防火墙——防火墙基础知识

已于 2023-12-17 10:56:53 修改
阅读量5.4k 收藏 61
点赞数 11
分类专栏: # 网络安全FW理论讲解 文章标签: 网络 华为
于 2022-06-01 16:50:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49864110/article/details/125086451
版权

目录

基本概念

分类

防火墙基本信息

防火墙接口工作模式

防火墙安全区域

区域类型

注意事项

安全策略

安全策略组成

安全策略的配置

安全策略匹配规则

注意事项

状态检测机制与会话表

状态检测

会话表

会话表信息

会话老化

长连接

会话在转发流程中的位置

基本概念

防火墙一般位于多个信任不同的网络之间,对其之间的通信进行控制,来防止网络威胁

分类

防火墙按照形态可以分为

  1. 硬件防火墙(一般用于企业出口,保护整个内网)
  2. 软件防火墙(往往只是保护自己,例如360等)

按照访问控制方式分为

  1. 包过滤防火墙:在网络层对每个数据包进行匹配(无法关联数据包之间的关系、无法适应多通道协议、通常不检测应用层数据)
  2. 代理防火墙:作用于应用层,外部网络用户之间进行的业务由代理完成(处理速度慢、升级困难)
  3. 状态检测防火墙:包过滤技术的扩展,考虑数据包之间的关联性,可以检查应用层数据(处理后续包的速度快,安全性高)

防火墙基本信息

以下介绍的是华为状态检测防火墙的基本信息

防火墙接口工作模式

路由模式(类似于路由器):每个接口都可以配置IP地址—支持更多的安全特性,对网络拓扑有影响

透明模式(类似于二层交换机):每个接口都不可以配置IP地址—对网络拓扑没有影响

混合模式(类似于三层交换机):部分接口可以配置IP地址

防火墙安全区域

防火墙将不同信任度的网络通过安全区域来进行划分,并且大部分的安全策略都是通过安全区域进行实施的;一个安全区域是若干个接口所连网络的集合

区域类型

默认情况下,不同区域见会触发安全检测,同一安全区域间不会触发安全检测

Local区域,优先级100——Local区域不可以添加任何接口。防火墙自身接口都属于Local区域

Trust区域,优先级85

Dmz区域,优先级50

Untrust区域,优先级5

注意事项

  1. 一个接口只可以属于一个安全区域、一个安全区域可以包含多个接口
  2. 不同的安全区域有不同的优先级,并且优先级全局唯一
  3. 优先级的范围为1到100(最多创建100个安全区域),数字越大,优先级越高,信任度也就越高
  4. 由高优先级到低优先级为出方向,由低优先级到高优先级为入方向

安全策略

安全策略是FW的核心特性,通过对FW的数据流进行检验,只有符合安全策略的合法流量才可以通过FW进行转发(安全策略的本质是包过滤)

安全策略组成

安全策略是由匹配条件(五元组、用户、时间、安全区域等)和动作组成

流量匹配安全策略的匹配条件后,设备将会执行安全策略的动作

默认策略是区域之间的报文都禁止通过

安全策略的配置

对于同一条数据流,只需要在访问的发起方向配置安全策略就可以,匹配安全策略成功后建立会话表。回来的报文不需要额外的策略(通过会话表控制)

安全策略匹配规则

当配置了多条安全策略时,按照排列的顺序进行匹配,顺序越高,优先级越高

匹配成功后不会再进行下一个策略的匹配。当没有匹配到任何策略时就按照缺省策略进行处理

注意事项

  1. 缺省情况下,安全策略仅对单播报文进行控制,对广播和组播报文不做控制,直接转发
  2. 多通道协议在配置ASPF功能后,FW对数据通道的报文不进行安全策略过滤
  3. 当认证策略的认证动作配置为Portal认证,用户向Web服务器发起HTTP/HTTPS请求时,Syn首包不受安全策略控制

