华为网络安全入门 – 作者:Deutsh

USG6000V基本介绍

1：如何启动USG600V

在ENSP中使用USG6000V前必须开启硬件虚拟化、导入USG600V包

1：进入BIOS 开启VT enable(硬件虚拟化)

进入BIOS的方式因电脑厂商的不同而有差异

2：解压USG防火墙，并导入eNSP

2：USG6000V的基本使用

USG防火墙6000V默认账户密码：

admin
Admin@123

如何通过web界面连接防火墙：

1：web-manager enable//启动WEB管理，默认开启

2：桥接

具体步骤：

1:配置PC中的环回网卡，从工具栏中拖出Cloud，并配置其与USG6000V同网段

###环回网卡，要在winpcap安装前提前配置，否则配置的环回网卡在Cloud中找不到###

2:USG g0/0/0口默认IP 192.168.0.1/24

###g0/0/0接口默认为管理接口，其IP若不进行配置，则默认为192.168.0.1/24###

3:service-manage all permit

###由于要用web界面进行配置，需要http协议，而防火墙接口默认时不允许所有协议的，所以为了后续配置简单，可以先允许所有协议入站###

3：浏览器中输入IP地址 密码

###用192.168.0.1直接登陆即可，第一次进入可能要求更新密码####

3：基本调试查看命令：

dis zone 显示区域信息

###防火墙是基于区域的###

dis firewall session table   显示会话

###防火墙在配置出入墙策略后，首包检测后，会建立对应的会话表项###

dis security-policy rule all  显示安全策略

非应用层常见攻击方式

目前网络信息安全方向，越来越偏向于应用层安全(WEB安全)，反而有些忽略了一些低层的安全，这里简单介绍几种非应用层的攻击方式，包括最常见的 DDOS 攻击

物理层：

设备破坏、线路监听

链路层：

MAC欺骗、MAC泛洪、ARP欺骗……

网络层：

IP欺骗、Smurf攻击、ICMP攻击、地址扫描……

传输层：

TCP欺骗、TCP拒绝服务、UDP拒绝服务……

DOS攻击——Denial of Service

DOS攻击又称为 拒绝服务攻击

DDOS攻击又称为 分布式拒绝服务攻击

根据字面意思理解：即调用多台计算机/网络设备，向目标设备发送大量各种类型的请求(有恶意的报文、也有正常的请求)，若目标主机/服务器负载均衡/代理等做的不到位，可能因带宽被全部占用，而无法响应正常的请求，从而导致网络变慢、用户体验差、甚至服务器挂掉等严重后果

危害具体包括：

1 消耗带宽 内存 资源 各种泛洪攻击
2 延长响应时间

DOS攻击的一些类型：

DHCP欺骗——DHCP Flood：伪装成用户，请求IP，消耗IP池中的IP，瘫痪DHCP服务器

MAC欺骗——ARP Flood/随机MAC Flood：伪装大量随机MAC(ARP Replay)报文，发到交换机上，导致MAC地址表被大量无用的对应关系填满，无法加入正常对应关系的表项，从而使用户报文在二层无法被转发。

对于MAC欺骗：也不都属于DOS攻击范畴，比如说：

通过伪造网关的MAC地址，欺骗交换机，使用户发给网关的数据包，先转发给攻击者，在由攻击者加工后，转发给网关，也属于非应用层攻击的范畴

IP欺骗：伪装成和局域网用户相同的用户，使IP地址冲突等等

对于IP欺骗：同样也有不属于DOS攻击的范畴，比如说：

对于单用户的欺骗

STP Flood

SYN Flood

等等

对于二三层的攻击，个人认为主要就分为两种：欺骗与泛洪，所以界定是不是DOS攻击没有必要，因为对于多数协议，都有欺骗与泛洪这两种攻击方式

一些攻击方式：

本文对攻击方式不作过多的介绍，毕竟，华为安全主要以防守为主，

对于欺骗类攻击：在企业、学校等大型网络中实现的可能性不大

原因：

对于此类大型网络结构的机构内部，其交换机都具备snooping等功能，包括但不限于将MAC地址与IP地址绑定、port-security安全等功能，可以有效地避免此类攻击

对于此类大型网络结构的机构边界、外部，都具备防火墙、IPS等防御性设备，也有类似于USG系列这种，将IPS等功能集成于统一安全网关中，对报文进行过滤，配上负载均衡，可以有效的避免DDOS攻击，但DDOS攻击因其操作手法简单、危害大等原因，依旧是至今威胁比较大的一种攻击手段

但对于个人局域网(例如说家庭WIFI环境)威胁依旧存在

因家用路由器(严格上不能称为路由器，只能称为简易式路由交换一体机)并不具备企业交换机的安全特性，所以上述攻击在个人局域网中依旧奏效，即使安装”杀毒软件”,默认情况下，二层防御功能也是不启动的，且多数人并不会可以配置，配置二层防御也会影响网络的性能

攻击方式及工具：

这里个人推荐kali中的几个工具

Scapy

Scapy为Python的一个库文件，严格来说其并不属于KALI中的工具，通过Scapy，我们可以构造数据包，Scapy可以自主编辑对应协议数据包参数的内容，我们可以直接在KALI中Scapy的控制台构造单个数据包，但为了完成复杂的欺骗也可以使用Python编写测试脚本

yersina(最新版KALI中已剔除该工具，需自行apt-get instal)

ettercap

等等自动化工具

具体攻击的实现于二三层交换机、路由器的防御，会在下一篇进行介绍

来源：freebuf.com 2020-10-11 23:09:15 by: Deutsh