深信服下一代防火墙(不懂看过来!)
下一代防火墙
一、分类:
1.按照防火墙结构划分
单一主机防火墙
路由集成防火墙
分布式防火墙
2.按照防火墙技术划分:
包过滤防火墙:访问控制
应用代理防火墙:代理技术
状态监测防火墙:会话机制
UTM:多功能叠加
下一代NGAF:DFI
二、功能
1.访问控制
2.地址转换
3.网络环境支持
4.带宽管理功能
5.入侵检测和攻击防御
6.用户认证
7.高可用性
三、防火墙安全策略
1.定义
按一定规则对流量进行安全一体化检测
规则本质:包过滤:五元组
2.应用
对跨防火墙网络互访控制
对设备本身访问控制
3.分类
域间安全策略 域内安全策略
接口包过滤
四、性能指标
1.吞吐量 2.时延 3.丢包率 4.背靠背 5.并发连接数
下一代防火墙应对:安全可视 持续检测
复杂有针对性的攻击威胁平均检测时间是225天
五、下一代防火墙组网
1.支持模式:路由模式,透明模式,虚拟网线模式,混合模式,旁路模式
2.接口属性分:物理接口,子接口,VLAN接口,聚合接口
物理口:路由口(ADSL拨号),透明口,虚拟网线口(前三种可设WAN或非WAN属性),镜像口
3.接口工作区域划分:二层区域口,三层区域口,虚拟网线区域口
路由口(ADSL拨号):eth0为固定管理口,无法修改,管理地址为10.251.251.251/24 无法删除
聚合接口不支持旁路镜像 最多4
一个接口只属于一个区域
4.路由优先级:VPN路由>静态路由>策略路由>默认路由
六、终端安全检测和防御技术
1.基于应用控制策略
2.基于服务控制策略
3.计算机病毒:插入的能破话计算机功能或者毁坏数据自我复制的一组指令或程序。
4.步骤:潜伏阶段 传染阶段 触发阶段 发作阶段
5.防病毒网关:基于应用层过滤病毒
6.网关杀毒实现方式
代理扫描
流扫描
僵尸网络:分布式拒绝服务攻击程序将上万个沦陷的机器
七、服务器安全检测和防御技术
1.ddos攻击 : 分布式拒绝服务攻击
消耗带宽 消耗服务器性能 引发服务器宕机
2.DOS类型:
ICMP洪水攻击
UDP洪水攻击
DNS洪水攻击
攻击者通过发送大量所属协议的数据包到达占据服务端带宽,堵塞线路,导致服务端无法正常提供服务
SYN洪水攻击
攻击者利用tcp协议三次握手,攻击方大量发起请求包占用服务端资源,hi服务器资源耗尽,使服务端无法正常提供服务。
畸形数据包攻击
攻击方发送畸形攻击数据引发系统错误分配大量资源,让主机挂起甚至宕机。(ping一个大于他存储容量的数据包)
CC攻击
攻击者控制某些主机不停的发大量数据包让对方服务器资源耗尽,宕机奔溃,主要攻击页面的。
慢速攻击
是CC攻击变种,对任何一个开启http访问服务器http服务器,建立一个连接,指定一个的的content-length,然后以非常慢的速度发包。
持续建立,服务器资源被占满,导致拒绝服务。
3.IDS/IPS
IDS入侵检测系统 IPS 入侵防御系统
原理 特征识别,记录攻击行为,审计 特征识别,丢弃实时攻击数据
部署方式 旁路部署 路由,透明
安全属性 被动检测 主动检测
阻断攻击能力 弱 强
安全响应速度 滞后性 实时性
攻击数据能 能 否
否到达目标
4.IPS保护对象
保护客户端
保护服务器
IPS/WAF联动封锁 可访问AF控制台, 无法访问数据中心
5.WAF
web应用防护 web应用防火墙
6.防篡改主流技术
定时循环扫描技术(外挂轮询)
事件触发技术
核心内嵌技术
文件监控+二次认证
八、安全评估与动态检测技术
实时漏洞分析功能不支持集中管理
实时漏洞分析仅支持tcp协议,不支持udp协议分析,如dns服务
深信服下一代防火墙(不懂看过来!)相关推荐
- 深信服下一代防火墙介绍
下一代防火墙目录 1.传统防火墙 1.1防火墙的发展历程 1.2传统防火墙防御模式 1.3传统的安全产品 1.3.1传统安全产品的形态 1.3.2传统的安全防护UTM 1.4总结: 2 深信服的下一代 ...