状态检测机制与会话表

状态检测

FW通过状态检测功能来对报文的链路状态进行合法性检查,丢弃链路状态不合法的报文。状态检测功能不仅检测普通报文,也对内层报文(VPN报文解封装后的报文)进行检测。

状态检测为通过的首包建立会话表,当收到回应的包时会先去匹配会话表,不会再去对后续包一一控制了(即只需要做单向控制) 

协议首包报文类型开启状态检测功能关闭状态检测功能
TCPSYN报文创建会话,转发报文创建会话,转发报文
SYN+ACK、ACK报文不创建会话,丢弃报文创建会话,转发报文
UDP所有UDP报文创建会话,转发报文创建会话,转发报文
ICMPPing回显请求报文创建会话,转发报文创建会话,转发报文
Ping回显应答报文不创建会话,丢弃报文创建会话,转发报文
目标不可达报文、源抑制报文和超时报文不创建会话,转发报文不创建会话,转发报文
其他ICMP报文创建会话并转发报文,但不支持NAT转换。创建会话并转发报文,但不支持NAT转换。

会话表

会话表是用来记录TCP、UDP、ICMP等协议连接状态的表项,是FW转发报文的重要依据

会话表信息

七元组信息(源目IP、源目端口、协议、用户、应用)

当会话表中的下一跳为FW的环回接口的情况下,下一跳MAC地址为全0

会话老化

对于一个已经建立的会话表项,他不会一直存在。只有当他再一段时间内被匹配了才有必要存在。如果在此时间内没有被匹配,则会话表就会被删除。

不同的协议不同会话老化时间不同(DNS为3s)

长连接

由于某些特殊业务数据流的会话信息需要长时间不老化,此时需要配置长连接来保证此类业务不被老化。

注:

最大长连接会话数量为会话规格总数的1/3

长连接设置的老化时间不受全局会话表老化时间影响

会话在转发流程中的位置

静下心来敲木鱼
关注
  • 11
    点赞
  • 61
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
飞塔FortiGate防火墙基础配置
04-23
FortiGate防火墙USG6000典型配置案例、IPSEC配置案例、SSL VPN配置案例、通过PPPoE接入互联网、通过PPPoE接入互联网、客户端L2TP over IPSec接入(VPN Client/Windows/Mac OS/Android/iOS、应用控制(限制P2P流量、禁用QQ)、基于用户的带宽管理
防火墙(一):防火墙基础知识了解
qq_43072797的博客
06-08 3912
防火墙了解1.什么是防火墙,为什么需要防火墙?2.数据流传输过程2.1网络数据传输过程2.2本机数据路由决策3.TCP三次握手、四次挥手及syn攻击3.1三次握手建立TCP连接3.2四次挥手断开TCP连接3.3syn flood攻击4.防火墙的判断范围4.1从链路层来判断是否处理?4.2从网络层来判断是否处理?4.3从传输层来判断是否处理?4.4.从应用层来判断是否处理?4.5.特殊的防火墙判断4.6.数据包过滤5.防火墙和iptables5.1.iptables和Netfilter的关系5.2.netfi
关于防火墙
2301_81272194的博客
03-18 875
防火墙相关知识详解
Linux服务器配置与管理:linux防火墙基础.pptx
05-01
【知识目标】 了解:防火墙的概念、功能与分类 熟悉: Linux防火墙的历史演进与架构 【能力目标】 能够描述firewalld防火墙的组成 【思政目标】 培养学生职业素养和信息安全意识。 防火墙——是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。 它是不同网络网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。 在逻辑上,防火墙是一个分离器、限制器和分析器,它能有效地监控内部网和Internet之间的任何活动,保证了内部网络的安全。 ①过滤进出网络的数据包,封堵某些禁止的访问行为 ②对进出网络的访问行为作出日志记录,并提供网络使用情况的统计数据,实现对网络存取和访问的监控审计。 ③对网络攻击进行检测和告警。 防火墙可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径,并通知防火墙管理员。 ④提供数据包的路由选择和网络地址转换(NAT),从而解决局域网中主机使用内部IP地址也能够顺利访问外部网络的应用需求。
知者无畏 —— 一个真实的病毒世界.rar
07-16
从事这一行业近十年的时间,我目睹了无数用户的热情、希望和失望,也经历了一次又一次的病毒流行所造成的恐惧,作为一个长期以来以电脑病毒为生的行业人士,感觉到有必要向大家讲述一些真实的病毒故事,在病毒和反病毒的世界里,已经充满了太多似是而非的概念,虚假的承诺,读者需要的是真实的材料、客观的描述和对病毒的全面、权威的分析。这也是我在写作这本书的过程中,一直提醒自己努力去做到的:尽可能抛开一个厂商的局限性,完全从病毒和反病毒的历史和技术出发,给读者提供一个可信的病毒知识来源。 目 录 前言 3 知识就是力量 3 关于本书 4 为什么要写这本书? 4 电脑病毒真的存在吗? 5 本书的内容 6 关于作者 7 第一章 病毒——数字空间的恐怖分子 8 第一节 数字空间,一种新的生存形式 8 第二节 数字空间的犯罪与安全 9 第三节 一切并不遥远 10 第二章 电脑病毒的由来 13 第一节 一些基础知识 13 第二节 电脑病毒的编年史 18 第三节 微软和病毒,同盟还是敌人 32 第四节 第三只眼睛看病毒 34 第三章 什么是电脑病毒 36 第一节 当你打开电源——引导型病毒 36 第二节 数量最多的病毒——文件型病毒 39 第三节 流传最广泛的病毒——宏病毒 46 第四节 躲避杀毒软件的检测——病毒的多态(变形)技术 49 第五节 看不见的战斗——病毒的隐藏技术 51 第六节 病毒是如何进入内存的 53 第七节 浏览就可以传染—可怕的脚本病毒 56 第八节 针对IRC的蠕虫程序 58 第九节 “恶意代码”—不是病毒的病毒 58 第四章 真实的病毒故事 59 第一节 尼姆达病毒,和恐怖分子有关? 