【内网安全-防火墙】防火墙、协议、策略
?
前言:
介紹:?
博主:網絡安全領域狂熱愛好者(承諾在CSDN永久無償分享文章)。
殊榮:CSDN網絡安全領域優質創作者,2022年雙十一業務安全保衛戰-某廠第一名,某廠特邀數字業務安全研究員,edusrc高白帽,vulfocus、攻防世界等平臺排名100+、高校漏洞證書、cnvd原創漏洞證書等。
擅長:對于技術、工具、漏洞原理、黑產打擊的研究。
C站緣:C站的前輩,引領我度過了一個又一個技術的瓶頸期、迷茫期。
導讀:
面向讀者:對于網絡安全方面的學者。?
本文知識點(讀者自測):?
(1)防護墻的基礎知識、(√)
(2)常用命令(√)
(3)出入站策略等(√)
?讓讀者如虎添翼
| 內網博文 | 目標 | 狀態 |
| 【內網安全-CS】Cobalt Strike啟動運行&上線方法&插件 | 學會cs的基本使用方法、以及插件 | 已發布 |
| 【內網安全-基礎】基礎知識、信息收集、工具 | 基礎知識、基礎常規信息收集(命令、工具等) | 已發布 |
| 【內網安全-防火墻】防火墻、協議、策略 | 防護墻的基礎知識、常用命令、出入站策略等 | 已發布 |
| 【內網安全-通訊&上線】通訊&上線基礎知識 | 基礎知識、通訊、上線、代理 | 已發布 |
| 【內網安全-隧道技術】SMB、ICMP、DNS隧道、SSH協議 | 常用的上線方法 | 已發布 |
| 隧道搭建、穿透上線 | 2023將繼續更新,敬請期待 | —— |
| 橫向移動 | 2023將繼續更新,敬請期待 | —— |
| 權限維持 | 2023將繼續更新,敬請期待 | —— |
| 靶場練習 | 2023將繼續更新,敬請期待 | —— |
目錄
一、基礎知識
1、防火墻五個域
2、協議模型
二、出入站策略
1、單個機器防火墻
2、域控的防火墻
3、安全策略
一、基礎知識
1、防火墻五個域
1、Untrust(不信任域,低級安全區域):
用來定義Internet等不安全的網絡,用于網絡入口線的接入
————
2、DMZ(隔離區,中級安全區域):
用來定義內部服務器所在網絡,把WEB等允許外部訪問的服務器單獨接在該區端口,使整個需要保護的內部網絡接在信任區端口后,實現內外網分離(DMZ內通常放置一些不含機密信息的公用服務器,比如Web、Mail、FTP等。來自外網的訪問者可以訪問DMZ中的服務,但不可能接觸到存放在內網中的公司機密或私人信息等)
————
3、Ttrust(信任域,高級安全區域):
用來定義內部用戶所在的網絡
————
4、Local(本地,頂級安全區域):
防火墻本身的區域,由防火墻主動發出、響應的報文均可認為是從Local區域中發出、接受
————
5、Management(管理,頂級安全區域):
除了console控制接口對設備進行配置,如果防火墻設備可以通過web界面配置的話,需要一根雙絞線連接到管理接口,鍵入用戶名和密碼進行配置
2、協議模型
二、出入站策略
1、單個機器防火墻
優先級:
1、只允許安全連接
2、阻止連接
3、允許連接
4. 默認規則(沒設置,則默認阻止)
————
配置:控制面板---系統與安全---防火墻---高級設置---點擊入站/出站規則---新建規則
(可以配置端口、協議、程序等)
2、域控的防火墻
2、域控制器:
1)服務器管理器---添加角色和功能---基于角色/功能的安裝---從服務器池中選擇服務器---選擇AD(Active Directory)域服務---直至安裝成功
2)把服務器升級為域控制器---添加新林---設置目錄服務還原模式(密碼)---其余默認配置---重啟---在活動目錄中新增目錄和用戶---開始菜單選擇DNS,檢查DNS是否正確
————
2、組策略:
使用域組策略編輯器(組策略管理控制臺– gpmc.msc)----創建Firewall-Policy的新GPO策略---切換到編輯模式
(更新策略失敗:配置一個BranchCache的分支緩存機制)
?
