ICMP:{ping | tracert }
ARP
OSPF/静态路由
一、传输层协议
TCP--------可靠协议
经典FLAG位:SYN ACK FIN RST
TCP 三次握手:SYN 、SYN+ACK 、ACK
TCP四次挥手:FIN+ACK、 ACK、 FIN+ACK、ACK
UDP---------------无连接,不可靠连接
二、应用层协议
FTP-----------文件传输协议,多通道的协议
基于TCP,两个端口 {21-控制连接(控制信道) | 20-数据连接(数据信道)}
两个模式:
主模式:PORT
TCP三次握手建立控制通道
客户端----------服务端
SYN(sport = 随机 dport = 21)、SYN+ACK、ACK
prot消息:a,b,c,d,e,f (a,b,c,d------代表ip地址 | e,f-------代表端口(256*e+f))
被动模式 :PASV
TCP三次握手建立控制信道
客户端--------服务器
SYN(sport = 随机 dport = 21),SYN+ACK,ACK
PASV消息:a,b,c,d,e,f
a,b,c,d--------代表ip地址
e,f---------代表端口(256*e+f)
TCP三次握手建立数据信道
SYN(sport = 随机 dport = 256*e+f),SYN+ACK,ACK
应用层
HTTP:基于TCP,建立三次握手
HTTP:get post
HTTPS-----TLS(SSL)
Web基于客户端(Client) / 服务器(Server)架构实现,包含三个部分:
1、使用HTML(HyperText Mark-up Language)描述文件
2、使用URL(Uniform Resource Locator)指定文件的所在
3、透过HTTP(HyperText Transfer Protocol)协议与服务器沟通
网络安全设备
路由器:跨网段通信设备
交换机:同网段或跨网段通信设备
Anti-DDos:DDoS防御系统,通常旁挂于网络出口处
NGFW:下一代防火墙,可部署在网络出口或数据中心
vNGFW:虚拟NGFW,与硬件防火墙功能类似。
NIP:下一代入侵防御系统,专业的入侵检测/入侵防御设备。
Agile-Controller:基于用户和应用做准入控制。
华为安全产品
防火墙发展史
设备登陆
1、Console登陆
2、telnet 登陆
3、SSH登陆
4、Web登陆
默认管理口g0/0/0接口缺省配置
display current-configuration interface g0/0/0
#
interface GigabitEthernet 0/0/0
alias GE0/MGMT
ip address 192.168.0.1 255.255.255.0
dhcp select interface
dhcp server ip-range 192.168.0.1 192.168.0.254
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit
anti-ddos flow-statistic enable
anti-ddos syn-flood source-detect alaert-rate 100
浏览器输入:http://192.168.0.1、https://192.168.0.1:8443
默认开启HTTP,HTTP重定向到HTTPS功能
注意:
1、除了带外网管以外,也可以带内网管
2、默认使用8443,图形化界面不能修改,只能通过命令行修改
web-manager security enable port 6666--------默认8443
配置文件
配置文件类型
save-configuration:USG设备下次上电启动时所用的配置文件,存储在USG的Flash或者CF卡。
current-configuration:USG设备当前生效的配置,存储在USG的内存中
配置文件操作
保存配置
CLI:用户视图:“用户视图>save“
Web:”主页“右上角的保存按钮
配置下次启动时的系统软件
CLI:”用户视图“>startup system-software sysfile
Web:”系统>系统更新“选择下次启动系统软件按钮
重启防火墙
作用:防火墙将重新启动,并将重启的动作记录至日志中
CLI:用户视图>reboot
Web:系统>系统重启
版本升级