59 第二节 红色代码是红色的吗? 64 第三节 “我爱你”,浪漫背后的陷阱 67 第四节 “CIH”的噩梦 69 第五节 漏洞、臭虫还有其他 75 第六节 谁制造了病毒 75 第七节 病毒制造者的近距离接触 78 第八节 火线追踪,找到恶魔的制造者 79 第九节 现代威尼斯商人,病毒商人的故事 81 第十节 “中美黑客大战”的背后 83 第五章 不为人知的幕后——透过技术的迷雾 87 第一节 防病毒卡的兴起与衰落 87 第二节 查病毒——万物之源 87 第三节 “石器时代”的反病毒 90 第四节 “视窗”的挑战 93 第五节 警惕的哨兵—病毒防火墙的诞生 95 第六节 主动内核,改动操作系统? 98 第七节 并不神奇的嵌入式技术 99 第八节 “劳拉”—神秘的微软办公软件文件格式 99 第九节 真的有未卜先知这回事吗? 102 第十节 数字免疫系统,理想还是现实? 104 第六章 关于电脑病毒的哲学讨论 107 第一节 开拓与创造,黑客文化的内在动力 107 第二节 警察与小偷 108 第三节 未经许可,不一定需要自我繁殖 109 第四节 偶然还是必然 109 第五节 被商业化污染的电脑病毒 110 第六节 当电脑病毒也成为一种艺术 110 第七章 病毒与黑客 112 第一节 特洛伊木马,从古希腊神话中得到的灵感 112 第二节 真的无孔不入吗?黑客是如何进入你的机器的。 113 第三节“协议”和“端口”,不要被名词吓倒 113 第四节 个人防火墙,能做什么不能做什么? 114 第五节 如何实现自动执行 115 第八章 对电脑病毒说不 117 第一节 关于病毒的十诫 117 第二节 仔细看看你的硬盘 117 第三节 原来如此 118 第四节 当灾难降临的时候 122 第九章 外面的世界—其他操作系统的病毒。 123 第一节 Linux不是避风港 123 第二节 苹果机安全吗? 123 第三节 手机和其他电子设备,未来的战场 124 第十章 未来之战 127 第一节 战争已经开始——美国的信息作战分队609分队 127 第二节 911的启示,从真实到虚拟的恐怖分子 128 第三节 让历史告诉未来 129
防火墙基础配置1_ensp防火墙配置_ensp华为防火墙配置_
09-29
这是我自己制作的关于ensp防火墙的基本配置文件
防火墙基础知识
09-17
防火墙基础知识,中国科学技术大学网络中心,张焕杰 [email protected]
防火墙知识介绍
qq_41893638的博客
06-20 616
防火墙1、防火墙的定义2、防火墙的必要性3、防火墙设计目标4、防火墙类型5、防火墙的局限性:6、防火墙的载体: 1、防火墙的定义 防火墙是一种用于保护本地系统或者系统网络不受基于网络的安全威胁的有效方法(软件/硬件均可),同时支持通过广域网和互联网访问外部世界。 2、防火墙的必要性 对组织而言,互联网访问为组织带来益处的同事,它也使得外部世界访问并且和本地网络资源进行交互,给组织带来威胁。尽管有很多保护措施,但是不适用。一种广泛接收的替代方法就是防火墙,它至少对基于主机的安全是一种补充。 防火墙可以是单机
计算机网络技术基础
03-21
第1章 计算机网络基础知识  1.1 计算机网络的产生与发展  1.2 计算机网络概述  1.2.1 计算机网络的基本概念  1.2.2 通信子网和资源子网  1.3 计算机网络的功能  1.4 计算机网络的分类和拓扑结构  1.4.1 计算机网络的分类  1.4.2 计算机网络的拓扑结构  1.5 计算机网络的应用  小结  习题1  第2章 数据通信技术  2.1 数据通信的基本概念  2.1.1 信息、数据与信号  2.1.2 模拟信号与数字信号  2.1.3 基带信号与宽带信号  2.1.4 信道及信道的分类  2.1.5 数据通信的技术指标  2.1.6 通信方式  2.2 传输介质的主要特性和应用  2.2.1 传输介质的主要类型  2.2.2 双绞线  2.2.3 同轴电缆  2.2.4 光纤  2.2.5 双绞线、同轴电缆与光纤的性能比较  2.3 无线与卫星通信技术  2.3.1 电磁波谱  2.3.2 无线通信  2.3.3 微波通信  2.3.4 卫星通信  2.4 数据交换技术  2.4.1 电路交换  2.4.2 存储转发交换  2.5 数据传输技术  2.5.1 