安全防御:防火墙基本模块

目录

一、接口

1.1 物理接口

1.2 虚拟接口

二、区域

三、模式

3.1 路由模式

3.2 透明模式

3.3 旁路检测模式

3.4 混合模式

四、安全策略

五、防火墙的状态检测和会话表技术


一、接口

1.1 物理接口

三层口 --- 可以配置IP地址的接口

二层口:

  1. 普通二层口
  2. 接口对---“透明网线” --- 可以将一个或者两个接口配置成为接口对,则数据从一个接口进,将不需要查看MAC地址表,直接从另一个接口出;
  3. 旁路检测接口

1.2 虚拟接口

环回接口

子接口

Vlanif

Tunnel

链路聚合

4个千兆Bypass其实是两对Bypass接口 --- 如果设备出现故障,则两个bypass将直接短接,形成通路,不影响网络数据的传输。

虚拟系统---VRF

虚拟系统互通使用的接口,每创建一个虚拟系统,将自动生成一个虚拟接口,仅需要配置IP地址即可 。

添加网关,将自动生成一条指向网关的缺省

这里管理的优先级高于安全策略,安全策略未放通,但是,这里勾选,则可以正常访问

接口对默认是trunk干道

二、区域

  • Trust --- 信任区
  • Untrust --- 非信任区
  • Local --- 防火墙上所有的接口都属于这个区域
  • DMZ --- 非军事化管理区域 --- 放置一些对外开放的服务器

将一个接口划入某一个区域,则代表将这个接口所连接的网络划分到对应区域中,而接口本身,永远属于Local。

优先级 --- 1 - 100 --- 从优先级高的区域到优先级低的区域 ---- 出方向 --- Outbound

                                 从优先级低的区域到优先级高的区域 ---- 入方向 ---- inbound

三、模式

3.1 路由模式

1,接口IP地址,区域划分

2,写内网的回报路由

3,安全策略

4,内到外的NAT

5,服务器映射

3.2 透明模式

1,接口配置VLAN,以及划分区域

2,安全策略

3,增加设备的管理接口,用于控制管理设备以及设备的自我升级

3.3 旁路检测模式

3.4 混合模式

四、安全策略

防火墙的安全策略

传统包过滤技术 --- 其本质就是ACL访问控制列表,根据数据包的特征进行过滤,对比规则,执行对应的动作;

这里数据包的特征 --- 数据包的五元组 --- 源IP,目标IP,源端口,目标端口,协议

在安全策略中,可以执行两块内容:

  • 第一块做访问控制,允许或者拒绝通过;
  • 第二块是在允许通过的情况下,可以进行内容安全的检测,一体化检测。

下图中许多都是依靠条件匹配完成策略命中

所有匹配项之间的关系是“与”,一条中如果可以多选,则多个选项之间为“或”关系

五、防火墙的状态检测和会话表技术

主要机制就是以数据流作为单位,仅针对首包进行检测,检测之后,将数据包的特征记录在本地的会话表中,之后,数据流中的其他数据包来到防火墙,不再匹配安全策略,则匹配会话表,根据会话表来进行转发。

回来的数据包会被检测是否符合协议定义的后续报文的要求。

1,会话表技术;2,状态检测技术

会话表技术 --- 提高转发效率的关键 --- 老化机制

  • 1,会话表老化时间过长 --- 占用资源,导致一些会话无法正常建立
  • 2,老化时间过短 --- 会导致一些需要长时间发送一次的报文强行终端,影响正常业务

在命令行中查看会话表:

<USG6000V1>display firewall session table

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/45434.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java面试题:分库分表

分库分表 当数据量非常大时,就需要通过分库分表的方式进行压力分摊,避免数据库访问压力过大 分库分表的前提: 业务数据达到一定量级:单表数据量达到1000w或20g 优化解决不了性能问题 分库分表策略 垂直拆分 垂直分库 以表为依据,根据业务将不同表拆分到不同库中 eg:根…

车载终端_RTK定位|4路摄像头|驾驶辅助系统ADAS定制方案

现代车辆管理行业的发展趋势逐渐向智能化和高效化方向发展&#xff0c;车载终端成为关键的工具之一。在这个背景下&#xff0c;一款特别为车队管理行业设计的车载终端应运而生。该车载终端采用8寸多点触控电容屏&#xff0c;搭载联发科四核处理器&#xff0c;主频2.0GHz&#x…

