-
很重要!防火墙的三种工作模式不能忘
01 防火墙 防火墙是一种网络安全设备,用于监控和控制进出网络的流量,防止未经授权的访问和攻击。 防火墙通过实施安全策略,确保只有合法的流量能够通过,从而保护网络免受恶意攻击和数据泄露。 01 功能 - 访问控制:防火墙根据预设的安全策略,控制网络流量的进出,确保只有合法的流量能够通过。 - 数据包过滤:防火墙检查每个数据包的源地址、目的地址、端口号等信息,根据规则决定是否放行。 - 状态检测:防火墙跟踪会话状态,确保数据包属于已知的合法会话,提高安全性。 - 应用层网关:防火墙可以对应用层的数据进行检查和过滤,如HTTP、FTP等协议,提供更细粒度的控制。 02 重要性 - 网络安全:防火墙是网络的第一道防线,能够有效防止恶意攻击和数据泄露。 - 访问管理:防火墙可以管理内外网之间的访问,确保敏感数据的安全。 - 合规性:许多行业标准和法规要求使用防火墙来保护网络和数据的安全。 02 路由模式 在路由模式下,防火墙作为一个三层设备,负责在不同的网络之间进行路由和转发。 防火墙在IP层(第三层)工作,根据路由表决定数据包的转发路径。 01 工作原理 数据包接收:防火墙接收来自一个网络的数据包。 路由表查找:防火墙根据路由表查找最佳路径,确定数据包的下一跳地址。 数据包转发:防火墙将数据包转发到目标网络或下一跳设备。 访问控制:防火墙根据预设的安全策略,对数据包进行访问控制和过滤。 02 优缺点 优点: 支持复杂网络拓扑:路由模式支持复杂的网络拓扑,可以进行精细的访问控制和路由管理。 灵活的网络管理:可以配置多个子网和路由,实现灵活的网络划分和管理。 缺点: 增加了网络复杂性:路由模式增加了网络的复杂性,需要更详细的配置和管理。 潜在的单点故障:如果防火墙出现故障,可能会影响整个网络的连通性。 03 示例 在企业网络中,防火……
SE_YJ 2024-12-04
4 0 0 -
USG6655E双机热备CPU负载过高
问题描述 客户数通产品排障过程中,发现USG6655E防火墙CPU飙高 HRP_Mdis cpu CPU Usage Stat. Cycle: 10 (Second) CPU Usage : 87.6% Max: 98.6% Management-plane CPU Usage: 29.6% Data-plane CPU Usage : 91.9% CPU utilization for ten seconds: 87.6% : one minute: 88.6% : five minutes: 82.7% PID ProcessName CPU Runtime State 5224 fpath.out 85.9% 756111614 S 4886 vrp 1.3% 65215545 S 4946 vrpio_s 0.4% 47372174 S …… 组网图如下: 处理过程 第一步: 检查发现防火墙双机主备部署,防火墙与上下行交换机通过vlanif互联,当前主备状态运行正常; 第二步: 查看防火墙无异常日志及告警,但备墙接口流量异常飙高 第三步: 在上行交换机CE12808查看日志。发现存在vlan 16下mac漂移告警,告警显示mac表项对应接口频繁在主备间墙切换,初步判断为二层环路引起。 第四步: 经与云平台同事确认当前vlan 16是现场业务环境需要在上下行交换机与防火墙间二层透传vlan16。 第五步: 通过建立问题单咨询服务支持得知:上下行交换机均为堆叠场景,使得vlan16的业务流量在上下行交换机间形成环路,从而造成CPU资源占用超过阈值。 处理结果: 在防火墙上配置hrp track vlan 16后使得mac表项只由主墙进行转发后,接口流量计CPU占用恢复正常。 根因 在防火墙上下行连接交换机二三层混跑模式下未track链路中放通的二层vlan造成网络环路 解决方案 防火墙上下行连接交换机需要同时track链路中放通的二层vlan 建议与总结 在排障过程中,发现防火墙双机主备状态正常并且无异常告警,该状态是基于现网hrp track防火墙与上下行交换机互联vlanif接口选举出来的……
SE_Gao 2024-12-03
5 0 0 -
防火墙基础知识:进与出?