基带传输技术  2.5.2 频带传输技术  2.5.3 多路复用技术  2.6 数据编码技术  2.6.1 数据编码的类型  2.6.2 数字数据的模拟信号编码  2.6.3 数字数据的数字信号编码  2.6.4 脉冲编码调制  2.7 差错控制技术  2.7.1 差错产生的原因与差错类型  2.7.2 误码率的定义  2.7.3 差错的控制  小结  习题2  第3章 计算机网络体系结构与协议  3.1 网络体系结构与协议概述  3.1.1 网络体系结构的概念  3.1.2 网络协议的概念  3.1.3 网络协议的分层  3.1.4 其他相关概念  3.2 OSI参考模型  3.2.1 OSI参考模型的概念  3.2.2 OSI参考模型各层的功能  3.2.3 OSI参考模型中的数据传输过程  3.3 TCP/IP参考模型  3.3.1 TCP/IP概述  3.3.2 TCP/IP参考模型各层的功能  3.4 OSI参考模型与TCP/IP参考模型  3.4.1 两种模型的比较  3.4.2 OSI参考模型的缺点  3.4.3 TCP/IP参考模型的缺点  3.4.4 网络参考模型的建议  小结  习题3  第4章 局域网  4.1 局域网概述  4.2 局域网的特点及其基本组成  4.3 局域网的主要技术  4.3.1 局域网的传输介质  4.3.2 局域网的拓扑结构  4.3.3 介质访问控制方法  4.4 局域网体系结构与IEEE 802标准  4.4.1 局域网参考模型  4.4.2 IEEE 802局域网标准  4.5 局域网组网技术  4.5.1 传统以太网  4.5.2 IBM令牌环网  4.5.3 交换式以太网  4.6 快速网络技术  4.6.1 快速以太网组网技术  4.6.2 吉比特以太网组网技术  4.6.3 ATM技术  4.7 VLAN  4.7.1 VLAN概述  4.7.2 VLAN的组网方法  4.8 WLAN  4.8.1 WLAN概述  4.8.2 WLAN的实现  4.8.3 WLAN组网实例——家庭无线局域网的组建  小结  习题4  第5章 广域网接入技术  5.1 广域网概述  5.2 常见的广域网接入技术  5.2.1 数字数据网(DDN)  5.2.2 综合业务数字网(ISDN)  5.2.3 宽带综合业务数字网(B-ISDN)  5.2.4 分组交换数据网(PSDN)  5.2.5 帧中继(Frame Relay)  5.2.6 数字用户线路xDSL  小结  习题5  第6章 网络互联技术  6.1 网络互联的基本概念  6.1.1 网络互联概述  6.1.2 网络互联的要求  6.2 网络互联的类型和层次  6.2.1 网络互联的类型  6.2.2 网络互联的层次  6.3 典型网络互连设备  6.3.1 中继器  6.3.2 网桥  6.3.3 网关  6.3.4 路由器  6.4 路由协议  6.4.1 路由信息协议(RIP)  6.4.2 内部路由协议(OSPF)  6.4.3 外部路由协议(BGP)  6.5 路由器的基本配置  6.5.1 路由器的接口  6.5.2 路由器的配置方法  小结  习题6  第7章 Internet基础知识  7.1 Internet的产生和发展  7.1.1 ARPANET的诞生  7.1.2 NSFNET的建立  7.1.3 全球范围Internet的形成与发展  7.2 Internet概述  7.2.1 Internet的基本概念  7.2.2 Internet的特点  7.3 Internet的主要功能与服务  7.3.1 Internet的主要功能  7.3.2 Internet的主要服务  7.4 Internet的结构  7.4.1 Internet的物理结构  7.4.2 Internet协议结构与TCP/IP  7.4.3 客户机/服务器的工作模式  7.5 Internet地址结构  7.5.1 IP地址概述  7.5.2 IP地址的组成与分类  7.5.3 特殊类型的IP地址  7.5.4 IP地址和物理地址的转换  7.6 子网和子网掩码  7.6.1 子网  7.6.2 子网掩码  7.6.3 A类、B类、C类IP地址的标准子网掩码  7.6.4 子网掩码的确定  7.7 域名系统  7.7.1 域名系统的层次命名机构  7.7.2 域名的表示方式  7.7.3 域名服务器和域名的解析过程  