信安Note_day20

最新推荐文章于 2023-07-23 15:32:57 发布
最新推荐文章于 2023-07-23 15:32:57 发布
阅读量313 收藏
点赞数
分类专栏: 信安笔记 文章标签: 网络 tcp/ip 网络协议 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45398929/article/details/127814840
版权

防火墙

防火墙的功能

防火墙有很多功能,这里主要列举出四个。

用于隔离LAN与WAN

即所有荆楚内网的流量都要经过防火墙进行过滤。

软件防火墙与硬件专业防火墙的区别:

  • 在操作系统内部的软件防火墙,一般只能过滤OSI参考模型二、三、四层的数据内容。

  • 而物理防火墙,可以过滤全部七层的数据。

强化安全策略

防火墙使用策略(Policy)限制内网和外网的互相访问。

有效防止来自外部的威胁。

(防火墙通过配置安全策略可以实现内外网流量的筛选,基于OSI三、四、七层的标识来决定流量是否要被放行。)

记录用户的上网行为

方便管理员监视局域网用户的上网行为。

例如,内网用户访问外网网站等。

隐藏内部站点或拓扑

防火墙支持NAT功能

还能缓解公网IP地址不足的问题

因防火墙是局域网内部访问外网的最外层设备,所以它具备NAT功能。

防火墙的其他功能

基于以下条件进行流量筛选:

  • VLAN ID

  • 源/目的安全区域

  • 源/目的 的 地址/地区

  • 用户(例如学校上网时,需要学号登录)

  • 服务(例如限制ftp服务)

  • 应用(例如限制QQ程序对外网的访问)

  • URL分类

  • 时间段

还可以通过配置文件实现以下功能:

  • 反病毒

  • 入侵防御

  • URL过滤

  • 文件过滤

  • 内容过滤

  • 应用行为控制

  • 邮件过滤

  • APT防御

  • DNS过滤

  • 云接入安全感知

交换机、路由器与防火墙的对比

防火墙:网络安全管理,流量过滤、流量筛选。

路由器、交换机的本质是转发,防火墙的本质是控制。

路由器、交换机最多可以实现二、三、四层的包过滤,而防火墙可以实现七层的包过滤,并且可以基于报文的内容是否存在异常信息进行包过滤。

防火墙和路由器实现安全控制的区别

过滤数据包:

  • 防火墙:基于状态包过滤的应用级信息流过滤。

  • 路由器:核心的ACL列表是基于简单的包过滤。

对性能的影响:

  • 防火墙:采用的是状态包过滤,规则条数,NAT的规则数对性能的影响较小。

  • 路由器:进行包过滤会对路由器的CPU和内存产生很大的影响。

防攻击能力:

  • 防火墙:具有应用层的防范能力

  • 普通路由器:不具备应用层的防范能力。

    注意,路由器理论上并不能够识别异常信息,路由器只能按照配置的规则进行转发数据。

防火墙分类

传统防火墙

具有数据包过滤、网络地址转换(NAT)、协议状态检查以及VPN等功能。

这一类型的防火墙是最初的防火墙,传统防火墙大多以软件的方式“寄居”在其他硬件设备上。

UTM防火墙

(United Threat Management,统

最低0.47元/天 解锁文章
小范同学_F
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为USG防火墙入门基础03_Server-map
IT_zhangsan
06-15 1117
通常情况下,如果在设备上配置严格的安全策略,那么设备将只允许内网用户单方向主动访问外网。为了解决这一类问题,FW引入了Server-mapServer-map用于存放一种映射关系,这种映射关系可以是控制数据协商出来的数据连接关系,也可以是配置NAT中的地址映射关系,使得外部网络能透过设备主动访问内部网络。生成Server-map之后,如果一个数据连接匹配了Server-map项,那么就能够被设备正常转发,并在匹配Server-map后创建会话,保证后续报文能够按照会话转发。
华为防火墙基本配置ASPF与Server-map
sjsjshhs134654的博客
11-14 2392
Server-map不是当前的连接信息,而是防火墙对当前连接分析后得到的即将到来报文的预测;如果没有命中则检查是否命中Server-map;命中Server-map的报文不受安全策略控制;防火墙最后为命中Server-map的数据创建会话。设备通过检测报文的应用层数据,自动获取相关信息并创建相应的会话项,以保证这些应用的正常通信。这个功能称为ASPF,所创建的会话项叫做Server-map。分析报文,产生Server-map。中的关键信息,报文命中该后,
防火墙的简单介绍
weixin_45734926的博客
11-15 1110
Firewall
华为防火墙的NAT介绍及配置详解
weixin_53049621的博客
04-10 1万+
博文大纲: 一、华为防火墙NAT的六个分类; 二、解决NAT转换时的环路及无效ARP; 三、server-map的作用; 四、NAT对报文的处理流程; 五、各种常用NAT的配置方法; 一、华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少。 NAPT(Network Address and Port Translation,网络地址和端口转换):类似于C
安全防御------防火墙
最新发布
m0_63292411的博客
07-23 973
本章主要讲解了防火墙的相关知识,包括基本概念,技术类型,安全区域,状态检测等。还包含FTP协议的有关概念以及ASPF技术。
信安1901_U201911657_李文重1
08-08
1.2线性分析(1)设计内容对于上文所示的SPN,要进行一次线性攻击,来进行密钥的破解 1.3差分分析设计内容目的类似于上一题的线性分析,只不过这次采用差分分析
信安ssl 配置 文档
06-22
一. 实施步骤和操作过程 管理口 是port1 口 地址是 192.168.1.99,您可以直接 将笔记本链接 设备的1口 登陆https:// 192.168.1.99:8888 或通过管理口,,在终端的浏览器中输入... ... ... 进入config模式进行进一步的配置。...
信安_市场运作及产品分析v1.1.0
11-01
2.1 能信安公司文化 5 2.1.1 公司介绍: 5 2.1.2 公司文化: 5 2.1.3 公司组织架构: 5 2.1.4 公司资质: 6 2.2 能信安市场运作情况 6 2.2.1 中国在线教育市场浅析: 6 2.2.2 交通行业在线教育发展状况: 6 2.2.3 能...
信安之路 2017 年刊
10-02
信安之路 2017 年刊
信安考试试题汇总
07-19
信息安全考试试题汇总,有1000道题目的pdf,还有参加考试的相关试题,word中的试题答案不全对,但确保大部分是正确的。
防火墙——多通道协议与Server-map
m0_49864110的博客
06-01 3861
ASPF全称为针对应用层的包过滤(基于状态的报文过滤),FW通过检测协商报文应用层携带的地址和端口信息,自动生成相应的Server-map,用于放行后续建立数据通道的报文,相当于自动创建的一条精细的“安全策略”,解决了多通道协议使用随机端口无法过滤的问题。ALG全称为应用层网关,用于在NAT场景下检测协商报文应用层携带的地址和端口信息,自动生成Server-map,并自动转换应用层报文载荷中的IP地址和端口信息。
浅谈华为防火墙NAT策略
:Struggle.
09-01 8025
博文目录 一、什么是NAT? 二、如何解决源地址转换环境下的环路和无效ARP问题? 三、什么是Server-map? 四、NAT对报文的处理流程 五、开始配置NAT 一、什么是NAT? NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术。此博文重点是华为相关的NAT知识上。 1、NAT分类 在内外网的...
