信息安全工程师中级历年真题(软考-信息安全工程师学习笔记30)
信息安全工程师中级历年真题(软考-信息安全工程师学习笔记30)假设某一单位租用DDN专线上网,网络拓扑如图所示,iptables 使用实例例如,希望添加一个规则,允许所有从任何地方到本地smtp端口的连接:iptables t filter -A INPUT -P tcp -port smtp j ACCEPT基本操作基本匹配条件,适用于所有的链:
防火墙应用场景类型- 上网保护:利用防火墙的访问控制及内容过滤功能,保护内网和上网计算机安全,防止互联网黑客直接攻击内部网络,过滤恶意网络流量,切断不良信息访问。
- 网站保护:通过 Web 应用防火墙代理互联网客户端对 Web 服务器的所有请求,清洗异常流量,有效控制政务网站应用的各类安全威胁。
- 数据保护:在受保护的数据区域边界处部署防火墙,对数据库服务器或数据存储设备的所有请求和响应进行安全检查,过滤恶意操作,防止数据受到威胁。
- 网络边界保护:在安全域之间部署防火墙,利用防火墙进行访问控制,限制不同安全域之间的网络通信,减少安全域风险来源。
- 终端保护:在终端设备上安装防火墙,利用防火墙阻断不良网址,防止终端设备受到侵害。
- 网络安全应急响应:利用防火墙,对恶意攻击源及网络通信进行阻断,过滤恶意流量,防止网络安全事件影响扩大
防火墙部署基本方法
防火墙部署的基本过程包含以下几个步骤:
- 第一步,根据组织或公司的安全策略要求,将网络划分成若干安全区域:
- 第二步,在安全区域之间设置针对网络通信的访问控制点:
- 第三步,针对不同访问控制点的通信业务需求,制定相应的边界安全策略:
- 第四步,依据控制点的边界安全策略,采用合适的防火墙技术和防范结构:
- 第五步,在防火墙上,配置实现对应的网络安全策略:
- 第六步,测试验证边界安全策略是否正常执行:
- 第七步,运行和维护防火墙
IPlables 防火墙应用参考
IPables 是 Limux 系统自带的防火墙,支持数据包过滤、数据包转发、地址转换、基于MAC 地址的过滤、基于状态的过滤、包速率限制等安全功能。
- IPtables是按照规则来办事的,我们就来说说规则(rules),规则其实就是网络管理员预定义的条件
- 规则一般的定义为"如果数据包头符合这样的条件,就这样处理这个数据包"。
- 规则存储在内核空间的信息包过滤表中,
- 这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和smtp)等。
- 当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。
- 配置防火墙的主要工作就是添加、修改和删除这些规则
一个iptables命令基本上包含如下五部分:
- 希望工作在哪个表上;
- 希望使用该表的哪个链;
- 进行的操作(插入、添加、删除和修改);
- 对特定规则的目标动作:
- 匹配数据报条件。
基本的语法为:iptables -t table -Operation chain j target match(es)
例如,希望添加一个规则,允许所有从任何地方到本地smtp端口的连接:iptables t filter -A INPUT -P tcp -port smtp j ACCEPT
基本操作
- -A:在链尾添加一条规则。
- -I:插入规则。
- -D:删除规则。
- -R:替代一条规则。
- -L:列出规则。
- 基本目标动作
- -j
- 适用于所有的链:
- ACCEPT:接收该数据报。
- DROP:丢弃该数据报。
- QUEUE:排队该数据报到用户空间。
- RETURN:返回到前面调用的链。
- Customchain:用户自定义链。
基本匹配条件,适用于所有的链:
- -p:指定协议(cp/icmp/..).
- -S:源地址(ip address/masklen)。
- -d:目 的地址(ip address/masklen).
- -i: 数据报输入接口。
- -O:数据报输出接口。
- -sport 源端口或源服务
- -dport 目的端口或服务
iptables 使用实例
假设某一单位租用DDN专线上网,网络拓扑如图所示,
eth0: 198.199.37.254.
eth1: 198.168.80.254。
以上的IP地址都是Internet上真实的IP 故没有用到IP伪装。
并且,我们假设在内部网中存在以下服务器:
www服务器: 198. 168.80.11
FTP服务器: 198.168.80.12
E-mail服务器: 198.168.80.13
(刷新所有的链的规则)
iptables -F
(首先禁止转发任何包,然后再一步步设置允许通过的包)
iptables -P FORWARD DROP
(数据包是双向的,我们不仅仅要设置数据包出去的规则,还要设置数据包返回的规则,我们先建立针对来自
Intermet数据包的过滤规则,允许来自Internet的用户的www. FTP请求数据包到内网)
iptables -A FORWARD -P tcp -d 198.168.80.11 –dport www -i eth0 j ACCEPT
iptables -A FORWARD -P tcp -d 198.168.80.12 -dport ftp -i eth0 -j ACCEPT
iptables -A FORWARD -P tcp -d 198.168.80.12 - dport ftp-data -i ethO j ACCEPT
(允许来自Internet 的用户的SMTP、POP3 请求数据包到内网)
iptables -A FORWARD -P tcp -d 198.168 80.13 -dport smtp -i eth0 j ACCEPT
iptables -A FORWARD -P tcp -d 198. 168.80.13 -dport pop3 -i eth0 j ACCEPT
(接受来自整个内网的数据包过滤)
ACCEPTiptables -A FORWARD -s 198. 168.80.0/24 -i eth1 j ACCEPT
(对不管来自哪里的ICMP包都进行限制,允许每秒通过一个包,该限制触发的条件是10个包。)
iptables -A FORWARD P icmp -m limit -limit 1/s -it-burst 10- ACCEPT
Web 应用防火墙应用参考
Web 应用防火墙主要依赖于安全规则,因而规则的维护更新是防火墙有效的基础。目前,OWASP 核心规则集(OWASP ModSecurity Core Rule Set)是一组用于 Web 应用防火墙的通用攻击检测规则。核心规则集(CRS)的目的是保护 Web 应用程序的安全,使其免受各种攻击,包括 OWASP TOP 10 攻击,同时使得 Web 防火墙减少虚假报警。CRS3.0 提供 13 种常见的攻击规则类型,包括 SQL 注入、跨站点脚本等。目前,微软公司 Azure 应用程序网关的应用防火墙(WAF)支持 CRS3.0 和 CRS2.0。如图所示,微软公司 Azure 应用程序网关可以用于保护多个网站的安全。在不需要修改代码的情况下,使得 Web 应用程序免受 Web漏洞攻击,一个单独应用程序网关实例可以托管多达100 个受Web应用防火墙保护的网站。
包过滤防火墙应用参考
已知某公司内部网与外部网通过路由器互连,内部网络采用路由器自带的过滤功能来实现网络安全访问控制,如图 所示。
为了保证内部网络和路由器的安全,特定义如下网络安全策略:
- 只允许指定的主机收集 SNMP 管理信息;
- 禁止来自外部网的非法通信流通过;
- 禁止来自内部网的非法通信流通过;
- 只允许指定的主机远程访问路由器。
根据上述网络安全策略,路由器的过滤规则安全配置信息如下。
工控防火墙应用参考
如图所示,在调度中心和各场站之间部署工业防火墙,进行网络层级间的安全隔离和防护,提高门站、储配站、输配站等各站的安全防护能力。将每个场站作为一个安全域,在各场站 PLC/RTU 等工业控制设备的网络出口位置部署工业防火墙,对外来访问进行严格控制,以实现重要工业控制装置的单体设备级安全防护
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼
