网络安全
1,代理防火墙 --- 每目标IP代理阈值,每目标IP丢包阈值
2,首包丢包
3,SYN cookie
恶意程序 --- 一般会具备一下的多个或全部特性
1,非法性
2,隐蔽性
3,潜伏性
4,可触发性
5,表现性
6,破坏性
7,传染性 --- 蠕虫病毒的典型特点
8,针对性
9,变异性
10,不可预见性
![](https://img-blog.csdnimg.cn/direct/c60cc9d885434762a2c5b14f9a813961.png)
![](https://img-blog.csdnimg.cn/direct/216f71829cc54497a317e58fce83c4bb.png)
防火墙
防火墙的主要职责在于:控制和防护 --- 安全策略 --- 防火墙可以根据安全策略来抓取流量之
后做出对应的动作。
![](https://img-blog.csdnimg.cn/direct/de020d7e44834cc69748a8a20c1781d1.png)
![](https://img-blog.csdnimg.cn/direct/ea304deffae6429fb7b0740076fec760.png)
![](https://img-blog.csdnimg.cn/direct/d3aefd2f4e504d52b78db2bf771bddf2.png)
1,很多安全风险集中在应用层的,所以,仅关注三四层的数据无法做到完全隔离安全风险
2,逐包进行包过滤检测,将导致防火墙的转发效率过低,成为网络中的瓶颈。
在ACL列表中,华为体系下,末尾是没有隐含规则的,即如果匹配不到ACL列表,则认为ACL列
表不存在,之前可以通过,则还可以通过;但是,在防火墙的安全策略中,为了保证安全,末
尾会隐含一条拒绝所有的规则,即只要没有放通的流量,都是不能通过的。
![](https://img-blog.csdnimg.cn/direct/3e65002329bf4951abac29a159a519f5.png)
配置黑洞路由 --- 黑洞路由即空接口路由,在NAT地址池中的地址,建议配置达到这个地址指
向空接口的路由,不然,在特定环境下会出现环路。(主要针对地址池中的地址和出接口地址
不再同一个网段中的场景。)
决定了使用的是动态NAT还是NAPT的逻辑。
高级
NAT类型 --- 五元组NAT --- 针对源IP,目标IP,源端口,目标端口,协议 这五个参数识别出
的数据流进行端口转换
三元组NAT --- 针源IP,源端口,协议 三个参数识别出的数据流进行端口转换
![](https://img-blog.csdnimg.cn/direct/977613e1a3534e99bb5fed58e9715ec6.png)
![](https://img-blog.csdnimg.cn/direct/63f1b1549c4c4e66b8c6313c128cac1c.png)
![](https://img-blog.csdnimg.cn/direct/7ca9ccbddfd14ab8acdbe0567e764757.png)
![](https://img-blog.csdnimg.cn/direct/b3fd927cd6674a499274dda8b57bb775.png)