7.8 IPv4的应用极其局限性  7.8.1 什么是IPv4  7.8.2 IPv4的应用  7.8.3 IPv4的局限性  7.9 IPv6简介  7.9.1 IPv6的发展历史  7.9.2 IPv4的缺点及IPv6的技术新特性  7.9.3 IPv4与IPv6的共存局面  7.9.4 从IPv4过渡到IPv6的方案  7.9.5 IPv6的应用前景  小结  习题7  第8章 Internet接入技术  8.1 Internet接入概述  8.1.1 接入到Internet的主要方式  8.1.2 ISP  8.2 电话拨号接入Internet  8.2.1 SLIP/PPP概述  8.2.2 Winsock概述  8.3 局域网接入Internet  8.4 ADSL接入技术  8.4.1 ADSL概述  8.4.2 ADSL的主要特点  8.4.3 ADSL的安装  8.4.4 PPP与PPPoE  8.5 Cable Modem接入技术  8.5.1 CATV和HFC  8.5.2 Cable Modem概述  8.5.3 Cable Modem的主要特点  8.6 光纤接入技术  8.6.1 光纤接入技术概述  8.6.2 光纤接入的主要特点  8.7 无线接入技术  8.7.1 无线接入概述  8.7.2 WAP简介  8.7.3 当今流行的无线接入技术  8.8 连通测试  小结  习题8  第9章 Internet的应用  9.1 Internet应用于家庭  9.1.1 家庭用户连入Internet  9.1.2 使用浏览器浏览Internet  9.1.3 家庭娱乐  9.2 Internet应用于电子商务  9.2.1 电子商务及其起源  9.2.2 电子商务的特点  9.2.3 电子商务的内容  9.3 Internet应用所带来的社会问题  9.4 Internet应用的发展趋势与研究热点  小结  习题9  第10章 移动IP与下一代Internet  10.1 移动IP技术  10.1.1 移动IP技术的概念  10.1.2 与移动IP技术相关的几个重要术语  10.1.3 移动IP的工作原理  10.1.4 移动IP技术发展的3个阶段  10.2 第三代Internet与中国  10.2.1 什么是第三代Internet  10.2.2 第三代Internet的主要特点  10.2.3 中国的下一代互联网  小结  习题10  第11章 网络操作系统  11.1 网络操作系统概述  11.1.1 网络操作系统的基本概念  11.1.2 网络操作系统的基本功能  11.1.3 网络操作系统的发展  11.2 Windows NT Server操作系统  11.2.1 Windows NT Server 的发展  11.2.2 Windows NT Server的特点  11.3 Windows 2000 Server操作系统  11.3.1 Windows 2000 Server简介  11.3.2 Windows 2000 Server的特点  11.4 Windows Server 2003操作系统  11.4.1 Windows Server 2003简介  11.4.2 Windows Server 2003的特点  11.5 NetWare操作系统  11.5.1 NetWare操作系统的发展与组成  11.5.2 NetWare操作系统的特点  11.6 UNIX操作系统  11.6.1 UNIX操作系统的发展  11.6.2 UNIX操作系统的特点  11.7 Linux操作系统  11.7.1 Linux操作系统的发展  11.7.2 Linux操作系统的特点  小结  习题11  第12章 网络安全  12.1 网络安全的现状与重要性  12.2 防火墙技术  12.2.1 防火墙的基本概念  12.2.2 防火墙的主要类型  12.2.3 防火墙的主要产品  12.3 网络加密技术  12.3.1 网络加密的主要方式  12.3.2 网络加密算法  12.4 数字证书和数字签名  12.4.1 电子商务安全的现状  12.4.2 数字证书  12.4.3 数字签名  12.5 入侵检测技术  12.5.1 入侵检测的基本概念  12.5.2 入侵检测的分类  12.6 网络防病毒技术  12.6.1 计算机病毒  12.6.2 网络病毒的危害及感染网络病毒的主要原因  