01 防火墙 防火墙是一种网络安全设备,用于监控和控制进出网络的流量,防止未经授权的访问和攻击。 防火墙通过实施安全策略,确保只有合法的流量能够通过,从而保护网络免受恶意攻击和数据泄露。 01 功能 - 访问控制:防火墙根据预设的安全策略,控制网络流量的进出,确保只有合法的流量能够通过。 - 数据包过滤:防火墙检查每个数据包的源地址、目的地址、端口号等信息,根据规则决定是否放行。 - 状态检测:防火墙跟踪会话状态,确保数据包属于已知的合法会话,提高安全性。 - 应用层网关:防火墙可以对应用层的数据进行检查和过滤,如HTTP、FTP等协议,提供更细粒度的控制。 02 重要性 - 网络安全:防火墙是网络的第一道防线,能够有效防止恶意攻击和数据泄露。 - 访问管理:防火墙可以管理内外网之间的访问,确保敏感数据的安全。 - 合规性:许多行业标准和法规要求使用防火墙来保护网络和数据的安全。 02 路由模式 在路由模式下,防火墙作为一个三层设备,负责在不同的网络之间进行路由和转发。 防火墙在IP层(第三层)工作,根据路由表决定数据包的转发路径。 01 工作原理 数据包接收:防火墙接收来自一个网络的数据包。 路由表查找:防火墙根据路由表查找最佳路径,确定数据包的下一跳地址。 数据包转发:防火墙将数据包转发到目标网络或下一跳设备。 访问控制:防火墙根据预设的安全策略,对数据包进行访问控制和过滤。 02 优缺点 优点: 支持复杂网络拓扑:路由模式支持复杂的网络拓扑,可以进行精细的访问控制和路由管理。 灵活的网络管理:可以配置多个子网和路由,实现灵活的网络划分和管理。 缺点: 增加了网络复杂性:路由模式增加了网络的复杂性,需要更详细的配置和管理。 潜在的单点故障:如果防火墙出现故障,可能会影响整个网络的连通性。 03 示例 在企业网络中,防火墙作为边界设备……
7 0 0 -
控制台无法登录之TLS协议不支持
新版本的谷歌浏览器、火狐浏览器已不支持TLS1.0/1.1 ,使用此类浏览器登入低版本AF时会提示TLS协议不支持 目前可通过打JG包解决,JG21及之后的JG包均可解决 JG包是以sp包的形式下发的,可在【安全能力更新】-【软件优化】出点击更新,也可通过acheck工具打 7.3 <=AF版本 <=8.0.23不支持TLS1.2,AF8026及之后版本即可在页面开启TLS1.2 1.优先建议打JG包解决,升级到高版本也可以解决,是在没辙在打KB包; //截止2023-8-17,防火墙主线版本均已覆盖JG25,都可以通巡检打包解决此问题(WAF/IPS/FW也覆盖了) 2.补丁包重启sangfor_waf影响控制台服务,不影响网络业务,双机场景建议先打备机在打主机; 3.巡检确认此设备是否有JG19及之前的JG包要打(一般为vaf、单品),需要先打JG19及以前的JG包,然后获取补丁包升级,现有版本的包都有ssu格式,可使用update工具升级。 PS:因为TLS的包和JG包都会改sangfor_waf,如果先打TLS的包在打JG19及以前的包就会导致sangfor_waf又被改回去不支持TLS1.2,所以如果设备需要打JG19级以前的JG包,则先打JG包在打TLS的包,如果设备有JG21及之后的包打,就直接打JG包无需要打KB包 常规补丁包对应关系:包名为:KB-AF-20220217-WEBUI-TLS1.2 加版本 注:英文的AF除了AF8.0.23需要找研发确认外,其他23以下的AF都是中文切过去的,可直接打FTP的包
13 0 0 -
单位PC访问某互联网业务失败之公网IP被网站封堵
客户局域网无法访问互联网某业务,客户发现在自己家能正常访问。 访问某网页时显示访问超时。(客户怀疑是防火墙策略拦截) 1、防火墙开启直通发现还是无法访问此业务。(怀疑是对端单位把用户公网IP给封锁了) 2、抓取用户访问互联网某业务的pc包,再抓取AF的数据包。 发现PC端的数据包和AF的数据包一致,说明AF没有拦截这个访问 分析数据包发现源到目的访问为RST,说明是对端拒绝的。 3、用户有多个公网IP,在AF上NAT策略上更换了另一个公网地址上网。发现用户的PC可以正常访问对端业务了。 对端单位的业务那边,把本端客户的公网地址给封锁了。 临时方案:如果有多个公网地址,可以在AF的NAT策略上更换公网地址去访问。 永久方案:联系对端单位管理员协商,把本用户的公网地址放通。 建议让客户和对端单位沟通一下是什么原因导致,公网IP被拦截或者是被封锁了。
5 0 0 -
防火墙会话机制与基本概念
