防火墙技术

SSL ***背景  企业出差员工，需要在外地远程办公，并期望 能够通过Internet随时随地的远程访问企业内部资源 。同时，企业为了 保证内网资源的安全性 ，希望能对移动办公用户进行多种形式的身份认证， 并对移动办公用户可访问内网资源的权限做精细化控制  IPSec、L2TP等先期出现的***技术虽然可以支持远程接入这个应用场景，但这些***技术的组网不灵活；移动办公用户 需要安装指定的客户端软件（SecoClient） ，导致网络部署和维护都比较麻烦； 无法对移动办公用户的访问权限做精细化控制  SSL ***作为新型的 轻量级 远程接入方案，可以有效地解决上述问题，保证移动办公用户能够在企业外部安全、高效的访问企业内部的网络资源  FW作为企业出口网关连接至Internet，并向移动办公用户（即出差员工）提供SSL ***接入服务。移动办公用户使用终端（如便携机、PAD或智能手机）与FW建立SSL ***隧道以后，就能通过SSL ***隧道远程访问企业内网的Web服务器、文件服务器、邮件服务器等资源 传统***存在的问题  IPSec ***可安全 、稳定地在两个网络间传输数据，并保证数据的完整无缺，适用于处理总公司与分公司之间的信息往来及其他 Site-to-Site 应用场景 由于IPSec是基于网络层的协议，很难穿越NAT和防火墙

动态ACL 拓扑以及地址规划 实验前确保网络连通 1.配置Dynamic ACL （1）配置默认不需要认证就可以通过的数据，如telnet r1(config)#access-list 100 permit tcp an an eq telnet (2)配置认证之后才能通过的数据，如ICMP，绝对时间为2分钟。 r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any r1(config)#int f0/0 r1(config-if)#ip access-group 100 in 测试内网R2 telnet外网以及内网R2 ping外网R4 说明内网在没有认证之前，ICMP是无法通过的 3.配置本地用户数据库 r1(config)#username ccie password cisco 4.配置所有人的用户名具有访问功能 r1(config)#line vty 0 181 r1(config-line)#login local r1(config-line)#autocommand access-enable R2内网认证前后的内网到外网的ICMP结果对比 可知认证后的ICMP包允许通过 查看ACL状态 r1#show ip access-lists 来源： https://www.cnblogs

自反 ACL实验配置 拓扑图 R4为外网，R2和R3为内网。 地址表 Device Interface IP address R1 F 0/0 10.1.34.1 F 0/1 14.1.34.1 R2 F 0/0 10.1.34.2 R3 F 0/0 10.1.34.3 R4 F 0/0 14.1.34.4 先在R2、R3 与 R4上配置配置静态路由 R2(config)#ip route 14.1.34.0 255.255.255.0 10.1.34.1 R3(config)#ip route 14.1.34.0 255.255.255.0 10.1.34.1 R4(config)#ip route 10.1.34.0 255.255.255.0 14.1.34.1 配置静态路由完成，路由之间互通，即可做自反 ACL 1.配置拒绝外网主动访问内网 说明： 拒绝外网主动访问内网，但是 ICMP可以不受限制 （ 1）配置允许ICMP可以不用标记就进入内网，其它的必须被标记才返回 R1(config)#ip access-list extended come R1(config-ext-nacl)#permit icmp any any R1(config-ext-nacl)#evaluate abc （ 2）应用ACL R1(config)#int f0/1 R1(config-if

Nmap下载地址： http://pan.baidu.com/s/1jGB4ZeI Nmap是一款网络扫描和主机检测的非常有用的工具。Nmap是不局限于仅仅收集信息和枚举，同时可以用来作为一个漏洞探测器或安全扫描器。它可以适用于winodws,linux,mac等操作系统 Nmap是一款非常强大的实用工具,可用于：检测活在网络上的主机（主机发现）检测主机上开放的端口（端口发现或枚举）检测到相应的端口（服务发现）的软件和版本检测操作系统，硬件地址，以及软件版本检测脆弱性的漏洞（Nmap的脚本）Nmap是一个非常普遍的工具，它有命令行界面和图形用户界面。本人包括以下方面的内容:介绍Nmap扫描中的重要参数操作系统检测Nmap使用教程Nmap使用不同的技术来执行扫描，包括：TCP的connect（）扫描，TCP反向的ident扫描，FTP反弹扫描等。所有这些扫描的类型有自己的优点和缺点，我们接下来将讨论这些问题。 Nmap的使用取决于目标主机,因为有一个简单的（基本）扫描和预先扫描之间的差异。我们需要使用一些先进的技术来绕过防火墙和入侵检测/防御系统，以获得正确的结果。下面是一些基本的命令和它们的用法的例子：扫描单一的一个主机，命令如下： 代码如下: #nmap nxadmin.com#nmap 192.168.1.2 扫描整个子网,命令如下: 代码如下: #nmap 192.168.1