- zabbix监控深信服下一代防火墙配置
一.深信服下一代防火墙设置 1.防火墙管理界面,选择"系统",选择"SNMP" 1)选择"SNMP v1/v2",勾选"开启SNM ...
- 深信服下一代防火墙组网介绍及配置
下一代防火墙目录 1.下一代防火墙组网简介 1.1部署模式简介 1.2 NGAF接口类型 1.2.1根据接口属性分类 (1)物理接口 a 路由口 b 透明口 c虚拟网线口 (2)子接口 (3)VLAN ...
- 深信服下一代防火墙(NGAF)学习笔记
目录 sangfor_waf 代理HTTP所有流量,SSH不阻拦 网络 接口 端口聚合 负载模式 聚合协议 虚拟网线 ipv6 807 WAN属性 作用 支持接口模式 WAN口入站路由转发 与IPSE ...
- 深信服下一代防火墙NGAF高可用组网
防火墙高可用组网功能概述 两台AF主备部署也称为双机热备部署,一台设备处于工作状态,另外一台处于热备状态.两台设备通过心跳口检测对端是否存在并同步配置及会话,当主设备出现问题触发切换条件时,设备会自动 ...
- 深信服上网行为管理开启snmp_华为路由器、深信服NGAF防火墙的SNMP配置
一.深信服NGAF设置 而在NGAF中,这个功能不是默认开启的,在"网络/高级网络配置"中,设置了团体名,也无法访问SNMP. 在NGAF开启SNMP的方法如下: 1)网络-接口/ ...
- 深信服AF防火墙重置密码
前提:做两跟交叉线分别放在eht1和eth2口 1.新建一个txt空文档,将其重命名为reset-password,将txt文档拷贝到U盘根目录,U盘格式为FAT 32的 2.FW上插入U盘,重启设备 ...
- 深信服AF防火墙(地址转换)服务器映射
场景:外网口接口IP:1.1.1.1,内网口:192.168.100.1,需要使用外网IP:1.1.1.2 解决:(1)需要将1.1.1.2配置到外网接口上 2.服务器映射: 3.测试访问映射web站 ...
- 深信服防火墙AF8.0配置
深信服防火墙AF8.0配置 深信服下一代防火墙,设备上架配置,防护策略设置,流控配置 工具/原料: 1.笔记本 2.网线 3.型号:AF-1000-B400 1.连接登录: 深信服防火墙AF设备出厂m ...
最新文章
- html路由怎样做div,路由传参练习.html
- 2015.08.15冒泡排序
- Centos 利用yum源安装 nginx 1.20.1
- 前端学习(1354):集合关联
- jQuery浏览器类型判断和分辨率判断
- 安阳师范学院计算机与信息工程学院吴琴霞,基于甲骨文字形动态描述库的甲骨文输入方法...
- vue入门:v-bind:class
- 解决python2.7.9以下版本requests访问https的问题
- react 项目 测试
- Agisoft Metashape Professional for Mac(三维建模软件)
- yaml文件中Map集合的key、value的坑
- Levis(李维斯)网上专卖店 - 不讲信用,请大家一定注意!
- php的curl选项curlopt,CURLOPT_NOBODY选项,php中文手册中坑爹的翻译!
- 关于LibFetion(小飞信)被禁止登陆的思考
- 英文论文写作小贴士(2)
- CVPR'22 最新132篇论文分方向整理|包含目标检测、图像处理、医学影像等28个方向...
- 2G,3G,4G,5G的不同之处
- Flutter 中神奇的 AbsorbPointer 组件
- 怎么从SPSS的分析结果中得出回归方程?
- idea怎么设置热启动