每日一练 - USG 系统防火墙的 Server Map 表

于 2024-08-07 16:00:00 发布
阅读量880 收藏 17
点赞数 9
分类专栏: 每日一练 文章标签: 网络 华为 网络工程师 华为认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HCIE_SPOTO/article/details/140986051
版权

01 真题题目


USG 系统防火墙的 Servemap 表的三要素,不包括:

A.目的 IP

B.目的端口号

C.协议号

D.源 IP

02 真题答案

D

03 答案解析


USG 系统防火墙的 Server Map 表主要用于跟踪应用层协议的状态,并实现特殊的安全机制。Server Map 表项通常包含五元组信息,即源 IP 地址、目的 IP 地址、源端口、目的端口和协议类型。
然而,在 Server Map 表中,重点关注的是目的 IP 地址、目的端口号和协议类型这三个要素,因为它们用于标识特定的会话或连接。源 IP 地址虽然也是五元组的一部分,但不是 Server Map 表项中的主要关注点。

04 学习拓展


★ Server Map 表的基本概念

· 目的 IP 地址:标识目的主机的 IP 地址。

· 目的端口号:标识目的主机上的服务端口。

· 协议类型:标识使用的网络协议,如 TCP、UDP 等。

· 源 IP 地址:标识源主机的 IP 地址,虽然也是五元组的一部分,但不是Server Map 表项中的主要关注点。


★ Server Map 表的作用

· 跟踪会话状态:Server Map 表用于跟踪特定应用层协议的会话状态,例如 FTP 控制连接和数据连接的状态。

· 实现特殊安全机制:Server Map 表项还可以包含特殊的安全规则,用于控制特定应用层协议的数据包流动。

★ 分析选项

A. 目的 IP:这是 Server Map 表项中的一个关键要素,用于标识目的主机。

B. 目的端口号:这是 Server Map 表项中的另一个关键要素,用于标识目的主机上的服务端口。

C. 协议号:这是 Server Map 表项中的第三个关键要素,用于标识使用的网络协议。

D. 源 IP:虽然源 IP 地址是五元组的一部分,但它不是 Server Map 表项中的主要关注点。
 

★ 案例分析
假设一家公司正在使用 USG 系统防火墙来保护其网络。为了确保 FTP 服务的安全,管理员配置了 ASPF(Application Specific Packet Filter,应用特定包过滤)来监视 FTP 流量。
当一个 FTP 会话开始时,ASPF 会创建 Server Map 表项来跟踪 FTP 控制连接和数据连接的状态。这些表项不仅记录了目的 IP 地址、目的端口号和协议类型,还包含了特殊的过滤规则,以确保只有合法的 FTP 数据包才能通过防火墙。
 

★ 学习拓展
对于网络工程师来说,理解 USG 系统防火墙的 Server Map 表的功能非常重要。通过深入学习 Server Map 表的工作原理和配置方法,网络工程师可以更好地设计和实施有效的安全策略,确保网络资源的合理分配,提高网络效率和安全性。
总之,选项 D 中的源 IP 地址虽然也是五元组的一部分,但它不是 Server Map 表项中的主要关注点。Server Map 表项中的关键要素是目的 IP 地址、目的端口号和协议类型。通过合理选择和配置 Server Map 表项,网络工程师可以有效地监控网络流量,及时发现并解决网络问题。

还想学更多技术知识?又或是需要完整华为真题真题题库?

私信小编,回复【题库】,限时获取~

想获取更多『 思科 | 华为 | 华三 | 红帽 | CISP | OCP | PMP | 软考 』、『 考证咨询 | 认证真题 | 职业规划 | 岗位内推 』,请关注公众号:HCIE考证研究所