一、什么是端口？ 在开始讲什么是端口（port）之前，我们先来聊一聊什么是 port 呢？常常在网络上听说『我的主机开了多少的 port ，会不会被入侵呀！？』或者是说『开那个 port 会比较安全？又，我的服务应该对应什么 port 呀！？』呵呵！很神奇吧！怎么一部主机上面有这么多的奇怪的 port 呢？这个 port 有什么作用呢？！ 由于每种网络的服务功能都不相同，因此有必要将不同的封包送给不同的服务来处理，所以啰，当你的主机同时开启了 FTP 与 WWW 服务的时候，那么别人送来的资料封包，就会依照 TCP 上面的 port 号码来给 FTP 这个服务或者是 WWW 这个服务来处理，当然就不会搞乱啰！（注：嘿嘿！有些很少接触到网络的朋友，常常会问说：『咦！为什么你的计算机同时有 FTP、WWW、E-Mail 这么多服务，但是人家传资料过来，你的计算机怎么知道如何判断？计算机真的都不会误判吗？！』现在知道为什么了吗？！对啦！就是因为 port 不同嘛！你可以这样想啦，有一天，你要去银行存钱，那个银行就可以想成是『主机』，然后，银行当然不可能只有一种业务，里头就有相当多的窗口，那么你一进大门的时候，在门口的服务人员就会问你说：『嗨！你好呀！你要做些什么事？』你跟他说：『我要存钱呀！』，服务员接着就会告诉你：『喝！那么请前往三号窗口！那边的人员会帮您服务！

================================================================================== from: http://www.ibm.com/developerworks/cn/linux/kernel/l-netbr/index.html ALinux网桥的实现分析与使用 文档选项 未显示需要 JavaScript 的文档选项 打印本页 将此页作为电子邮件发送 级别： 初级 祝顺民 ( [email=getmoon@163.com?subject=ALinux%E7%BD%91%E6%A1%A5%E7%9A%84%E5%AE%9E%E7%8E%B0%E5%88%86%E6%9E%90%E4%B8%8E%E4%BD%BF%E7%94%A8&cc=]getmoon@163.com[/email] ) XML error: Please enter a value for the author element's jobtitle attribute, or the company-name element, or both. 2004 年 3 月 09 日 本 文分析了linux 2.4.x内核的网桥的实现方法，并且描述了如何使用2.4中的网桥。网桥，类似于中继器，连接局域网中两个或者多个网段

配置基本配置并实现全网互通 R1： interface GigabitEthernet0/0/0 ip address 172.16.85.1 255.255.255.0 interface GigabitEthernet0/0/1 ip address 172.17.85.1 255.255.255.0 ip route-static 172.18.85.0 255.255.255.0 172.17.85.2 [R1]user-interface vty 0 4 //配置telnet登陆 [R1-ui-vty0-4]set authentication password cipher admin [R1-ui-vty0-4]user privilege level 15 [R1]ip pool 1 //创建172.16.85.0/24网段的地址池 Info: It's successful to create an IP address pool. [R1-ip-pool-1]network 172.16.85.2 mask 24 [R1-ip-pool-1]gateway-list 172.16.85.1 [R1-ip-pool-1]lease day 1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]dhcp select global

一个计算机最多有65535个端口，端口不能重复 常用端口号： IIS（HTTP）：80 SQLServer：1433 Oracle：1521 MySQL：3306 FTP：21 SSH：22 Tomcat：8080 常用和不常用端口一览表 端口：0 服务：Reserved 说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。 www.2cto.com 端口：1 服务：tcpmux 说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。 端口：7 服务：Echo 说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。 www.2cto.com 端口：19 服务：Character Generator 说明：这是一种仅仅发送字符的服务

在ASA防火墙配置NAT分为4种类型：动态NAT、动态PAT、静态NAT、静态PAT。 结合实验拓补来了解如何配置这四种NAT类型： 基本配置已经配置完成 动态PAT转换配置方法： ASA(config)# nat (inside) 1 10.1.1.0 255.255.255.0 #声明内部地址，nat-id为1 ASA(config)# global (outside) 1 30.1.1.100-30.1.1.200 #声明全局地址，nat-id与内部nat-id相对应 测试一下，查看ASA地址转换表 ASA(config)# show xlate detail #查看ASA地址转换表 1 in use, 1 most used Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random, r - portmap, s - static NAT from inside:10.1.1.2 to outside:30.1.1.100 flags i #把内部全局地址10.1.1.2转换为30.1.1.100 i表示动态NAT 动态PAT转换配置方法 （第一种） ASA(config)# nat (inside) 1 10.1.1.0 255.255.255.0 #声明内部地址，nat-id为1 ASA

物理服务器安全 硬件层面: ab电源 机柜上锁 温度 ...... 系统层面: 远程登录(限制root/调整端口) 权限 sudo 弱口令 网络层面: 所有内网主机没有公网IP 端口限制( 22 80 443 ) DDOS--> 高防设备 web层面: http->https 防爬虫 防盗链 waf (nginx+lua) 云主机服务器安全 硬件层面: 无需考虑---> kvm虚拟化 系统层面: 云盾 安骑士 ---> 云安全中心(收费) SSH 网络层面: 安全组(firewalld|iptables) 云防火墙集中管理公网的策略 服务层面: nginx mysql redis --->弱口令 web层面: HTTPS 高防IP WAF防火墙 数据层面: 数据备份与恢复演练 想说的话 写下来--->进行增删改查---------------------------------------------------------------- 2.硬件架构、云架构等安全如何实现? 3.Firewalld防火墙基本概述? 4.Firewalld防火墙区域管理? eth0 eth0 --> A eth0 --> A eth1 --> B [root@oldboy-m01 ~]# firewall-cmd --get-default-zone #当前默认的区域 public [root