安全策略的匹配原则补充

最新推荐文章于 2024-09-07 08:00:00 发布
最新推荐文章于 2024-09-07 08:00:00 发布
阅读量137 收藏
点赞数
文章标签: 网络 运维 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mario_Ti/article/details/134974531
版权

1、安全策略仅控制单播报文,默认情况下,组播报文以及广播报文不受防火墙安全策略的控制,防火墙是直接转发组播报文以及广播报文,适用于BGP、BFD、DHCP、LDP、OSPF、DHCPv6,用户需要为此类协议的单播报文配置安全策略,若防火墙想快速接入网络,可以使用以下命令取消该策略,之后,上述协议的单播报文不受安全策略控制。

undo firewall packet-filter basic-protocol enable

2、二层组播报文,用户也可以开启安全策略控制功能,命令如下,开启功能后,用户需要为二层组播报文配置安全策略,除了二层邻居发现组播报文。

firewall l2-multicast packet-filter enable

3、对于访问防火墙的管理协议,若开启了接口访问控制,则不需要配置安全策略,其优先级高于安全策略。

4、华为防火墙是状态检测防火墙,用户只需要为报文的发起者配置安全策略,这与上篇文章“首包”以及会话表有关。👉防火墙安全策略基础知识👈

5、对于多通道协议,如FTP,只需要在控制通道配置安全策略。华为防火墙具有ASPF应用层包过滤技术,该技术会自动检测FTP报文的应用层信息,生成Server-MAP表,FTP的数据信息可通过查询该表放行,无需额外配置安全策略。

6、源地址和目的地址处于同个安全区域的流量,默认不需要配置安全策略。

7、防火墙转发流程中跳过安全策略检测的业务,不需要配置安全策略,如防火墙配置了认证策略,用户访问请求触发了Protal认证时,不需要为认证开放安全策略,或者防火墙双机热备,不用为两台防火墙之间的HRP报文配置安全策略。

