1、ARP欺骗攻击
ARP实现机制只考虑业务的正常交互, 对非正常业务交互或恶意行为不做任何验证。比如当主机收到ARP响应包后, 它并不会去验证自己是否发送过这个ARP请求, 而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表。
2、IP欺骗攻击
节点间的信任关系有时会根据IP地址来建立
攻击者使用相同的IP地址可以模仿网络上合法主机,访问关键信息
3、TCP协议与UDP协议
TCP—传输控制协议,提供的是面向连接、可靠的字节流服务
UDP—用户数据报协议,是一个简单的面向数据报的运输层协议。
4、TCP建立连接与断开连接
TCP建立连接要进行三次握手,而断开连接要进行四次。这是由于TCP的半关闭造成的。因为TCP连接是全双工的(即数据可在两个方向上同时传递)所以进行关闭时每个方向上都要单独进行关闭。这个单方向的关闭就叫半关闭。当一方完成它的数据发送任务,就发送一个FIN来向另一方通告将要终止这个方向的连接。
5、状态检测防火墙与包过滤防火墙
状态防火墙:1.处理后续包速度快2.安全性高
包过滤防火墙:1.无法关联数据包之间关系2.无法适应多通道协议3.通常不检查应用层数据
6、安全区域与接口之间的关系
一个接口只属于一个安全区域,而一个安全区域可以包含多个接口。
7、可靠性技术IP LINK与静态路由和双机热备整合后的优势
启用IP-link链路可达性检查功能后,同步防火墙之间会话信息,系统给将会出发主备切换,保证业务正常进行。
8、包过滤与状态检测机制、会话表之间的关联关系
状态检测机制是包过滤的一种机制,通过对第一条流量的报文进行包过滤规则检查,并将对该流量的判断结果记录下来,形成会话表项,对于该流量的后续报文都会根据会话表项来判断是转发还是丢弃
9、Server Map表项的具体的作用
在多通道协议中, 如FTP, 控制通道和数据通道是分开的。 数据通道是在控制报文中动态协商出来的, 为了避免协商出来的通道不因其他规则的限制(如ACL) 而中断, 需要临时开启一个通道, Servermap表项就是为了满足这种应用而设计的一种数据结构。ASPF技术检测IP层之上的应用层报文信息, 并动态地根据报文的内容创建和删除临时的Servermap表项, 以允许相关的报文通过。 Server-map通常只是用检查首个报文,通道建立后的报文还是根据会话表来转发
10、分片缓存中首报分片和其它分片在报文格式上的区别
分片中的首片报文中的标志最后位为1,其他分片报文中的标志为0
将非首片的分片报文缓存至分片散列表,等待首片到来建立会话后,将所有分片报文进行转发。分片晚到防火墙将丢弃分片缓存中的分片报文
11、端口识别(端口映射)主要应用的场景
端口识别, 也称端口映射, 是防火墙用来识别使用非标准端口的应用层协议报文, 把非标准协议端口映射成可识别的应用协议端口。 端口映射支持的应用层协议包括FTP、HTTP、 RTSP、 PPTP、 MGCP、 MMS、 SMTP、 H323、 SIP、 SQLNET。 只对安全域间的数据流动生效, 因此在配置端口映射时, 也必须配置安全区域和安全域间
7977
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
