网络防御
文章平均质量分 91
以华为防火墙为例子学习网络防御有关知识
板栗妖怪
简单写写自己的学习过程
展开
-
防火墙--内容安全
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。原创 2024-07-20 22:27:15 · 1335 阅读 · 2 评论 -
数据传输安全--IPSEC
默认使用IP地址作为身份标识(因为身份验证是在第五六个数据包中,但是我们在前面的几个数据包过程都需要提取预共享密钥计算,要是等身份标识的话等不下去了,所以只能看IP地址了,然后在第五六个数据包的时候再进行身份认证确认,所以这个东西也很怕NAT),这个身份标识和身份认证是不一样的,在IPSec中多使用预共享密钥进行身份认证,然后这个预共享密钥可能一个人和另外好几个人都有。注意:野蛮模式前两个数据包中的参数用来协商密钥信息,则第三个数据包可以进行加密传输,因为,身份信息是通过明文传递的,所以,安全性较低。原创 2024-07-23 00:04:12 · 974 阅读 · 0 评论 -
数据传输安全--VPN
注:不要把GRE当作VPN技术,GRE只是一种封装技术,我们是利用GRE技术制造处一种GREVPN的技术,IPSec也不是一种VPN技术,他只是一种协议簇,他只是为了保证我们的传输安全的。这时候就需要一个隧道协议头,这意思就像你是一个中国人去外国开车这个样子是不行的,因为你没有外国的驾照,但是你可以找一个有外国驾照的人去拉你。这个层次划分指的是VPN技术所保护的层次,但是这个VPN保护在没有加密的情况下并不意味着安全。信网络,只不过,这个专线网络是逻辑上的,而不是物理上的,所以叫做虚拟专用网。原创 2024-07-21 15:56:36 · 1175 阅读 · 0 评论 -
数据安全传输--加密算法
然后用Bob的公钥将这个对称密钥进行加密,加密后的密钥叫做密钥信封,然后Alice将密钥信封和加密信息传递给Bob。然后Bob用自己私钥解开密钥信封,然后得到了对称加密的密钥,然使用对称加密的密钥解开加密信息,然后将其中的原始信息进行hash然后和数字证书的hash进行比对,但是数字证书是被Alice的私钥进行加密的,所以需要用Alice的证书的公钥解开,所以就要用CA机构的公钥解开证书获取Alice的公钥,再用公钥解开数字签名获取其的hash,然后再将刚刚原始信息的hash和这个hash比对。原创 2024-07-22 00:05:01 · 818 阅读 · 0 评论 -
防火墙--双机热备
当有接口坏掉了,接口成了过度状态,VGMP就会发现自己管理的VRRP组出现故障,VGMP就会降低自己的优先级,VGMP默认优先级(这里优先级和VRRP中不同)主设备组为65001,备份设备组65000。B和D也无法建立邻居关系,然后如果主设备坏了,是不是就要切换到备用设备上,然后B和D要重新建立邻居关系。再创建一个VGMP组,两台设备互为两个VGMP组的主设备,然后这种情况可能会两条链路都会走,如下图上去的时候走1这边,下去的时候走二这边,所以是不是两台设备需要快速同步状态信息,不然业务就会收到影响。原创 2024-07-17 00:11:15 · 1066 阅读 · 0 评论 -
实验-ENSP实现NAT和智能选路
这时一个实验原创 2024-07-14 09:23:27 · 524 阅读 · 0 评论 -
防火墙--带宽管理
首先流量在打了标记后进入入接口,并且带宽要符合接口带宽,然后相应的流量匹配到相应的带宽策略,然后去走带宽通道,之后走出接口,如果没有匹配到的流量,会匹配到默认的那条带宽策略,直接去往出接口。可以理解为是带宽策略中执行限流动作后的具体实施,也可以理解为是在真实的物理带宽中,开辟了一些虚拟的流量通道,通过将流量引入这些虚拟的带宽通道中,来限。所有带宽策略调用这个通道,都按照通道中的设定执行,每个策略只要调用这个带宽通道,带每个策略的带宽加起来等于带宽通道设置的带宽。,即将超出限制的数据包缓存之后发送,而。原创 2024-07-17 23:04:39 · 554 阅读 · 0 评论 -
实验-ENSP实现双机热备和带宽管理
这是一个实验原创 2024-07-17 23:08:15 · 570 阅读 · 0 评论 -
防火墙--NAT和智能选路的一些知识
如果是同一网段的公网地址走的是直连路由,再进行转发的时候可以类比网关转用ARP发数据包给别人,但是网关是要不到MAC的,所以就没有办法转发,所以就没有转发就不会成环。你访问的节点到底是电信还是移动,看人家DNS服务器给你的是哪个,比如说你去访问百度,然后你的DNS服器务是电信DNS的就给你的是百度在电信布置的节点,如果是移动的就给你移动的节点,DNS透明代理就是改变这个情况。根据访问的节点所在的运营商选择对应的运营商线路,当你想要访问电信的节点的时候要走电信的链路显然更近一些,走移动的链路明显就走远了。原创 2024-07-13 22:53:00 · 1184 阅读 · 0 评论 -
华为模拟器ensp中USG6000V防火墙web界面使用
在防火墙中导包 忘记截图了。原创 2024-07-11 02:33:04 · 426 阅读 · 0 评论 -
实验-ENSP实现防火墙区域策略与用户管理
实验-ENSP实现防火墙区域策略与用户管理原创 2024-07-11 04:51:55 · 1513 阅读 · 0 评论 -
防火墙一些有关知识
控制和防护。原创 2024-07-11 02:36:52 · 686 阅读 · 0 评论 -
防火墙--防火墙的组网及一些配置
环境实验环境:华为模拟器ensp防火墙型号:USG6000V。原创 2024-07-11 02:37:30 · 766 阅读 · 0 评论