安全策略
传统的包过滤防火墙——其本质是基于数据报的**特征**的**ACL**列表。
过滤和比较法规。 **
采取行动。
5 元组— 源** IP **,** 目的地** IP **
,源端口,****目的端口,协议
安全策略- 首先允许您以更细的粒度匹配流量,从而改进了**ACL** **;
** 内容安全** ** 发现即可完成。 **
安全策略- ****1、访问控制(允许和拒绝)
2.内容检测——如果允许通过,就可以进行内容检测。
要求:**DMZ**区域必须有两台服务器,并且生产区域的设备必须仅在工作时间(上午9:00 起)可用。
****18:00)
全天均可使用办公区域和设备。
以上部分均为流量匹配条件
各项之间是“与”的关系。如果未进行选择,则默认为**任何****;**。
多选时,各项之间为“OR”关系。
防火墙状态发现和会话表
基于流的流量检查- 这意味着设备仅过滤流量的第一个数据包并将结果用作此数据流。
“特征”被记录(记录在本地“会话表”中)。数据流中的后续消息将以此为基础。
特征用于转发而不是匹配安全策略。这样做的目的是为了提高传输效率。
当Web 服务器向您的PC 报告时,防火墙会将消息中的信息与会话表中的信息结合起来。
如果消息中的信息与会话表中的信息匹配并且符合协议规范,
根据Fan对尾随数据包的定义,数据包被认为属于PC并被允许通过。
1. 会话表2. 状态检测
会话表——比较会话表时,会话表本身也是基于5 元组计算的。
使用HASH 比较五个值。由于HASH是固定长度的,因此可以基于硬件进行处理,可以提高传输效率。
速度。
会话表中的记录只有在流量触发时才有意义,所以如果一条记录长时间没有交互,
如果发布,则应将其删除。这意味着会话表中的记录必须有老化时间。如果会话表中的一条记录被删除
流量被丢弃后,如果相同的五个流量再次通过防火墙,则必须根据安全策略再次检查第一个数据包以创建会话。
如果无法创建会话表,则该数据流的数据将被丢弃。
如果会话表老化时间过长,会浪费系统资源,同时会出现新的会话表项。
无法建立成功
如果会话表老化时间太短,系统会强制阻塞一些需要长时间启动的报文连接。
中断并影响业务传输。
每种协议都有不同的会话表老化时间。
[** USG** ** 6000V1]** ** 显示** ****防火墙
****Session ****Table **** – 显示会话表
[** USG** ** 6000V1]** ** 显示** ****防火墙
****会话****表****详细****
查看会话表详细信息
状态检测技术
状态检测主要检测协议中后续的逻辑数据包,并且只允许在第一个数据包通过后进行逻辑创建。
会话表。您可以选择打开或关闭此功能。
ASPF
FTP ** —** **文件传输协议**
FTP**协议是典型的****C/S****架构协议**
Tftp**** – 简单文件传输协议
1. ****FTP相比Tftp多了一个认证动作。
2. ****FTP相比Tftp有一套完整的命令。
动态NAT – 多对多
NAPT — 一对多NAPT — Easy IP
— 多对多NAPT
服务器映射
源NAT — 根据源IP 地址进行转换。目前我们遇到的静态NAT、动态NAT、NAPT都属于源。
所有NAT 都会转换源IP 地址。源NAT的主要目的是为了让内网用户能够访问公网。
目标NAT — 根据目标IP 地址进行转换。前面提到的服务器映射属于目标NAT。这是为了允许公网用户访问内部服务器。
双向NAT – 同时转换源和目标IP 地址。
网络安全入门学习路线
事实上,网络安全入门不需要学太多东西。也就是说,四个流程几乎是一样的:网络基础+操作系统+中间件+数据库。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92471.html