参考资料:防火墙和VPN技术与实践——李学昭

Mario_Ti
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
防火墙安全策略基础知识
Mario_Ti的博客
12-13 1846
此文章介绍防火墙安全策略基础知识,看完就会!
防火墙安全策略技术
weixin_45777287的博客
07-30 2837
1、包过滤技术 对需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。这是传统防火墙应用的技术。 2、安全策略与包过滤的区别 3、安全策略的原理 (1)防火墙的基本作用 是保护特定网络免受“不信任“网络的攻击,同时还必须允许两个网络之间可以进行合法的通信。 (2)安全策略的定义和作用 定义:是控制设备对流量转发以及对流量进行内容安全一体化检测的策略。 作用:对通过防火墙的数据流进行检验,符号安全策略的合法数据流才能通过防火墙。 4、安全策略的内容 (1)策略
华为防火墙安全策略
weixin_49209272的博客
12-11 8895
1初识安全策略 小伙伴们,我们试想下如果防火墙把所有流量都拒绝了,内部用户将无法畅游网络,外部合法用户将无法访问内部资源。因此我们需要配置防火墙的一个特性,让它更好的实现防火墙的功能,这个特性就是安全策略。平时我们上班乘坐地铁,出差乘坐高铁或飞机,在这三个场所中都会有蓝色的标志“Security Check”,旁边站着一个工作人员“安检员”。他的作用就是检查乘客随身携带的物品是否安全,如安全放行通过,如不安全,拒绝通过。回顾下防火墙的作用是保护特定的网络免受“不信任”的网络的攻击和入侵,但还要允许网..
3-华为防火墙:公共地址集、安全策略匹配顺序
weixin_33955681的博客
07-07 2312
一、实验拓扑:二、实验要求: 三、命令部署:1、手工调整策略之间的优先级:[SRG-policy-interzone-trust-untrust-outbound]policy 0[SRG-policy-interzone-trust-untrust-outbound]policy 1[SRG-policy-interzone-trust-untrust-outbound]policy move ...
六大控制让组播业务可管理
sea_god的专栏
07-27 1872
 在组播网络的设计中,通过应用一些控制机制能够实现对组播有效合理的控制,使组播业务具有可管理性是未来的发展方向。   构建可控可运营的组播网络对于运营商开展IPTV业务是至关重要的。目前组播网络的控制策略有很多种,主要包括对组播复制点和控制点的选择、对RP的控制、对组播源的控制、对组播组的控制、对组播用户的控制及对组播范围的控制等。在组播网络的设计中通过应用上述控制机制能够实现对组播的有效合理的控
企业网络安全区域划分的原则和方法
网络安全
10-24 3499
网络中部署了相关的安全产品,防火墙,VPN,IDS,安全管理等,但由于组网方式很随意,没有统一规划,不清楚网络的威胁,层次,区域策略,安全防护手段部署原则不明确,当网络某一局部出现安全隐患被侵入后,由于网络之间边界不清楚,无清楚的边界控制,攻击很容易扩散,从而局部侵入马上成为全网侵入,造成对全网的威胁。面对如此众多的威胁威胁, 传统安全防范技术强调单个安全产品的重要性, 如防火墙的性能和功能,IDS 入侵检测系统的高效性等,而对全网的安全威胁没有一个仔细的研究,对网络安全的设计没有明确的层次和区域。
同源策略(same origin policy)
热门推荐
csdssdn的博客
06-19 1万+
同源策略是一个重要的安全策略,它用于限制一个origin的文档或它加载的脚本如何能与另一个源的资源进行交互。能够减少恶意文档,减少可能被攻击媒介。 如果两个URL的协议、域名、端口号都相同,就称这两个URL同源。浏览器默认两个不同的源之间是可以互相访问资源和操作DOM的。两个不同的源之间若是想要访问资源或者操作DOM,那么会有一套基础的安全策略的制约,我们把这称为同源策略。它的存在可以保护用户隐私信息,防止身份伪造。Web内容的源用于访问它的URL的协议(方案)、主机(域名)、和端口号。只有当协议、主机、域
网络安全复习
永远相信美好的事情即将发生
06-24 3396
防火墙是位于多个网络之间,通过执行访问控制策略保护网络安全的系统。 防火墙的主要功能有:建立一个集中的监视点、隔绝内外网络,保护内部网络、强化网络安全策略、有效记录和审计内外网络之间的活动。 防火墙可以与入侵检测系统互动,可在线升级,划分不同安全级别的区域,可实时警告等。不可以防范不经过防火墙的攻击,不能防止利用服务器系统漏洞进行的攻击,不能防止本身的安全漏洞威胁等。
信息系统安全期末复习笔记
m0_46625346的博客
06-14 4120
信息系统安全期末复习笔记
生成式人工智能治理原则与法律策略.pdf
12-24