12.6.3 网络防病毒软件的应用  12.6.4 网络工作站防病毒的方法  12.7 网络安全技术的发展前景  12.7.1 网络加密技术的发展前景  12.7.2 入侵检测技术的发展趋势  12.7.3 IDS的应用前景  小结  习题12  第13章 网络管理  13.1 网络管理概述  13.1.1 网络管理的基本概念  13.1.2 网络管理体系结构  13.2 网络管理的功能  13.3 MIB  13.3.1 MIB的结构形式  13.3.2 MIB的访问方式  13.4 SNMP  13.4.1 SNMP的发展  13.4.2 SNMP的设计目标  13.4.3 SNMP的工作机制  13.5 网络管理工具  13.5.1 HP Open View  13.5.2 IBM TME 10 NetView  13.5.3 Cisco Works 2000  13.5.4 3Com Transcend  13.6 网络管理技术的发展趋势  小结  习题13  第14章 网络实验  14.1 实验1 理解网络的基本要素  14.2 实验2 双绞线的制作与应用  14.3 实验3 使用“超级终端”进行串行通信  14.4 实验4 网络连接性能的测试  14.5 实验5 组建一个小型对等网  14.6 实验6 WWW服务  14.7 实验7 使用电子邮件  14.8 实验8 DHCP服务器的安装与配置  14.9 实验9 DNS服务器的安装与配置 
防火墙基础.pdf
11-07
防火墙基础.pdf
H3C基础知识__概括及分析.ppt
11-15
H3C设备,华三设备基础配置详解,包括交换机,防火墙,路由器基础配置方法及命令行解析,有助于初学者,入门者参考。
计算机网络安全基础试题及答案..doc
06-07
计算机网络安全基础试题及答案 2008年01月09日 22:03 第一章: 1,信息安全定义:为了防止对知识,事实,数据或功能未经授权而使用,误用,未经 授权修改或拒绝使用而采取的措施。 第二章 1,攻击的类型:访问攻击(信息保密性攻击,修改攻击(信息完整性攻击,拒绝访问攻 击,否认攻击。 2,访问攻击类型:监听,窃听,截听。 3,修改攻击类型:更改攻击,插入攻击,删除攻击. 4,什么是warchalking?:warchalking是指在办公楼外面的道路旁边画的粉笔标 记。这些标记用来标识附近有哪些无线网络可以使用,便于个人更容易接入这些网络。 第三章 1,黑客动机:挑战,贪婪,恶意。 2,黑客技术的类型:开放共享,糟糕的密码,编程中的漏洞,社会工程,缓存溢出,拒 绝服务。 3,缓存溢出:为了攻击系统而占满计算机系统空间,或者允许黑客具有对系统的提升 权限的过程,就是试图在计算机内存空间中缓存过多的信息。原因是由于应用程序中存 在漏洞,而在将用户数据复制到另一个变量中时没有检查数据的复制量,可以通过检查程 序的源代码来发现。 4.Ip哄骗:攻击者通过伪造计算机的ip地址来实施攻击的攻击策略。原理:因为数 据包中无法验证ip地址,因此黑客可以修改数据包的源地址,随心所欲的修改数据包的 来源。黑客首先确认他的目标,之后判断isn中使用的累加数,一旦isn累加数确定之后 ,黑客可以使用假的源ip地址向目标发送tcp syn数据包.目标就以tcp syn ack 数据包响应,发送到假冒源ip地址。 5。特洛伊木马:是外表看上去有用的程序,但是实际上是破坏计算机系统,或者为 攻击者收集识别信息和密码信息的恶意代码。 6.病毒:寄生在合法代码上的恶意代码,在执行时,它干扰计算机操作或者破坏信息 。传统的病毒通过可执行文件或命令文件来执行,但是它们现在已经扩展到了数据文件 ,被称为宏病毒。 7。蠕虫病毒:无需受害者的帮助而自行从一个系统蔓延到另一个系统的程序。它们修 改目标系统并自行扩散,进而对网络上的其他系统实施攻击。 8,黑客必须完成以下两种工作才能监听交换网络:让交换机发送通信给交换网络, 或者让交换机发送通信给所有端口。 9.通过复制mac或者哄骗arp或点dns,可以欺骗交换机发送通信给嗅闻器. 第四章 攻击 机密性 完整性 可用性 责任性 访问 是 是 修改 是 是 拒绝服务 是 否认 是 是 1. 信息的特性:机密性,整体性,可用性,责任性。 2. 可用性:在信息系统中,可用性是指提供服务,是用户能够访问信息,应用程序 和系统,进而完成其任务的安全服务。 3. 机密性:为机构提供安全的信息环境服务。