HCIE考证研究所
关注
  • 9
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为USG防火墙入门基础03_Server-map
IT_zhangsan
06-15 1279
通常情况下,如果在设备上配置严格的安全策略,那么设备将只允许内网用户单方向主动访问外网。为了解决这一类问题,FW引入了Server-mapServer-map用于存放一种映射关系,这种映射关系可以是控制数据协商出来的数据连接关系,也可以是配置NAT中的地址映射关系,使得外部网络能透过设备主动访问内部网络。生成Server-map之后,如果一个数据连接匹配了Server-map项,那么就能够被设备正常转发,并在匹配Server-map后创建会话,保证后续报文能够按照会话转发。
防火墙安全策略多通道协议支持ASPF server map 3.2
kanxingxingdemao的博客
02-01 610
主动模式下,防火墙控制层正常建立三次握手,但建立数据层时,client让服务器以port Y 端口,建立数据通道,服务器以Y端口为目的发送时,因为防火墙没有放行,前面放行的时client 到服务器的21,会话也是21.现在数据层是服务器到client Y端口,没有安全策略,所以建立不了握手,ftp失败。Y是随机端口。 被动模式下。控制层正常握手,client让服务器给我ip 和端口,要来建立数据层通道。服务器给了个Y端口,但client向服务器建立数据层握手,目的端口是Y ,但安全策略没有这个...
再谈server-map
qq_47529104的博客
03-16 6094
server-map是一个从ASPF到NAT都有出现的一个东西,但是无论是什么教学视频还是其他的书籍对这块的内容描述都很混乱,所以我自己总结一下: 1、多通道协议中的server-map 在多通道协议中server-map主要的作用就是放行子通道的流量,因为一般来说这种多通道协议的子通道是外网主机与内网主机通过端口与端口之间建立的端到端的通信,因为在server-map中记录的即是这种端到端的流量,所以使用server-map对其进行放行是完全没有问题的。 2、no-PAT的serve
防火墙——多通道协议与Server-map
m0_49864110的博客
06-01 4073
ASPF全称为针对应用层的包过滤(基于状态的报文过滤),FW通过检测协商报文应用层携带的地址和端口信息,自动生成相应的Server-map,用于放行后续建立数据通道的报文,相当于自动创建的一条精细的“安全策略”,解决了多通道协议使用随机端口无法过滤的问题。ALG全称为应用层网关,用于在NAT场景下检测协商报文应用层携带的地址和端口信息,自动生成Server-map,并自动转换应用层报文载荷中的IP地址和端口信息。
理论随心记——防火墙基础介绍
Uniqueness981121的博客
09-17 1588
该内容只是以默写总结一些知识点而已,顺便分享出来和方便翻阅。无他。有错误的地方麻烦批评指正。十分感谢。 防火墙与其他设备区别 防火墙,故名思意就是阻止火势从一个区域蔓延到另一个区域,所以作用就是保护一个区域免受来自其他区域的攻击。 我们之前常接触的设备是交换机和路由器,交换机主要是隔离冲突域和组件局域网。路由器主要是寻址路由,分组重组来使得不同网络互通。这两者的实质是转发,而防火墙的实质是控制。 我们也知道,路由器其实也是有一定的防护能力的,像一些简单包过滤。那防火墙相比路由器在安全防护上有什么特点呢?我们
华为防火墙USG5500
weixin_34240657的博客
06-08 3508
华为防火墙USG5500重点:什么是防火墙防火墙基础;防火墙功能配置一.什么是防火墙:1.什么是防火墙防火墙主要用于保护一个网络免受来自另一个网络的***和***行为,因其隔离、防守属性,防火墙灵活应用于网络边界、子网隔离等位置,如企业网络出口、大型网络内部子网隔离、数据中心(IDC)边界。2.对比交换机路由器及防火墙:1)交换机:组建局域网、通过二层或三层交换快速转发报文;2)路由器:连接不...
华为网络----防火墙理论+NAT策略理论与实验
weixin_45726050的博客
02-25 2387
文章目录前言:一、防火墙简介1.1 华为防火墙工作模式1.2 华为防火墙安全区域1.3 华为防火墙的inbound和outbound1.4 华为防火墙安全策略二、NAT概述2.1 NAT分类三、黑洞路由3.1 黑洞路由的产生3.2 黑洞路由应用场景3.3 黑洞路由配置命令四、Server-map4.1 Server-map简介4.2 Server-map和会话的区别4.3 server-ma...
ENSP 防火墙USG6000V NAT 设置(全场景)
sgslwms的博客
06-22 1万+
防火墙作为出口网关做源NAT的情况
HCIA-SEC笔记10------防火墙双机热备技术
