【内网安全-防火墙】防火墙、协议、策略
?
前言:
介紹:?
博主:網(wǎng)絡(luò)安全領(lǐng)域狂熱愛好者(承諾在CSDN永久無償分享文章)。
殊榮:CSDN網(wǎng)絡(luò)安全領(lǐng)域優(yōu)質(zhì)創(chuàng)作者,2022年雙十一業(yè)務(wù)安全保衛(wèi)戰(zhàn)-某廠第一名,某廠特邀數(shù)字業(yè)務(wù)安全研究員,edusrc高白帽,vulfocus、攻防世界等平臺排名100+、高校漏洞證書、cnvd原創(chuàng)漏洞證書等。
擅長:對于技術(shù)、工具、漏洞原理、黑產(chǎn)打擊的研究。
C站緣:C站的前輩,引領(lǐng)我度過了一個又一個技術(shù)的瓶頸期、迷茫期。
導(dǎo)讀:
面向讀者:對于網(wǎng)絡(luò)安全方面的學(xué)者。?
本文知識點(讀者自測):?
(1)防護墻的基礎(chǔ)知識、(√)
(2)常用命令(√)
(3)出入站策略等(√)
?讓讀者如虎添翼
| 內(nèi)網(wǎng)博文 | 目標(biāo) | 狀態(tài) |
| 【內(nèi)網(wǎng)安全-CS】Cobalt Strike啟動運行&上線方法&插件 | 學(xué)會cs的基本使用方法、以及插件 | 已發(fā)布 |
| 【內(nèi)網(wǎng)安全-基礎(chǔ)】基礎(chǔ)知識、信息收集、工具 | 基礎(chǔ)知識、基礎(chǔ)常規(guī)信息收集(命令、工具等) | 已發(fā)布 |
| 【內(nèi)網(wǎng)安全-防火墻】防火墻、協(xié)議、策略 | 防護墻的基礎(chǔ)知識、常用命令、出入站策略等 | 已發(fā)布 |
| 【內(nèi)網(wǎng)安全-通訊&上線】通訊&上線基礎(chǔ)知識 | 基礎(chǔ)知識、通訊、上線、代理 | 已發(fā)布 |
| 【內(nèi)網(wǎng)安全-隧道技術(shù)】SMB、ICMP、DNS隧道、SSH協(xié)議 | 常用的上線方法 | 已發(fā)布 |
| 隧道搭建、穿透上線 | 2023將繼續(xù)更新,敬請期待 | —— |
| 橫向移動 | 2023將繼續(xù)更新,敬請期待 | —— |
| 權(quán)限維持 | 2023將繼續(xù)更新,敬請期待 | —— |
| 靶場練習(xí) | 2023將繼續(xù)更新,敬請期待 | —— |
目錄
一、基礎(chǔ)知識
1、防火墻五個域
2、協(xié)議模型
二、出入站策略
1、單個機器防火墻
2、域控的防火墻
3、安全策略
一、基礎(chǔ)知識
1、防火墻五個域
1、Untrust(不信任域,低級安全區(qū)域):
用來定義Internet等不安全的網(wǎng)絡(luò),用于網(wǎng)絡(luò)入口線的接入
————
2、DMZ(隔離區(qū),中級安全區(qū)域):
用來定義內(nèi)部服務(wù)器所在網(wǎng)絡(luò),把WEB等允許外部訪問的服務(wù)器單獨接在該區(qū)端口,使整個需要保護的內(nèi)部網(wǎng)絡(luò)接在信任區(qū)端口后,實現(xiàn)內(nèi)外網(wǎng)分離(DMZ內(nèi)通常放置一些不含機密信息的公用服務(wù)器,比如Web、Mail、FTP等。來自外網(wǎng)的訪問者可以訪問DMZ中的服務(wù),但不可能接觸到存放在內(nèi)網(wǎng)中的公司機密或私人信息等)
————
3、Ttrust(信任域,高級安全區(qū)域):
用來定義內(nèi)部用戶所在的網(wǎng)絡(luò)
————
4、Local(本地,頂級安全區(qū)域):
防火墻本身的區(qū)域,由防火墻主動發(fā)出、響應(yīng)的報文均可認(rèn)為是從Local區(qū)域中發(fā)出、接受
————
5、Management(管理,頂級安全區(qū)域):
除了console控制接口對設(shè)備進行配置,如果防火墻設(shè)備可以通過web界面配置的話,需要一根雙絞線連接到管理接口,鍵入用戶名和密碼進行配置
2、協(xié)議模型
二、出入站策略
1、單個機器防火墻
優(yōu)先級:
1、只允許安全連接
2、阻止連接
3、允許連接
4. 默認(rèn)規(guī)則(沒設(shè)置,則默認(rèn)阻止)
————
配置:控制面板---系統(tǒng)與安全---防火墻---高級設(shè)置---點擊入站/出站規(guī)則---新建規(guī)則
(可以配置端口、協(xié)議、程序等)
2、域控的防火墻
2、域控制器:
1)服務(wù)器管理器---添加角色和功能---基于角色/功能的安裝---從服務(wù)器池中選擇服務(wù)器---選擇AD(Active Directory)域服務(wù)---直至安裝成功
2)把服務(wù)器升級為域控制器---添加新林---設(shè)置目錄服務(wù)還原模式(密碼)---其余默認(rèn)配置---重啟---在活動目錄中新增目錄和用戶---開始菜單選擇DNS,檢查DNS是否正確
————
2、組策略:
使用域組策略編輯器(組策略管理控制臺– gpmc.msc)----創(chuàng)建Firewall-Policy的新GPO策略---切換到編輯模式
(更新策略失敗:配置一個BranchCache的分支緩存機制)
?