如果使用正确,机密性仅仅允许授权的用户访 问信息. 4. 机密性机制:为了确保机构信息的安全性而制定的机制,它包括物理控制,计算机 访问控制和文件加密. 第六章 1,策略包含的三个部分: 1目的:说明创建这个策略或过程的原因,以及机构预期从中获得哪些利益。 2:范围:规定其适用的范围. 3:责任:规定哪些人对正确实现该策略或过程负有责任。 第七章 1.薄弱点:潜在的攻击途径,可以存在于计算机系统和网络中或者管理过程中。 2.威胁的三个要素:目标(可能受到攻击的一个安全方面,作用者(进行威胁的人或机构 ,事件(构成威胁的行为类型。 3。作用者的三个特性:访问(作用者所具有的接近目标的能力,知识(作用者所具有的 关于目标的信息级别和类型,动机(作用者所具有的发动对目标的威胁的理由. 第八章 1。信息安全的过程:评估,策略,实现,培训,审核. 2。审核:功能包括策略遵守审核,定期项目评估和新的项目评估,入侵检测。保证 与策略相关的控制经过了正确的配置. 第十章 1。防火墙:一种网络的访问控制设备(可以是硬件,也可以是软件,用于适当的通信通 过,从而保护机构的网络或者计算机系统。类型:应用层防火墙和数据包过滤防火墙。 第十一章 1. 虚拟专用网络(vpn:特点:通信数据是经过加密的,远程站点是经过认证的,可以使用多 种协议,连接是点对点的。组成部分:vpn服务器,加密算法,认证系统,vpn协议. 第十二章 1加密:使信息变得混乱,从而对未经授权的人隐藏信息,而允许经过授权的人访问信 息。。 2。加密提供的三种安全服务的部分服务:机密性,完整性,责任性。 私钥加密:发送者(消息—-》私钥算法-- 》密文(不安全的传输介质——>私钥算法——》接受者(消息 公钥加密:明文——》加密算法——》密文——》加密算法——》明文 3.私钥加密和公钥加密的区别:私钥加密用于加密信息的密钥与解密信息的密钥相同 ,私钥加密不提供认证,拥有密钥的任何人都可以创建和发送有效信息,私钥加密的速度 快,而且和容易在软件和硬件中实现。公钥加密使用两个密钥一个密钥用于加密
防火墙知识
08-25
通俗易懂的讲解防火墙入门知识
TCP相关问题总结
qq_62835094的博客
04-23 1181
假设TCP是两次握手,则可能会发生以下情况客户端发起TCP握手,向服务器发送SYN,但该数据因网络波动滞留此时触发超时重传,重新简历TCP连接当新建立的连接断开后,之前在网络中滞留的SYN连接请求传递到服务端,服务端误以为客户端需要建立TCP连接,因此会发送SYN+ACK请求,并进入连接建立状态,但客户端并不需要建立连接,不会发送数据,因此会造成服务端资源的浪费三次握手可以防止客户端无效连接信息再次到达服务器,导致重新连接之所以需要四次挥手,因为半关闭tcp通道允许双方互相发送数据,数据是双向流动的。
SD-WAN怎样保障网络稳定
TIANGEKUAJING的博客
04-25 547
随着企业网络的日益复杂,如何确保线路的稳定性和高效性成为了网络管理的一大挑战。尤其是在线路出现故障、质量下降或拥塞时,如何快速响应并切换到最佳线路,就显得尤为重要。SD-WAN,作为一种新型的网络架构,为用户提供了灵活应对各种网络问题的能力。
用asio::tcp通信的服务端
最新发布
qq_36314864的博客
04-26 224
第三方库下载地址:https://download.csdn.net/download/qq_36314864/89227706。代码下载地址:https://download.csdn.net/download/qq_36314864/89227693。
H3C防火墙——禁止回环流量
05-24
回环流量是指从本地网络发往本地网络的数据包,如果防火墙不禁止回环流量,可能会导致网络出现异常情况。H3C防火墙可以通过以下步骤禁止回环流量: 1. 登录H3C防火墙,进入防火墙管理界面。 2. 点击“安全策略”-“访问控制”-“规则列表”,找到需要设置的规则。 3. 点击该规则的“编辑”按钮,在“高级选项”中勾选“禁止回环流量”选项。 4. 点击“保存”按钮,完成设置。 通过以上设置,H3C防火墙就可以禁止回环流量,保证网络的正常运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

静下心来敲木鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值