安全策略
传统的包过滤防火墙——其本质是基于数据报的**特征**的**ACL**列表。
过滤和比较法规。 **
采取行动。
5 元组— 源** IP **,** 目的地** IP **
,源端口,****目的端口,协议
安全策略- 首先允许您以更细的粒度匹配流量,从而改进了**ACL** **;
** 内容安全** ** 发现即可完成。 **
安全策略- ****1、访问控制(允许和拒绝)
2.内容检测——如果允许通过,就可以进行内容检测。
要求:**DMZ**区域有两台服务器,生产区域的设备必须仅在工作时间(上午9:00 起)可用。
****18:00)
全天均可使用办公区域和设备。
以上部分均为流量匹配条件
各项之间是“与”的关系。如果未进行选择,则默认为**任何****;**。
多选时,各项之间为“OR”关系。
防火墙状态发现和会话表
基于流的流量检查- 这意味着设备仅过滤第一个流量数据包并将结果用于该数据流。
“特征”被记录(记录在本地“会话表”中)。数据流中的后续消息将以此为基础。
特征用于转发而不是匹配安全策略。这样做的目的是为了提高传输效率。
当Web 服务器向您的PC 报告时,防火墙会将消息中的信息与会话表中的信息结合起来。
如果消息中的信息与会话表中的信息匹配并且符合协议规则,
根据Fan对尾随数据包的定义,数据包被认为属于PC并被允许通过。
1. 会话表2. 状态检测
会话表——比较会话表时,会话表本身也是基于5 元组计算的。
使用HASH 比较五个值。由于HASH是固定长度的,因此可以基于硬件进行处理,可以提高传输效率。
速度。
会话表中的记录只有在流量触发时才有意义,所以如果一条记录长时间没有交互,
如果发布,则必须将其删除。这意味着会话表中的记录必须有老化时间。如果会话表中的一条记录被删除
流量被丢弃后,如果相同的五个流量再次通过防火墙,则必须根据安全策略再次检查第一个数据包以创建会话。
如果无法创建会话表,则该数据流的数据将被丢弃。
如果会话表老化时间过长,会浪费系统资源,同时会出现新的会话表项。
无法创建成功
如果会话表老化时间太短,系统会强制阻塞一些需要长时间启动的报文连接。
中断并影响业务传输。
不同协议的会话表老化时间不同。
[** USG** ** 6000V1]** ** 显示** ****防火墙
****Session ****Table **** – 显示会话表
[** USG** ** 6000V1]** ** 显示** ****防火墙
****会话****表****详细****
查看会话表详细信息
状态检测技术
状态检测主要检测协议中的逻辑后续数据包,并且仅允许在逻辑第一个数据包通过后创建。
会话表。您可以选择打开或关闭此功能。
ASPF
FTP ** —** **文件传输协议**
FTP**协议是典型的****C/S****架构协议**
Tftp**** – 简单文件传输协议
1. ****FTP相比Tftp多了一个认证动作。
2. ****FTP相比Tftp有一套完整的命令。
动态NAT – 多对多
NAPT — 一对多NAPT — Easy IP
— 多对多NAPT
服务器映射
源NAT — 根据源IP 地址进行转换。目前我们遇到的静态NAT、动态NAT、NAPT都属于源。
所有NAT 都会转换源IP 地址。源NAT的主要目的是为了让内网用户能够访问公网。
目标NAT — 根据目标IP 地址进行转换。前面提到的服务器映射属于目标NAT。这是为了允许公网用户访问内部服务器。
双向NAT – 同时转换源和目标IP 地址。
网络安全入门学习路线
事实上,网络安全入门不需要学太多东西。也就是说,四个流程几乎是一样的:网络基础+操作系统+中间件+数据库。
1.网络安全法和了解电脑基础
其中包括Windows和Linux操作系统的基础知识、标记语言HTML和代码JS的基础知识,还有网络基础知识、数据库基础知识、虚拟机使用……
没有必要害怕这些看似很多的事情。其实这些都是非常简单的基础知识,学生通过阅读本文基本上就能掌握。计算机科学专业的学生应该对此很熟悉,因此您可以安全地直接跳过这一部分。如果您以前从未学习过,请不要惊慌。您可以在B站搜索相关视频。如果你搜索关键词“网络安全工程师”,你会看到很多相关的视频教程。顶部的视频详细解释了这一点。
当然,您也可以观看以下视频教程,该视频教程仅显示了一些屏幕截图。
在学习了如何捕获http和https数据包之后,您需要能够理解它们在说什么。
2.网络基础和编程语言
3.入手Web安全
既然网络是对外开放的,万一有事自然会被入侵,那你觉得可以不管吗?
如果您想了解更多有关网络安全的信息,您首先需要了解网络是如何构建的。只有了解其结构,才能准确地攻击网络。所以你需要了解一些关于Web前端和Web后端的知识,然后学习Python并至少理解一些代码。
最后,您需要了解一些有关网站开发的知识,但不要紧张,学习基础知识。
在几周内完成这些研究基本上使您有资格成为一名入门级渗透工程师。请注意以上几点。
另外,要正式进入Web安全领域,学习SQL注入/XSS跨站脚本攻击/Webshell木马等常见Web漏洞的原理和利用方法,比如OWASP TOP 10需要做。写入/命令执行等
这个过程并不无聊。一边打怪一边升级是不是很爽呢?每一种攻击方式都会让你玩得很开心,但总有一种更麻烦的方式在等着你。
了解了Web入侵之后,还需要学习和利用相关的系统级漏洞,例如MS17-010永恒之蓝等微软MS漏洞。说到这里大家可能会感到困惑,但是一旦你了解了网络渗透,你就会发现它非常简单。
事实上,学习这些步骤将正式将您从初学者提升为入门级学生。这其实并不难。如果你愿意的话你可以做到。
4.安全体系
然而,即使是渗透测试工程师这个级别,我们也只能提供基础的安全服务,而这个领域的业务还有很多,比如攻防培训、安全评估、风险评估等。充足的。
因此,如果你想获得网络工程师资格并获得安全公司的工作机会,你需要学习更多的网络安全知识,将自己的能力提升到一个新的水平。即使你以后进了一家公司,你也需要学习很多新知识,如果你不提高自己的技能,你就会被淘汰。
鉴于时代的发展,网络安全的知识学不完,选择开始网络安全的同学一定要有正确的态度。您的入门级别越高,您拥有的机会就越多。
尾言
入门学习阶段的知识点比较复杂,所以最后我们和CSDN合作打造了一套【282G】网络安全,有需要的朋友可以点击查看。从链接中获取!
单击此处了解网络安全的主要优势。免费提供全套入门级和高级共享的282G学习资源包。
如果你对网络安全入门感兴趣,那么你点击这里CSDN大礼包:《黑客网络安全入门进阶学习资源包》免费分享
以上关于#NetworkDefenseSecurityNotes的相关内容摘自互联网,仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93787.html