weixin_44747184的博客
11-14 570
HCIA-SEC课程之防火墙双机热备技术
HCIP-H12-222单选题库(1)
热门推荐
清冷猫
05-13 3万+
1、为了给不同的用户或业务提供不同的服务,可以根据报文的信息(如报文优先级、源IP、目的IP、端口号等)来精细划分用户或业务,那么为了实现划分功能,我们通常采用的QoS技术是? A.拥塞避免 B.流量监管C.复杂流分类 D.拥塞管理 【正确答案】C 【答案解析】给不同的用户或者业务提供不同的服务,可以根据报文信息进行分类 ,分类包含简单流分类和复杂流分类,比如用报文优先级、源IP、目的IP、端口号等来精细划分用户或业务的,所以正确答案是“复杂流分类”。 2、SDN架构主要包含两个接口:NBI北向接...
2019.06.03华为HCNP-数通(H12-222)V2.5.pdf
08-09
华为HCNP-数通认证考试题库,2019.06.03华为HCNP-数通(H12-222)V2.5
防火墙初识
man50nai的博客
09-05 1222
网络的发展早期,没有防火墙时,网络的性质是大家都联通的,也就是 any to any相互联通也就意味着安全性无法得到有效的保障,随着发展,则出现了对网络安全的需求防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害的流量或者数据包)的设备所以,简单来说防火墙的防御对象就是授权用户非授权用户。
华为防火墙基本配置ASPF与Server-map
sjsjshhs134654的博客
11-14 2550
Server-map不是当前的连接信息,而是防火墙对当前连接分析后得到的即将到来报文的预测;如果没有命中则检查是否命中Server-map;命中Server-map的报文不受安全策略控制;防火墙最后为命中Server-map的数据创建会话。设备通过检测报文的应用层数据,自动获取相关信息并创建相应的会话项,以保证这些应用的正常通信。这个功能称为ASPF,所创建的会话项叫做Server-map。分析报文,产生Server-map。中的关键信息,报文命中该后,
防火墙实验复现
最新发布
wyp20011020的博客
03-30 282
如何产生?防火墙安全策略无法解决某些特定应用的流量放行问题大致分为三部分多通道协议(FTP)STUN(QQ 微信)相当于有多个通道NAT基本工作原理无论是通过ASPF ALG NAT技术,创建一个server-map,把应用的网络参数详细的抓出来,放在server-map中,当流量过来一后,不仅要看安全策略还要看server-map(安全策略在前,至少要把控制流放过;
华为防火墙技术
ejhrkejrk的博客
01-18 899
防火墙
华为防火墙NAT与NATserver情况下server-map生成情景与解释
qq_47529104的博客
03-15 3672
PAT 这种情况下的NAT地址转换是不会生成对应的server-map项的,其主要原因是因为PAT的nat地址转换会不断地进行端口的复用,在不断的地址转换的过程中内网主机可能在一次通信的过程中源端口就在不断动态的变化,这就使得即便我们想要强行地记录对应的server-map项也显得那么的多余,因为可能上一秒使用了该端口,下一秒就变成了其他的端口。 no-PAT 这种情况下会生成对应的server-map项,因为这种地址转换是和内网主机进行一对一的地址变换,所以防火墙能够准确的知道内网主机和公
安全HCIP之Server-map
XiaoHG_CSDN的博客
10-05 3344
Server-map server-map是一种映射关系,当数据连接匹配了动态Server-map项时,不需要再查找包过滤策略,保证了某些特殊应用的正常转发; 多通道协议会由客户端和服务器之间的控制通道动态协商出数据通道,即通信双方的端口号是不固定的,而在配置ASPF功能后,设备检测到控制通道的协商,根据关键报文载荷中的地址信息动态创建server-map项,用于数据通过发起连接时进行查找,这个server-map项包含了多通道协议报文中协商的数据通道的信息; 可以产生Server map项的(
华为认证-每日十题】HCNP-R&S-IENP(11-20)【答】
weixin_42559627的博客
08-13 6637
11 ASPF (Application Specific packet Filter)是一种基于应用层的包过滤,它会检查应用层协议信息并且监控链接的应用层协议状态,并通过server Map实现了特殊的安全机制。那么关于ASPF和server map的说法,错误的是: A ASPF监视通信过程中的报文 B ASPF动态创建和删除过滤规则 C ASPF通过servermap实现动态允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值