防火墙知识学习(一)

最新推荐文章于 2023-03-16 20:30:38 发布
最新推荐文章于 2023-03-16 20:30:38 发布
阅读量2.8k 收藏 12
点赞数 1
分类专栏: 学习笔记 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39664643/article/details/109327057
版权

防火墙知识学习(一)

基础知识篇

安全区域

  • 安全区域(Security Zone): 是一个或多个接口的集合,是防火墙区别于路由器的主要特性。华为防火墙默认提供三个安全区域,分别是Trust(85)、DMZ(50)、Untrust(5),还有一个防火墙本身Local(100)区域
  • 报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound ),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。
  • 防火墙通过安全区域来划分网络、标识报文流动的“路线”,当报文在不同的安全区域之间流动时,才会触发安全检查。

基于会话的状态检测

  • 状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待。
  • 会话是通信双方的连接在防火墙上的具体体现,代表两者的连接状态,一条会话就表示通信双方的一个连接。

安全策略篇

  • 对于同一条数据流,在访问发起的方向上应用安全策略即可,反向报文不需
    要额外的策略。
  • 对于同一条数据流只有首包匹配安全策略并建立会话,后续包都匹配会话转发。
  • 实现包过滤的核心技术是访问控制列表 ACL。
  • NGFW 的安全策略应用在全局,安全区域与 IP 地址等一样只是作为可选的匹配条件。
  • ASPF(Application Specific Packet Filter): 是针对应用层的包过滤,其原理是检测通过设备的报文的应用层协议信息,记录临时协商的数据连接,使得某些在安全策略中没有明确定义要放行的报文也能够得到正常转发。下图Server1为FTP服务器,演示了ASPF