会话机制与基本概念 一、会话概念: 当数据流经过AF转发时,AF会生成一个记录五元组、出入接口、路由匹配情况、策略匹配情况、nat转换情况等信息的表项,此表项称为会话 二、会话作用: AF转发数据时为了提升数据转发效率率并减少重复判断策略匹配情况而损耗设备性能,通过会话记录的策略等信息,进行数据快处理 三、会话的机制介绍: A:会话建立的条件参数: 1.老架构(五元组):源IP,目的IP,源端口,目的端口,协议 2.新架构(七元组):源IP,目的IP,源端口,目的端口,协议,VLAN,数据为二层或三层(数据经过AF时,AF是2层转发还是3层转发) B、会话匹配: 1.老架构:仅通过识别五元组信息是否已有会话一致,一致则根据对应会话转发并刷新老化时间,否则生成新会话。 2.新架构:在标准五元组场景的前提上针对数据包VLAN标签,以及首包为二层或三层的识别标签,共同组成七元组进行识别。若七元组完全一致则根据对应会话转发并刷新老化时间,否则生成新会话。 C、会话更新: 1、自然更新会话 TCP会话默认老化时间为30min,UDP会话默认老化时间为3min,ICMP默认老化时间为30s(对应时间可以在控制台修改),老化时间超过后会话过期清除,若同一五元组(七元组)数据在老化前再次触发则会刷新老化时间重新进老化计算。 2、recheck更新会话 recheck是指路由或者策略发生变化时(增/删/改操作),通知会话立即重新按照当前策略或路由的匹配情况进行更新并刷新老化时间。例如路由变化了,那已经建立的会话,需要重新去匹配路由,查询下一跳和出接口,如果转发情况发生变化则清理老会话并重新建立会话(recheck)。但是并非所有recheck场景均会重建所有会话,例如黑名单修改仅仅会让修改的IP相关会话recheck。 注:老架构存在NAT策略调整下发后不及时recheck的情况,可通过打包优化解决-- KB-AF-20210904-Na……
17 0 0 -
老架构防火墙日志上报MSS存在日志延时
老架构防火墙日志上报MSS存在日志延时 老架构防火墙日志上报MSS存在日志延时 有效排查步骤 1、排查域名能否正常解析通信,将脚本上传到后台,执行脚本python check_conn.py 2、排查获取接入地址REST接口是否正常 使用如下命令测试REST接口,corpcode=后面的参数为企业ID。 wget --no-check-certificate -qO - “https://device.sangfor.com.cn/sc ... 0&corpcode=16729605” 如果正常,会返回如下接入地址: {"code":0,"message":"成功","data":{"ip":"219.135.99.249","port":5000}} 3、排查步骤二返回的IP端口是否正常,最好抓包确认tcp握手是否正常 telnet 219.135.99.249 5000 / ssh 219.135.99.249 -p 5000 4、确认用户id是否正确,接入的设备名称要和云图上的设备名称一致,密码是否正确(一定要反复确认,配置不对也会报代理服务不可用) 5、检查防火墙日志上报相关日志:/fwlog/slog/log/最新日志.log,存在报错信息:invalid character 'u' looking for beginning of value。 防火墙上报日志到云端后,云端资源为新底座,上报线路切换到了clt1.sangfor.com.cn进行上报,防火墙自身依然是上报给clt.sangfor.com.cn,云端收到防火墙上报的数据后发现不是JSON格式,所以返回这个报错 老架构防火墙自身调整上报域名存在较大代码改动,暂时无法通过后台调整上报的域名,可通过修改防火墙host配置,将clt.sangfor.com.cn的域名和clt1.sangfor.com.cn的公网IP进行绑定,实现防火墙上报日志最终是上报clt1.sangfor.com.cn。 是 日志上报云图流程: 1.slog_clint(AF)调用云脑认证接口 https://auth.sangfor.com.cn/v1/auth 获取token; 2.slog_clint(AF)根据客户端i_get中的log.server主控地址,执行s_get获取上报配置,上报配置中包含需要的表,还有需要上报给那个……
20 0 0 -
AC通过SNMP跨三层获取AF的IP-MAC信息获取不到