?(配置出入站的組策略)
————
3、安全策略
1)域間
用于控制域間流量的轉發,適用于接口加入不同安全區域的場景。域間安全策略按IP地址、時間段和端口或協議(服務)、用戶等多種方式匹配流量,并對符合條件的流量進行包過濾控制(permit/deny)或高級的UTM應用層檢測
(也用于控制外界與設備本身的互訪,允許或拒絕與設備本身的互訪)
————
2)域內
缺省情況下域內數據流動不受限制,也可以應用域內安全策略,阻斷域內成員惡意訪問服務器等重要資源(與域間安全策略一樣)
————
3)接口包
當接口未加入安全區域的情況下,通過接口包過濾控制接口接收和發送的IP報文,可以按IP地址、時間段和端口或協議類型(服務)等多種方式匹配流量并執行相應動作。
(如:基于MAC地址的包過濾用來控制接口可以接收指定以太網幀,按MAC地址、幀的協議類型和幀的優先級匹配流量并執行相應動作;硬件包過濾在特定的二層硬件接口卡上實現,控制接口卡上的接口流量)
網絡安全三年之約
First year?
掌握各種原理、不斷打新的靶場
目標:edusrc、cnvd?
主頁 | 教育漏洞報告平臺 (sjtu.edu.cn)https://src.sjtu.edu.cn/https://www.cnvd.org.cnhttps://www.cnvd.org.cn/
second year?
不斷學習、提升技術運用技巧,研究各種新平臺
開始建立自己的滲透體系
目標:眾測平臺、企業src應急響應中心?
| 眾測平臺 | URL |
| 漏洞盒子 | 漏洞盒子 | 互聯網安全測試眾測平臺 |
| 火線安全平臺 | 火線安全平臺 |
| 漏洞銀行 | BUGBANK 官方網站 | 領先的網絡安全漏洞發現品牌 | 開放安全的提出者與倡導者 | 創新的漏洞發現平臺 |
| 360漏洞眾包響應平臺 | 360漏洞云漏洞眾包響應平臺 |
| 補天平臺(奇安信) | 補天 - 企業和白帽子共贏的漏洞響應平臺,幫助企業建立SRC |
| 春秋云測 | 首頁 |
| 雷神眾測(可信眾測,安恒) | 雷神眾測 - BountyTeam |
| 云眾可信(啟明星辰) | 云眾可信 - 互聯網安全服務引領者 |
| ALLSEC | ALLSEC |
| 360眾測 | 360眾測平臺 |
| 看雪眾測(物聯網) | https://ce.kanxue.com/ |
| CNVD眾測平臺 | 網絡安全眾測平臺 |
| 工控互聯網安全測試平臺 | CNCERT工業互聯網安全測試平臺 |
| 慢霧(區塊鏈) | Submit Bug Bounty - SlowMist Zone - Blockchain Ecosystem Security Zone |
| 平安匯聚 | http://isrc.pingan.com/homePage/index |
| 互聯網大廠 | URL |
| 阿里 | https://asrc.alibaba.com/#/ |
| 騰訊 | https://security.tencent.com/ |
| 百度 | https://bsrc.baidu.com/v2/#/home |
| 美團 | https://security.meituan.com/#/home |
| 360 | https://security.360.cn/ |
| 網易 | https://aq.163.com/ |
| 字節跳動 | https://security.bytedance.com/ |
| 京東 | https://security.jd.com/#/ |
| 新浪 | http://sec.sina.com.cn/ |
| 微博 | https://wsrc.weibo.com/ |
| 搜狗 | http://sec.sogou.com/ |
| 金山辦公 | https://security.wps.cn/ |
| 有贊 | https://src.youzan.com/ |
Third Year?
學習最新的知識,建全自己的滲透體系
目標:參與護網(每一個男孩子心中的夢想)?
時間:一般5月面試,6/7月開始(持續2-3周)
分類:國家級護網、省級護網、市級護網、重大節日護網(如:建黨、冬奧等)
總結
以上是生活随笔為你收集整理的【内网安全-防火墙】防火墙、协议、策略的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 内网安全 信息收集(收集内网计算机的所有
- 下一篇: 开源服务器监控工具——zabbix(二)