image-20201028100047262

攻击防范篇

单包攻击

  • Ping of Death
    • 防火墙在处理 Ping of Death 攻击报文时,是通过判定数据包的大小是否大于 65535 字节,如果数据包大于 65535 字节,则判定为攻击报文,直接丢弃。
  • Land 攻击
    • Land 攻击是指攻击者向受害者发送伪造的 TCP 报文,此 TCP 报文的源地址和目的地址同为受害者的 IP 地址。这将导致受害者向它自己的地址发送回应报文,从而造成资源的消耗。
    • 防火墙在处理Land攻击报文时,通过检查TCP报文的源地址和目的地址是否相同࿰
最低0.47元/天 解锁文章
F4ke12138
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ENSP实验十二——USG5500策略配置命令验证
qq_21230015的博客
12-15 6960
一、设备清单及目标 1,设备 3台PC,1台USG5500。 2,目标 配置并验证USG5500一些策略配置命令。 二、拓扑图 三、配置 1,PC PC1作为trust区域 IP/掩码 1.1.1.1/24,GW1.1.1.254 PC2作为untrust区域 IP/掩码 2.2.2.2/24,GW2.2.2.254 PC3作为dmz区域 IP/掩码3.3.3.3/24,GW3.3.3.254 2,防火墙 要求一: trust可以访问dmz和untrustuntru
华为防火墙NAT配置与策略管理
qq_60654159的博客
11-19 7119
人类对计算机网路的使用已经拓展到各个领域,而计算机网络的设计者在当时无法想象网络能有今天的规模。任何一个接入互联网的计算机、ipad、手机及安卓电视,要想在互联网中畅游,必须有一个合法的IP地址。而IP地址,曾经认为足以容纳全球的计算机,但是在今天看来,已经严重枯竭。IPv6的出现就是为了解决地址不足的问题,但在IPv6普及之前,需要有一个过渡技术ーNAT。 NAT的出现缓解了地址不够用的情况,它可以让同一局域网内60000多用户同时使用一个合法IP地址访问互联网,NAT技术不是新技术,对于我们来说也不陌生
防火墙的简单介绍
weixin_45734926的博客
11-15 1132
Firewall
防火墙基础知识
爱意随风起,人生不可弃。
10-18 1万+
攻击模式:先ping服务器的在线ip,再扫描端口。通信双方一定会交互报文,即安全区域的两个方向上都有报文的传输,通过设置安全区域,防火墙安全区域之间有等级明确的域间关系,不同的安全区域代表不同网络防火墙成为连接各个网络的节点,以此为基础,防火墙可以对各网络之间流动的报文实施管控。安全区域是防火墙的重要概念,简称:区域(zone),安全区域是一个或多个接口的集合,是防火墙区别路由器的主要特性,防火墙通过安全区域来划分网络,标识报文流动的“路线”,一般来说,当报文在不同的安全区域流动时,才会受到控制。
防火墙-安全策略配置2.0》
weixin_52439435的博客
05-24 1936
防火墙-安全策略配置2.0》
安全防御之防火墙基础】
最新发布
Fanyunin的博客
03-16 1247
防火墙主要一个网络免受另一个网络的攻击和入侵行为。防火墙灵活应用于网络边界、子网隔离等位置。例如:企业网络出口、大型网络内部子网隔离、数据中心边界。
华三防火墙快速入门教程
11-16
H3C V5 V7版本的命令行配置和web配置都有,让你快速上手华三防火墙基本配置,成为优秀的系统集成工程师
路由器与防火墙学习资料
07-24
学习路由器与防火墙的入门资料,通过每一章节的讲解,一定会使您掌握最基础的路由器与防火墙知识
linux 学习基本知识
06-08
这份"Linux学习基本知识"的PPT压缩文件包含了一系列的教程,旨在帮助初学者掌握Linux系统的基本操作。以下是一些可能涵盖的关键知识点: 1. **Linux历史与哲学**:Linux是由林纳斯·托瓦兹在1991年创建的,它的核心...
wakin网络知识梳理 学习笔记
10-24
wakin数通网络知识梳理 学习笔记
2016消防安全知识培训教材学习教案.pptx
09-29
首先,燃烧是一个涉及可燃物质、氧化剂和温度(点火源)的放热发光的剧烈化学反应。燃烧的三个条件缺一不可,形成所谓的“燃烧三角”。如果能够控制这三点,就能有效预防火灾的发生。例如,限制可燃物的存储量、使用...
防火墙trustuntrust什么意思?】
mengmeng_921的博客
03-17 8397
​我们都知道,所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵。 而trustuntrust可以说是防火墙中的一种区域概念,那么和大家一起聊聊防火墙中的trustuntrust防火墙trustuntrust什么意思? trustuntrust其实并不难理解,英文trust是信任的意思
浅谈防火墙五个域,三种模式
热门推荐
洞若观火
10-11 4万+
五个域: untrust(不信任域) dmz(隔离区) trust(信任域) local(本地)| management(管理) 报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。untrust(不信任域): 低级安全区域,安全优先级为5 通常用来定义Internet等不安全网络,用于...
防火墙的基础知识(会话表)
captainyuxiaoyu的博客
04-04 1万+
基本理解 防火墙的作用:隔离内外网 防火墙是什么:指(在遭受入侵时)隔离内外网的设备或者做内外网隔离的策略 历史进程: 黑客:伪造ip,伪造端口号,破解acl和nat(利用nat映射表) 安全:利用Tcp通信过程:握手syn,ack,rst,外网服务器只会发ack和rst,在防火墙上抓外网来的包必须有ack和rst(释放链接)字段才让进,这样可以有效阻止攻击者(当然在攻击者无法造包flag字段情况...
HUAWEI USG NAT OUTBOUND
Jason Wang
03-06 2473
 HUAWEI USG NAT OUTBOUND ensp 1.2.00.350 USG5500 内网用户做NAT端口转换200.1.1.1访问互联 外网不能访问内网用户   内网:11.1.1.0/24 外网:200.1.1.0/24   外网不能访问内网用户 system-view #配置防火墙的i
防火墙配置基本
u011533346的专栏
11-28 8260
域:默认有几个系统自定义的区域local、trustuntrust、dmz,每个区域有各自的优先级; 域间安全策略 outbound代表数据包出方向,即从设备的某接口出去的方向 inbound代表数据包进方向,即由设备的某接口进来的方向 端口配置IP、vrrpIP: interface GigabitEthernet0/0/6  combo enable fiber  de
USG5500 配置地址池和easy-ip双出口NAT
友人A的博客
11-07 9294
一、组网需求: 1、某公司购买了两个运营商的公网IP,使公司内部用户能够通过NAT访问互联网。但是向A运营商只购买一个公网IP,所以想配置为easy-ip的NAT模式。向B运营商购买了6公网IP(202.202.202.1-202.202.202.6),所有想配置为NAT地址池模式。 另外,同一个网段的内网,指定IP的机器不能访问互联网,其他IP可以访问互联网。 2、网络拓扑 3、数据...
2-华为防火墙安全策略分类
weixin_34309435的博客
07-07 589
一、实验拓扑:二、实验要求:ASA中只能定义个主机或者一个范围,SRG可以同时定义主机、范围;从虚拟防火墙的到物理防火墙也是Inbound,华为里管理类型防火墙就是思科的管理子防火墙;三、命令部署:1、R1、R2、R3地址省略,部署默认路由到USG:[R1]ip route-static 0.0.0.0 0.0.0.0 202.100.1.10[R2]ip route-static 0.0.0.0...
华为防火墙配置命令-trust-dmz-untrust
weixin_45986422的博客
05-12 9763
R1配置命令 <Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]undo inf enable Info: Information center is disabled. [Huawei]sys R1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.9.195 24 [R1-GigabitEthernet0/0/0]undo sh Inf..
"Checkpoint防火墙学习笔记与实验手册—配置、VPN、NAT全面指南
实验手册中的一系列实验内容则可以帮助学习者通过实际操作来巩固和加深所学的知识,并提高对Checkpoint防火墙的实际应用能力。总的来说,本学习笔记和实验手册内容丰富,适合初学者和希望深入学习Checkpoint防火墙的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值