AC通过SNMP跨三层获取AF的IP-MAC信息获取不到。 1、检查AF侧的SNMP配置,确认IP地址、团体名等配置正确。 2、抓包确认AC有正常发送SNMP请求到AF上,并且AF有回包,详细分析AF数据包,分析具体数据包情况,AF返回的数据不是IP和MAC的信息,判断是AC默认使用的OID值不是AF的IP、MAC的OID。 3、查询AF对应版本的SNMP的OID 表格,找到AF对应的IP和MAC的OID值填写到AC上,重新获取测试,可以正常获取到IP-MAC信息。 AC上使用的默认通用的IP-MAC的OID值在AF上不适用。 查询AF的SNMP的OID表,AC上使用对应IP和MAC的OID值进行获取解决。 跨三层取MAC需要的IP和MAC表为AF中路由信息的IP地址和物理地址的OID。
19 0 0 -
虚拟防火墙配置不清晰?这个实验案例很典型
01 虚拟防火墙技术是什么 可能我们会遇到这样一个场景: 企业A与企业B都有网络安全防范的需求,但是由于企业规模和资金有限,无法承担独立购买防火墙的成本,那么这两个企业是否有可能合用一台防火墙呢?如果合用防火墙,成本确实降下来了,但是却带来了新的问题。 例如A和B的网络就不得不融合在一块了,数据、路由、策略等等就有可能会相互干扰,而且必须针对网络进行统一的规划,不能存在重叠的IP地址空间,另一个比较大的问题是,防火墙由谁来管理呢、配置的变更是否会影响到另一个企业? 有了虚拟防火墙技术,即可解决这个问题。我们可以在一台物理防火墙上,创建多个虚拟防火墙,不同的虚拟防火墙面向不同的客户或者说属于不同的客户(或者面向同一个客户的不同业务)。 在创建完虚拟防火墙后,我们可以将接口或者vlan分配给特定的虚拟防火墙,那么这个接口或vlan就是该虚拟防火墙所专用。 不同的虚拟防火墙有自己独立的路由表、会话表、配置、所属接口、安全区域及安全策略等等,彼此之间不会互相干扰。因此你完全可以将它们想象成独立的防火墙。 例如在上面的例子中,我们在防火墙上,创建了2个虚拟防火墙,这两个虚拟防火墙有自己的接口,它们彼此之间相互独立,互不影响。 企业A及B可以独立管理自己的虚拟防火墙:独立进行配置、独立进行安全规则的设置等等。虚拟防火墙可以在节省成本的同时提供一种逻辑业务隔离的解决方案。 下面引入一个虚拟防火墙实验,通过这个实验,相信能够加深大家对于虚拟防火墙的认识。 02 实验设想与拓扑 01 设想背景 某局方公司升级改造了一批基础设施,这批设施由基础设施维护单位驻场负责日常维护,由于工作需要,也将该维护单位的网络接入到我公司的内网防火墙进行上网,且利用局方的内网防火墙与三层交换机,分配给该公司一个独立的虚拟防火墙资源与一个虚拟的VR……
53 0 0 -
Linux安全防火墙(iptables)配置策略
目录 概念 防火墙的主要功能和特点: 防火墙分类 其他概念 通信五要素: 通信四要素 用户态和内核态 四个表五个链 四个表 五条链 数据包过滤的匹配流程 三种报文流向: 规则内的匹配顺序: iptables iptables命令的格式和相关选项 管理选项 匹配条件 数据包的控制类型 使用实例 实验准备 开机不自启 并且立即关闭 开机自启 并且 立即开启 查看 添加规则 删除规则 修改规则 通用匹配 网络协议: IP地址: IP范围匹配 网络接口: 使整个网段不能用指定的端口 端口匹配: 多端口匹配 MAC匹配 隐藏扩展模块 策略备份与还原 备份iptables设置 一键导入,设置为当前防火墙设置 修改iptables的默认设置 直接把配置导入配置文件: 自定义链 创建自定义链: 向自定义链添加规则,例如: 概念 防火墙(Firewall)是一种网络安全设备或软件,用于保护计算机网络免受未经授权的访问、恶意攻击和恶意软件的侵害。它充当了网络和互联网与内部网络之间的关卡,对流量进行过滤和监控,以确保网络安全和保护敏感数据。 防火墙可以部署在不同的层级,包括网络层、数据链路层和应用层,以提供不同级别的保护。有硬件防火墙和软件防火墙两种类型,它们可以独立运行或组合使用,以实现全面的网络安全。 综而言之,防火墙是网络安全的关键组成部分,有助于保护网络和系统免受恶意攻击、未经授权的访问和数据泄露。在建立防火墙策略时,必须根据网络需求和威胁模型来定义规则,以确保网络的安全性和可用性。 除此以外,还有防水墙,ensp:不透明的工作方式,就是你干什么都知道,但你自己不知道。 防火墙的主要功能和特点: 包过滤: 防火墙通过检查网络数据包的源地址、目标地址、端口号和协议等信息,根据预定义的规则来决定是否允许或拒绝这些数据包通过。这种方式可以防止未经授权的访问。 状态跟踪: 某些防火墙能够跟踪连接的状……
SE_Gai 2024-06-04
91 0 0
防火墙
