?

前言：

介紹：?

博主：網(wǎng)絡安全領域狂熱愛好者（承諾在CSDN永久無償分享文章）。

殊榮：CSDN網(wǎng)絡安全領域優(yōu)質創(chuàng)作者，2022年雙十一業(yè)務安全保衛(wèi)戰(zhàn)-某廠第一名，某廠特邀數(shù)字業(yè)務安全研究員，edusrc高白帽，vulfocus、攻防世界等平臺排名100+、高校漏洞證書、cnvd原創(chuàng)漏洞證書等。

擅長：對于技術、工具、漏洞原理、黑產(chǎn)打擊的研究。

C站緣：C站的前輩，引領我度過了一個又一個技術的瓶頸期、迷茫期。

---

導讀：

面向讀者：對于網(wǎng)絡安全方面的學者。?

本文知識點（讀者自測）：?

（1）防護墻的基礎知識、（√）

（2）常用命令（√）

（3）出入站策略等（√）

?讓讀者如虎添翼

內網(wǎng)博文	目標	狀態(tài)
【內網(wǎng)安全-CS】Cobalt Strike啟動運行&上線方法&插件	學會cs的基本使用方法、以及插件	已發(fā)布
【內網(wǎng)安全-基礎】基礎知識、信息收集、工具	基礎知識、基礎常規(guī)信息收集（命令、工具等）	已發(fā)布
【內網(wǎng)安全-防火墻】防火墻、協(xié)議、策略	防護墻的基礎知識、常用命令、出入站策略等	已發(fā)布
【內網(wǎng)安全-通訊&上線】通訊&上線基礎知識	基礎知識、通訊、上線、代理	已發(fā)布
【內網(wǎng)安全-隧道技術】SMB、ICMP、DNS隧道、SSH協(xié)議	常用的上線方法	已發(fā)布
隧道搭建、穿透上線	2023將繼續(xù)更新，敬請期待	——
橫向移動	2023將繼續(xù)更新，敬請期待	——
權限維持	2023將繼續(xù)更新，敬請期待	——
靶場練習	2023將繼續(xù)更新，敬請期待	——

---

目錄

一、基礎知識

1、防火墻五個域

2、協(xié)議模型

二、出入站策略

1、單個機器防火墻

2、域控的防火墻

3、安全策略

---

一、基礎知識

1、防火墻五個域

1、Untrust(不信任域，低級安全區(qū)域):

用來定義Internet等不安全的網(wǎng)絡，用于網(wǎng)絡入口線的接入

————

2、DMZ(隔離區(qū)，中級安全區(qū)域):

用來定義內部服務器所在網(wǎng)絡，把WEB等允許外部訪問的服務器單獨接在該區(qū)端口，使整個需要保護的內部網(wǎng)絡接在信任區(qū)端口后，實現(xiàn)內外網(wǎng)分離（DMZ內通常放置一些不含機密信息的公用服務器，比如Web、Mail、FTP等。來自外網(wǎng)的訪問者可以訪問DMZ中的服務，但不可能接觸到存放在內網(wǎng)中的公司機密或私人信息等）

————

3、Ttrust(信任域，高級安全區(qū)域):

用來定義內部用戶所在的網(wǎng)絡

————

4、Local(本地，頂級安全區(qū)域):

防火墻本身的區(qū)域，由防火墻主動發(fā)出、響應的報文均可認為是從Local區(qū)域中發(fā)出、接受

————

5、Management(管理，頂級安全區(qū)域):

除了console控制接口對設備進行配置,如果防火墻設備可以通過web界面配置的話，需要一根雙絞線連接到管理接口，鍵入用戶名和密碼進行配置

---

2、協(xié)議模型

二、出入站策略

1、單個機器防火墻

優(yōu)先級：

1、只允許安全連接
2、阻止連接
3、允許連接
4. 默認規(guī)則（沒設置，則默認阻止）

————

配置：控制面板---系統(tǒng)與安全---防火墻---高級設置---點擊入站/出站規(guī)則---新建規(guī)則

（可以配置端口、協(xié)議、程序等）

---

2、域控的防火墻

2、域控制器：

1）服務器管理器---添加角色和功能---基于角色/功能的安裝---從服務器池中選擇服務器---選擇AD（Active Directory）域服務---直至安裝成功
2）把服務器升級為域控制器---添加新林---設置目錄服務還原模式（密碼）---其余默認配置---重啟---在活動目錄中新增目錄和用戶---開始菜單選擇DNS，檢查DNS是否正確

————

2、組策略：

使用域組策略編輯器（組策略管理控制臺– gpmc.msc）----創(chuàng)建Firewall-Policy的新GPO策略---切換到編輯模式

（更新策略失敗：配置一個BranchCache的分支緩存機制）

?

