.255
address-group 1 no-pat //ip变,端口不变
## 配置安全策略
policy interzone turst untrust outbound
policy 1
action permit
policy source 192.168.0.0 0.0.0.255
## 配置黑洞路由
ip route-static 202.30.1.1 255.255.255.255 NULL0
ip route-static 202.30.1.2 255.255.255.255 NULL0
- easy-ip:アウトバウンドインターフェイスアドレスモード
- スマートNAT(ハイエンドファイアウォールでのみサポート)
- Smart NATで使用されるアドレスプールにN個のIPが含まれ、そのうちの1つが予約済みアドレスとして指定され、他のN-1個のアドレスがセクション1(セクション1)を形成するとします。スマートNATは、NAT変換を実行するときに、最初にセクション1を使用してNAT No-PATタイプの変換を行います。セクション1のすべてのIPが占有された後、予約済みのIPがNAPTタイプの変換に使用されます。
- スマートNATは、NAT No-PAT機能の拡張として理解でき、ユーザー数の急増によって多数のユーザーがインターネットにアクセスできなくなるのを防ぎます。つまり、NATNo-の欠点を克服します。 PAT-限られたユーザーのみがインターネットにアクセスできます。アドレスプール内のIPの数よりも多い場合、後続のユーザーはインターネットにアクセスできず、パブリックIPが解放されるのを待つことしかできません(セッションエージング)。 。Smart NATがNAPT用のパブリックIPを予約すると、オンラインにする必要のある新規ユーザーの数に関係なく、SmartNATはニーズを満たすことができます。
- トリプルNAT(ハイエンドファイアウォールでのみサポート)
- 外部ネットワークのアクティブアクセスをサポートします。内部ネットワークホストが特定の外部ネットワークホストにアクティブにアクセスしたかどうかに関係なく、外部ネットワークホストがNAT変換後に内部ネットワークホストのアドレスとポートを知っている限り、アクティブにアクセスを開始できます。内部ネットワークホスト。
- 動的な外部ポートの整合性-NAT変換後のイントラネットホストのアドレスとポートは一定期間変更されません。この期間中、イントラネットホストはこのポストNATアドレスとポートを使用して外部ホストにアクセスします。ホストは、このNATアドレスとポートを介して内部ホストにアクセスすることもできます。
- 実装の原則の観点から、トリプルNATは、外部ホストがサーバーマップテーブルを介して内部ホストにアクティブにアクセスできるようにし、NAT変換関係が一定期間変更されないようにします。
NATサーバー
-
ソースNATは、プライベートネットワークユーザーがパブリックネットワークにアクセスするメッセージの送信元アドレスを変換します。サーバーがパブリックネットワークにサービスを提供する場合、プライベートネットワークへのアクセスを開始するのはパブリックネットワークユーザーであり、方向は逆です。そのため、NAT変換のターゲットもメッセージの送信元アドレスから宛先アドレスに変更されました。サーバーのアドレス変換のために、鮮やかな名前を付けました-NATサーバー(サーバーマッピング)。
-
32字真言
一正一反,出入自如 去反存正,自断出路 #[FW] nat server protocol tcp global 1.1.1.1 9980 inside 192.168.1.2 80 no-reverse //去反 一分为二,源进源回 虚实变换,合二为一 reverse-route next-hop next-hop-address //源进源回 [FW1] nat server protocol tcp global 1.1.1.1 9980 inside 10.1.1.2 80 vrrp 1 //虚实结合 合二为一
NATサーバーの基本
- ASPFサーバーマップエントリの動的エージングとは異なり、NATサーバーのサーバーマップエントリは静的です。NATサーバー構成が削除された場合にのみ、対応するサーバーマップエントリが削除されます。
- NATサーバーのポジティブおよびネガティブサーバーマップエントリの役割、構成コマンドでの2つの重要なパラメータno-reverseおよびvrrpの使用、およびマルチの構成方法について、より包括的かつ詳細に理解しています。アウトレットNATサーバー。