网络防御安全笔记(网络安全防护的妙招与经验)

网络防御安全笔记安全策略
传统的包过滤防火墙 — 其本质为 ** ACL** ** 列表,根据** ** 数据报中的特征** ** 进行过滤,之后对比规制,**
执行动作。
五元组 — 源 *

安全策略

传统的包过滤防火墙——其本质是基于数据报的**特征**的**ACL**列表。

过滤和比较法规。 **

采取行动。

5 元组— 源** IP **,** 目的地** IP **

,源端口,****目的端口,协议

安全策略- 首先允许您以更细的粒度匹配流量,从而改进了**ACL** **;

** 内容安全** ** 发现即可完成。 **

安全策略- ****1、访问控制(允许和拒绝)

2.内容检测——如果允许通过,就可以进行内容检测。

要求:**DMZ**区域必须有两台服务器,并且生产区域的设备必须仅在工作时间(上午9:00 起)可用。

****18:00)

全天均可使用办公区域和设备。

以上部分均为流量匹配条件

各项之间是“与”的关系。如果未进行选择,则默认为**任何****;**。

多选时,各项之间为“OR”关系。

防火墙状态发现和会话表

基于流的流量检查- 这意味着设备仅过滤流量的第一个数据包并将结果用作此数据流。

“特征”被记录(记录在本地“会话表”中)。数据流中的后续消息将以此为基础。

特征用于转发而不是匹配安全策略。这样做的目的是为了提高传输效率。

当Web 服务器向您的PC 报告时,防火墙会将消息中的信息与会话表中的信息结合起来。

如果消息中的信息与会话表中的信息匹配并且符合协议规范,

根据Fan对尾随数据包的定义,数据包被认为属于PC并被允许通过。

1. 会话表2. 状态检测

会话表——比较会话表时,会话表本身也是基于5 元组计算的。

使用HASH 比较五个值。由于HASH是固定长度的,因此可以基于硬件进行处理,可以提高传输效率。

速度。

会话表中的记录只有在流量触发时才有意义,所以如果一条记录长时间没有交互,

如果发布,则应将其删除。这意味着会话表中的记录必须有老化时间。如果会话表中的一条记录被删除

流量被丢弃后,如果相同的五个流量再次通过防火墙,则必须根据安全策略再次检查第一个数据包以创建会话。

如果无法创建会话表,则该数据流的数据将被丢弃。

如果会话表老化时间过长,会浪费系统资源,同时会出现新的会话表项。

无法建立成功

如果会话表老化时间太短,系统会强制阻塞一些需要长时间启动的报文连接。

中断并影响业务传输。

每种协议都有不同的会话表老化时间。

[** USG** ** 6000V1]** ** 显示** ****防火墙

****Session ****Table **** – 显示会话表

[** USG** ** 6000V1]** ** 显示** ****防火墙

****会话****表****详细****

查看会话表详细信息

状态检测技术

状态检测主要检测协议中后续的逻辑数据包,并且只允许在第一个数据包通过后进行逻辑创建。

会话表。您可以选择打开或关闭此功能。

ASPF

FTP ** —** **文件传输协议**

FTP**协议是典型的****C/S****架构协议**

Tftp**** – 简单文件传输协议

1. ****FTP相比Tftp多了一个认证动作。

2. ****FTP相比Tftp有一套完整的命令。

动态NAT – 多对多

NAPT — 一对多NAPT — Easy IP

— 多对多NAPT

服务器映射

源NAT — 根据源IP 地址进行转换。目前我们遇到的静态NAT、动态NAT、NAPT都属于源。

所有NAT 都会转换源IP 地址。源NAT的主要目的是为了让内网用户能够访问公网。

目标NAT — 根据目标IP 地址进行转换。前面提到的服务器映射属于目标NAT。这是为了允许公网用户访问内部服务器。

双向NAT – 同时转换源和目标IP 地址。

网络安全入门学习路线

事实上,网络安全入门不需要学太多东西。也就是说,四个流程几乎是一样的:网络基础+操作系统+中间件+数据库。

原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/92471.html

(0)
CSDN's avatarCSDN
上一篇 2024年6月27日 上午10:40
下一篇 2024年6月27日 上午11:00

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注