?(配置出入站的組策略)
————
3、安全策略
1)域間
用于控制域間流量的轉(zhuǎn)發(fā),適用于接口加入不同安全區(qū)域的場景。域間安全策略按IP地址、時間段和端口或協(xié)議(服務(wù))、用戶等多種方式匹配流量,并對符合條件的流量進行包過濾控制(permit/deny)或高級的UTM應(yīng)用層檢測
(也用于控制外界與設(shè)備本身的互訪,允許或拒絕與設(shè)備本身的互訪)
————
2)域內(nèi)
缺省情況下域內(nèi)數(shù)據(jù)流動不受限制,也可以應(yīng)用域內(nèi)安全策略,阻斷域內(nèi)成員惡意訪問服務(wù)器等重要資源(與域間安全策略一樣)
————
3)接口包
當(dāng)接口未加入安全區(qū)域的情況下,通過接口包過濾控制接口接收和發(fā)送的IP報文,可以按IP地址、時間段和端口或協(xié)議類型(服務(wù))等多種方式匹配流量并執(zhí)行相應(yīng)動作。
(如:基于MAC地址的包過濾用來控制接口可以接收指定以太網(wǎng)幀,按MAC地址、幀的協(xié)議類型和幀的優(yōu)先級匹配流量并執(zhí)行相應(yīng)動作;硬件包過濾在特定的二層硬件接口卡上實現(xiàn),控制接口卡上的接口流量)
網(wǎng)絡(luò)安全三年之約
First year?
掌握各種原理、不斷打新的靶場
目標(biāo):edusrc、cnvd?
主頁 | 教育漏洞報告平臺 (sjtu.edu.cn)https://src.sjtu.edu.cn/https://www.cnvd.org.cnhttps://www.cnvd.org.cn/
second year?
不斷學(xué)習(xí)、提升技術(shù)運用技巧,研究各種新平臺
開始建立自己的滲透體系
目標(biāo):眾測平臺、企業(yè)src應(yīng)急響應(yīng)中心?
| 眾測平臺 | URL |
| 漏洞盒子 | 漏洞盒子 | 互聯(lián)網(wǎng)安全測試眾測平臺 |
| 火線安全平臺 | 火線安全平臺 |
| 漏洞銀行 | BUGBANK 官方網(wǎng)站 | 領(lǐng)先的網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)品牌 | 開放安全的提出者與倡導(dǎo)者 | 創(chuàng)新的漏洞發(fā)現(xiàn)平臺 |
| 360漏洞眾包響應(yīng)平臺 | 360漏洞云漏洞眾包響應(yīng)平臺 |
| 補天平臺(奇安信) | 補天 - 企業(yè)和白帽子共贏的漏洞響應(yīng)平臺,幫助企業(yè)建立SRC |
| 春秋云測 | 首頁 |
| 雷神眾測(可信眾測,安恒) | 雷神眾測 - BountyTeam |
| 云眾可信(啟明星辰) | 云眾可信 - 互聯(lián)網(wǎng)安全服務(wù)引領(lǐng)者 |
| ALLSEC | ALLSEC |
| 360眾測 | 360眾測平臺 |
| 看雪眾測(物聯(lián)網(wǎng)) | https://ce.kanxue.com/ |
| CNVD眾測平臺 | 網(wǎng)絡(luò)安全眾測平臺 |
| 工控互聯(lián)網(wǎng)安全測試平臺 | CNCERT工業(yè)互聯(lián)網(wǎng)安全測試平臺 |
| 慢霧(區(qū)塊鏈) | Submit Bug Bounty - SlowMist Zone - Blockchain Ecosystem Security Zone |
| 平安匯聚 | http://isrc.pingan.com/homePage/index |
| 互聯(lián)網(wǎng)大廠 | URL |
| 阿里 | https://asrc.alibaba.com/#/ |
| 騰訊 | https://security.tencent.com/ |
| 百度 | https://bsrc.baidu.com/v2/#/home |
| 美團 | https://security.meituan.com/#/home |
| 360 | https://security.360.cn/ |
| 網(wǎng)易 | https://aq.163.com/ |
| 字節(jié)跳動 | https://security.bytedance.com/ |
| 京東 | https://security.jd.com/#/ |
| 新浪 | http://sec.sina.com.cn/ |
| 微博 | https://wsrc.weibo.com/ |
| 搜狗 | http://sec.sogou.com/ |
| 金山辦公 | https://security.wps.cn/ |
| 有贊 | https://src.youzan.com/ |
Third Year?
學(xué)習(xí)最新的知識,建全自己的滲透體系
目標(biāo):參與護網(wǎng)(每一個男孩子心中的夢想)?
時間:一般5月面試,6/7月開始(持續(xù)2-3周)
分類:國家級護網(wǎng)、省級護網(wǎng)、市級護網(wǎng)、重大節(jié)日護網(wǎng)(如:建黨、冬奧等)
總結(jié)
以上是生活随笔為你收集整理的【内网安全-防火墙】防火墙、协议、策略的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 内网安全 信息收集(收集内网计算机的所有
- 下一篇: 开源服务器监控工具——zabbix(二)