生成式人工智能治理原则与法律策略是当前信息技术领域的重要议题,特别是在ChatGPT等先进的人工智能模型出现后,其在社会各个领域的应用日益广泛。生成式AI具备拟人类的思维能力,可以生成文本、图片、音频和视频等...
零信任网络安全架构_“云、大、物、移”时代的场景化实践思路.pdf
08-11
在构建零信任网络安全架构时,深信服提出了落地思路,包括将风险业务放在首位,以远程接入为主,补充短处优先,分多阶段建设,增强传统边界等策略,确保网络安全架构与企业的业务需求和安全管理策略相匹配。...
【漏洞挖掘】——53、 WebSocket安全概览
Fly_鹏程万里
06-07 290
在一次做项目的时候本来是想去点击Burpsuite的Proxy界面的HTTP History选项卡来查看HTTP历史请求记录信息并做测试的,但是在查看的时候却下意识的点击到了HTTP Proxy右侧的"WebSockets History"选项卡中,从界面的交互历史中发现网站有使用WebSocket进行通信,虽然之前有对Websocket有一些简单的了解(比如:跨越问题),但是未对此进行深入研究,这让我产生了需要深入研究一下的想法。
网络安全入门:常见攻击方式与防御策略
本章将对网络安全的重要性、基本概念以及目标与原则进行介绍。 ### 1.1 网络安全的重要性 网络安全的重要性日益凸显,随着网络攻击手段的复杂化和普及化,各种网络威胁如病毒、木马、钓鱼等层出不穷,一旦网络...
UDP协议
hyldzbg的博客
09-04 846
把当前要计算校验和的数据,每个字节,都进行累加,把结果保存到这两个字节的变量(校验和)中,过程中溢出也没关系,如果中间某个数据,出现传输错误,第二次计算的校验和就会和第一次不同(CRC这个算法其实不是特别靠谱,比如如果前一个字节大小少1,后一个字节大小多1,那么最后得到的校验和任然相同,但是数据可能已经不同了)。描绘这个数据报的报文长度(包含报头),这里的长度是指该报文有多少个字节,因为只有16位比特位的大小,因为数据传输可能会出错,所以需要一定的方法知道所传输的数据是否正确传输。
网络第五章:多路转接
qincjun的博客
09-05 556
2.HTTP1.1采用了长连接的方式来进行通信:建立连接,服务器响应完之后,不断开连接,活跃的用户对服务器发送请求,服务器都会正常响应;对不活跃的用户,不进行任何操作;events是分配好的epoll_event结构体数组.epoll将会把发生的事件赋值到events数组中 (events不可以是空指针,内核只负责把数据复制到这个events数组中,不会去帮助我们在用户态中分配内存).epoll通过这些值的设定,来监视fd的行为,如果fd做了这些行为,则会通过epoll_wait来反馈给上层,进行处理。
计算机网络-VRRP工作原理
Linux基础知识、计算机网络基础学习分享。
09-03 664
初始化状态就是在设备上配置完成时的状态,Master状态为主设备的状态,Nackup状态为备份设备的状态,备份设备会监听主设备发送的Advertisement报文,当定时器超时都没有收到主设备的报文时则备份设备切换为Master状态。R1与R2交换VRRP报文,优先级一样,通过比较接口IP地址选举Master路由器,由于R2的接口IP地址大于R1的接口IP地址,因此R2被选举为Master路由器。进行比较,先比较优先级,优先级大的优先,优先级相等则比较接口IP地址,IP地址大的优先,
观测云核心技术解密:eBPF Tracing 实现原理
观测云的博客
09-03 932
通过 eBPF,开发者可以在不修改内核源码的情况下,对内核功能进行扩展和监控。eBPF Tracing 利用这一技术,对系统调用、内核函数等进行跟踪,从而实现对应用行为的深入洞察。
200 Gb/s和400 Gb/s网络
最新发布
dncsk的专栏
09-07 1161
116.200 Gb/s和400 Gb/s网络简介写在前面 :1.需要英文原文请自行官网下载2.本人无授权故亦不接受相关付费服务 如有商业性需求建议寻找有资质的书籍供应商购买3.翻译纯粹为爱发电,因为机器翻译所以错乱较多 建议参照英文原文对比使用 4.欢迎评论区提出建议或意见 原则上不删除评论 原则上不回复私信 和解呈现200GBASE-RPCSPMDIEEEStd802.3-2022,IEEE以太网标准第八节116.200Gb/s和400Gb/s网络116.1概述116.1范围本条款描述了200千兆位和4
Windows Server 2003安全策略详解及实施方案
本文档详细介绍了Windows Server 2003的安全策略,包括以下几个关键部分: 1. **身份鉴别问题**: - 用户登录失败锁定:通过管理工具如lusrmgr.msc添加用户,将其设置为高级用户,并在组策略编辑器中启用账户锁定...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值