目录
一,FTP和TFTP区别
FTP--文件传输协议---有认证系统,有完整的命令集可以查看文件,TCP--20,21
FTP工作过程中存在两个进程:一个控制进程,一个数据传输进程,所以需要使用两个端口号20,21并且FTP存在两个工作模式,一种主动模式,一种被动模式
TFTP--简单文件传输协议---没有认证系统,没有完整的命令集只会上传和下载,UDP
主动模式
像FTP这种使用多个端口号的协议叫做多通道协议(双通道协议)
二,ASPF
ASPF--针对应用层的包过滤--用来抓取多通道中的协商端口的关键数据包,之后将端口算出
将结果记录到sever-map表中,想当于开辟一条隐形的通道
三,防火墙的用户认证
防火墙管理员登录认证--检验身份的合法性,划分身份权限
用户认证:--上网行为管理的一部分 用户,行为,流量--上网行为管理三要素
用户认证的分类:
上网用户认证:三层认证--所有的跨网段的通信都可以是上网行为,对于这些行为我们希望将行为和产生行为的人进行绑定,所以,需要进行上网用户认证。
入网用户认证:二层认证--我们的设备在接入网络中,比如插入交换机或者接入wifi后需要进行认证才能正常使用网络。
接入用户认证:远程接入--VPN---主要是校验身份的合法性
上网用户认证的方式:
1.本地认证:用户信息在防火墙上,整个认证在防火墙上执行
2.服务器认证:对接第三方服务器:防火墙将用户信息传递给服务器,之后,服务器将认证结果返回,防火墙执行对应的动作即可
3.单点登录:和第三方服务器认证类似。
认证域:它可以决定认证的方式和组织结构
登录名(账号)--作为登录凭证使用,一个认证域下不能重复
显示名(昵称)--显示名不能用来登录,只用来区分和标识不同的用户。如果使用登录名区分,则也 可以不用写显示名。显示名可以重复。
账号过期时间--可以设定一个时间点到期,但是,如果到期前账号已登录,到期后,防火墙 不会强制下线该用户。
允许多人同时使用该账号登录
私有用户--仅允许一个人使用,第二个人使用时,将顶替到原先的登录
公有用户--允许多个人同时使用一个账户
四,认证策略
Portal--这是一种常见的认证方式。我们一般见到的网页认证就是portal认证。我们做上网 认证,仅需要流量触发对应的服务时,弹出窗口,输入用户名和密码进行认证。
免认证--需要在IP/MAC双向绑定的情况下使用,则对应用户在对应设备上登录时,就可以 选择免认证,不做认证。
匿名认证--和免认证的思路相似,认证动作越透明越好,选择透明认证,则登录者不需要输入登录名和密码,直接选择IP地址进行登录
如果这里的上网方式选择protal认证,则认证策略里面也要选择portal认证。
如果这里的上网方式选择免认证或者单点登录,则认证策略中对应动作为免认证
如果认证策略中选择的是匿名认证,则不触发这里的认证动作。