深信服下一代防火墙(不懂看过来!)
Posted _GUOGUO
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了深信服下一代防火墙(不懂看过来!)相关的知识,希望对你有一定的参考价值。
下一代防火墙
一、分类:
1.按照防火墙结构划分
单一主机防火墙
路由集成防火墙
分布式防火墙
2.按照防火墙技术划分:
包过滤防火墙:访问控制
应用代理防火墙:代理技术
状态监测防火墙:会话机制
UTM:多功能叠加
下一代NGAF:DFI
二、功能
1.访问控制
2.地址转换
3.网络环境支持
4.带宽管理功能
5.入侵检测和攻击防御
6.用户认证
7.高可用性
三、防火墙安全策略
1.定义
按一定规则对流量进行安全一体化检测
规则本质:包过滤:五元组
2.应用
对跨防火墙网络互访控制
对设备本身访问控制
3.分类
域间安全策略 域内安全策略
接口包过滤
四、性能指标
1.吞吐量 2.时延 3.丢包率 4.背靠背 5.并发连接数
下一代防火墙应对:安全可视 持续检测
复杂有针对性的攻击威胁平均检测时间是225天
五、下一代防火墙组网
1.支持模式:路由模式,透明模式,虚拟网线模式,混合模式,旁路模式
2.接口属性分:物理接口,子接口,VLAN接口,聚合接口
物理口:路由口(ADSL拨号),透明口,虚拟网线口(前三种可设WAN或非WAN属性),镜像口
3.接口工作区域划分:二层区域口,三层区域口,虚拟网线区域口
路由口(ADSL拨号):eth0为固定管理口,无法修改,管理地址为10.251.251.251/24 无法删除
聚合接口不支持旁路镜像 最多4
一个接口只属于一个区域
4.路由优先级:VPN路由>静态路由>策略路由>默认路由
六、终端安全检测和防御技术
1.基于应用控制策略
2.基于服务控制策略
3.计算机病毒:插入的能破话计算机功能或者毁坏数据自我复制的一组指令或程序。
4.步骤:潜伏阶段 传染阶段 触发阶段 发作阶段
5.防病毒网关:基于应用层过滤病毒
6.网关杀毒实现方式
代理扫描
流扫描
僵尸网络:分布式拒绝服务攻击程序将上万个沦陷的机器
七、服务器安全检测和防御技术
1.ddos攻击 : 分布式拒绝服务攻击
消耗带宽 消耗服务器性能 引发服务器宕机
2.DOS类型:
ICMP洪水攻击
UDP洪水攻击
DNS洪水攻击
攻击者通过发送大量所属协议的数据包到达占据服务端带宽,堵塞线路,导致服务端无法正常提供服务
SYN洪水攻击
攻击者利用tcp协议三次握手,攻击方大量发起请求包占用服务端资源,hi服务器资源耗尽,使服务端无法正常提供服务。
畸形数据包攻击
攻击方发送畸形攻击数据引发系统错误分配大量资源,让主机挂起甚至宕机。(ping一个大于他存储容量的数据包)
CC攻击
攻击者控制某些主机不停的发大量数据包让对方服务器资源耗尽,宕机奔溃,主要攻击页面的。
慢速攻击
是CC攻击变种,对任何一个开启http访问服务器http服务器,建立一个连接,指定一个的的content-length,然后以非常慢的速度发包。
持续建立,服务器资源被占满,导致拒绝服务。
3.IDS/IPS
IDS入侵检测系统 IPS 入侵防御系统
原理 特征识别,记录攻击行为,审计 特征识别,丢弃实时攻击数据
部署方式 旁路部署 路由,透明
安全属性 被动检测 主动检测
阻断攻击能力 弱 强
安全响应速度 滞后性 实时性
攻击数据能 能 否
否到达目标
4.IPS保护对象
保护客户端
保护服务器
IPS/WAF联动封锁 可访问AF控制台, 无法访问数据中心
5.WAF
web应用防护 web应用防火墙
6.防篡改主流技术
定时循环扫描技术(外挂轮询)
事件触发技术
核心内嵌技术
文件监控+二次认证
八、安全评估与动态检测技术
实时漏洞分析功能不支持集中管理
实时漏洞分析仅支持tcp协议,不支持udp协议分析,如dns服务
以上是关于深信服下一代防火墙(不懂看过来!)的主要内容,如果未能解决你的问题,请参考以下文章