?（配置出入站的組策略）

————

3、安全策略

1）域間
用于控制域間流量的轉發(fā)，適用于接口加入不同安全區(qū)域的場景。域間安全策略按IP地址、時間段和端口或協(xié)議（服務）、用戶等多種方式匹配流量，并對符合條件的流量進行包過濾控制（permit/deny）或高級的UTM應用層檢測

（也用于控制外界與設備本身的互訪，允許或拒絕與設備本身的互訪）

————
2）域內

缺省情況下域內數(shù)據(jù)流動不受限制，也可以應用域內安全策略，阻斷域內成員惡意訪問服務器等重要資源（與域間安全策略一樣）

————
3）接口包

當接口未加入安全區(qū)域的情況下，通過接口包過濾控制接口接收和發(fā)送的IP報文，可以按IP地址、時間段和端口或協(xié)議類型（服務）等多種方式匹配流量并執(zhí)行相應動作。

（如：基于MAC地址的包過濾用來控制接口可以接收指定以太網(wǎng)幀，按MAC地址、幀的協(xié)議類型和幀的優(yōu)先級匹配流量并執(zhí)行相應動作；硬件包過濾在特定的二層硬件接口卡上實現(xiàn)，控制接口卡上的接口流量）

---

---

網(wǎng)絡安全三年之約

First year?

掌握各種原理、不斷打新的靶場

目標：edusrc、cnvd?

主頁 | 教育漏洞報告平臺 (sjtu.edu.cn)https://src.sjtu.edu.cn/https://www.cnvd.org.cnhttps://www.cnvd.org.cn/

---

second year?

不斷學習、提升技術運用技巧，研究各種新平臺

開始建立自己的滲透體系

目標：眾測平臺、企業(yè)src應急響應中心?

眾測平臺	URL
漏洞盒子	漏洞盒子 | 互聯(lián)網(wǎng)安全測試眾測平臺
火線安全平臺	火線安全平臺
漏洞銀行	BUGBANK 官方網(wǎng)站 | 領先的網(wǎng)絡安全漏洞發(fā)現(xiàn)品牌 | 開放安全的提出者與倡導者 | 創(chuàng)新的漏洞發(fā)現(xiàn)平臺
360漏洞眾包響應平臺	360漏洞云漏洞眾包響應平臺
補天平臺（奇安信）	補天 - 企業(yè)和白帽子共贏的漏洞響應平臺，幫助企業(yè)建立SRC
春秋云測	首頁
雷神眾測（可信眾測，安恒）	雷神眾測 - BountyTeam
云眾可信（啟明星辰）	云眾可信 - 互聯(lián)網(wǎng)安全服務引領者
ALLSEC	ALLSEC
360眾測	360眾測平臺
看雪眾測（物聯(lián)網(wǎng)）	https://ce.kanxue.com/
CNVD眾測平臺	網(wǎng)絡安全眾測平臺
工控互聯(lián)網(wǎng)安全測試平臺	CNCERT工業(yè)互聯(lián)網(wǎng)安全測試平臺
慢霧（區(qū)塊鏈）	Submit Bug Bounty - SlowMist Zone - Blockchain Ecosystem Security Zone
平安匯聚	http://isrc.pingan.com/homePage/index

互聯(lián)網(wǎng)大廠	URL
阿里	https://asrc.alibaba.com/#/
騰訊	https://security.tencent.com/
百度	https://bsrc.baidu.com/v2/#/home
美團	https://security.meituan.com/#/home
360	https://security.360.cn/
網(wǎng)易	https://aq.163.com/
字節(jié)跳動	https://security.bytedance.com/
京東	https://security.jd.com/#/
新浪	http://sec.sina.com.cn/
微博	https://wsrc.weibo.com/
搜狗	http://sec.sogou.com/
金山辦公	https://security.wps.cn/
有贊	https://src.youzan.com/

---

Third Year?

學習最新的知識，建全自己的滲透體系

目標：參與護網(wǎng)（每一個男孩子心中的夢想）?

時間：一般5月面試，6/7月開始（持續(xù)2-3周）

分類：國家級護網(wǎng)、省級護網(wǎng)、市級護網(wǎng)、重大節(jié)日護網(wǎng)（如：建黨、冬奧等）

總結

以上是生活随笔為你收集整理的【内网安全-防火墙】防火墙、协议、策略的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。