安全HCIPServer-map
XiaoHG_CSDN的博客
10-05 3298
Server-map server-map是一种映射关系,当数据连接匹配了动态Server-map项时,不需要再查找包过滤策略,保证了某些特殊应用的正常转发; 多通道协议会由客户端和服务器之间的控制通道动态协商出数据通道,即通信双方的端口号是不固定的,而在配置ASPF功能后,设备检测到控制通道的协商,根据关键报文载荷中的地址信息动态创建server-map项,用于数据通过发起连接时进行查找,这个server-map项包含了多通道协议报文中协商的数据通道的信息; 可以产生Server map项的(
【华为认证-每日十题】HCNP-R&S-IENP(11-20)【答】
weixin_42559627的博客
08-13 6574
11 ASPF (Application Specific packet Filter)是一种基于应用层的包过滤,它会检查应用层协议信息并且监控链接的应用层协议状态,并通过server Map实现了特殊的安全机制。那么关于ASPF和server map的说法,错误的是: A ASPF监视通信过程中的报文 B ASPF动态创建和删除过滤规则 C ASPF通过servermap实现动态允许...
ENSP-----防火墙NAT策略
热门推荐
qq_42761527的博客
02-12 1万+
一.NAT概述 NAT的分类 NAT no-PAT:类似思科的动态转化,多对多,不转化端口,不能解约公网IP地址,实际应用场景使用较少,主要适用于需要上网的用户较少,而公网IP地址有足够多的场景 NAPT(网络地址端口转换):类似于思科的PAT,NATP即转换报文的源地址,又转换源端口。转换后地址不能是外网接口IP地址,属于多对多或者多对一的转换,可以节省公网IP地址,使用场景较多 Eas...
Server-map
Jian Sun_的博客
01-08 3482
1. server-map是一种映射关系,当数据连接匹配了动态Server-map项时,不需要再查找包过滤策略,保证了某些特殊应用的正常转发。 2.多通道协议会由客户端和服务器之间的控制通道动态协商出数据通道,即通信双方的端口号是不固定的,而在配置ASPF功能后,设备检测到控制通道的协商,根据关键报文载荷中的地址信息动态创建server-map项,用于数据通过发起连接时进行查找,这个server-map项包含了多通道协议报文中协商的数据通道的信息。 3.一句话总结Server map:为特殊应用
交换机Switch
weixin_42519306的博客
08-05 1062
交换机的工作原理: 交换机通过数据帧的源MAC地址进行学习,把MAC地址添加到MAC地址/CAM。然后通过数据帧的目的MAC地址来进行转发数据帧。相对于集线器,交换机可以认为是集线器的替代品,工作是全双工模式,用于隔离冲突域。 Switch#show mac-address-table //查看交换机MAC地址 交换机对比集线器,除了学习功能以外,还有数据帧的过滤,和环路的防止。 交换机的过滤: 当收到一个单播帧的时候,集线器会进行泛洪转发,而交换机会进行单播转发,从而过滤掉其...
常用网络设备
xiaoliuliu2050的专栏
07-26 6052
物理层设备: 双绞线 光纤 modem调制解调器 作用是把光纤电话线双绞线的模拟信号和电脑路由器里使用的数字信号做转化 中继器: 对所接收的信号进行放大,然后直接发送到另一个端口连接的电缆上,主要用于扩展网络的物理连接范围 集线器:hub 集线器(HUB)属于数据通信系统中的基础设备,它和双绞线等传输介质一样,是一种不需任何软件支持或只需很少管理软件管理的硬件设备。它...
linux 亚信安ds_agent 使用教程
06-08
信安 DS_agent 是亚信安全产品的一部分,用于收集和发送关于计算机的安全事件和状态信息。下面是在 Linux 上使用亚信安 DS_agent 的教程: 1. 下载亚信安 DS_agent 在亚信安全控制台中,单击 "下载" 按钮并选择 "DS_agent"。选择适合您的操作系统的版本并下载。 2. 安装亚信安 DS_agent 在下载完成后,使用以下命令解压缩并安装亚信安 DS_agent: ``` tar xvfz DS_agent-<version>.tar.gz cd DS_agent-<version> sudo ./install.sh ``` 安装过程中,您需要提供亚信安全控制台的地址和您的认证信息。 3. 启动亚信安 DS_agent 安装完成后,您可以使用以下命令启动亚信安 DS_agent: ``` sudo /opt/ds_agent/dsa_control start ``` 启动后,亚信安 DS_agent 将开始发送数据到亚信安全控制台。 4. 停止亚信安 DS_agent 您可以使用以下命令停止亚信安 DS_agent: ``` sudo /opt/ds_agent/dsa_control stop ``` 停止后,亚信安 DS_agent 将不再发送数据到亚信安全控制台。 以上就是使用亚信安 DS_agent 的基本教程,希望对您有帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值