如何安装node.js

Node.js Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时环境。 主要特点和优势&#xff1a; 非阻塞 I/O 和事件驱动&#xff1a;能够高效处理大量并发连接&#xff0c;非常适合构建高并发的网络应用&#xff0c;如 Web 服务器、实时聊天应用等。 例如&#xff0c;在…

FeignClient详解

FeignClient 是 Spring Cloud Open Feign 中的一个注解&#xff0c;它用于定义一个 Feign 客户端&#xff0c;Feign 是一个声明式的 Web 服务客户端&#xff0c;使得编写 Web 服务客户端变得更加简单。以下是 FeignClient 注解的详细说明&#xff1a; 定义 Feign 客户端&#x…

网络安全——防御(防火墙)带宽以及双机热备实验

12&#xff0c;对现有网络进行改造升级&#xff0c;将当个防火墙组网改成双机热备的组网形式&#xff0c;做负载分担模式&#xff0c;游客区和DMZ区走FW3&#xff0c;生产区和办公区的流量走FW1 13&#xff0c;办公区上网用户限制流量不超过100M&#xff0c;其中销售部人员在其…

Swift入门笔记

Swift入门笔记 简单值控制流函数和闭包对象和类枚举和结构体并发协议和扩展错误处理泛型 简单值 // 声明变量 var myVariable 42 myVariable 50// 声明常量 let myConstant 42// 声明类型 let implicitInteger 70 let implicitDouble 70.0 let explicitDouble: Double 7…

排序相关算法--3.选择排序

之前涉及的堆排序就是选择排序的一种&#xff0c;先进行选择。 基本选择排序&#xff1a; 最简单&#xff0c;也是最没用的排序算法&#xff0c;时间复杂度高并且还是不稳定的排序方法&#xff0c;项目中很少会用。 过程&#xff1a; 在一个长度为 N 的无序数组中&#xff0c;…

智慧公厕系统助力城市卫生管理

在当今快速发展的城市环境中&#xff0c;城市卫生管理面临着诸多挑战。其中&#xff0c;公共厕所的管理一直是一个重要但又常被忽视的环节。然而&#xff0c;随着科技的不断进步&#xff0c;智慧公厕系统的出现为城市卫生管理带来了全新的解决方案&#xff0c;成为提升城市品质…

OrangePi AIpro 浅上手

OrangePi AIpro 浅上手 OrangePi AIpro 介绍开发版介绍硬件规格顶层视图和底层视图接口详情图 玩转 OrangePi AIPro烧录镜像串口调试连接 WiFissh 连接配置下载源 使用感受优点&#xff1a;缺点或需注意的点&#xff1a; OrangePi AIpro 介绍 开发版介绍 OrangePi AIpro是香橙…

【大语言模型】私有化搭建-企业知识库-知识问答系统

下面是我关于大语言模型学习的一点记录 目录 人工智能学习路线 MaxKB 系统(基于大语言模型的知识问答系统) 部署开源大语言模型LLM 1.CPU模式(没有好的GPU&#xff0c;算力和效果较差) 2.GPU模式&#xff08;需要有NVIDIA显卡支持&#xff09; Ollama网络配置 Ollama前…

【问卷系统】TDucKX更新速览

TDuck是一款在线表单问卷收集工具&#xff0c;开源地址&#xff1a;https://gitee.com/TDuckApp一款免费的表单问卷系统&#xff1b;可快速创建问卷或业务表单&#xff0c;采用无代码理念支持开发自定义组件。采用SpringBootVueElementUI技术栈&#xff0c;功能强大界面清新&am…

Catena-x标准解读:CX-0007 Minimal Data Provider Service Offering v1.0.2 最小数据提供商服务产品

为了更好地理解&#xff0c;最小数据提供者服务也将被称为“上传工具”。 对于数据供应工具来说&#xff0c;数据主权的概念尤为重要。数据主权是Catena-X网络的核心价值观之一。每个参与者都应该尽可能多地控制自己的数据。这包括 他总是确切地知道他在与谁交换数据。参与者…

【GameFramework扩展应用】6-4、GameFramework框架增加AB包加解密功能

推荐阅读 CSDN主页GitHub开源地址Unity3D插件分享简书地址QQ群:398291828大家好,我是佛系工程师☆恬静的小魔龙☆,不定时更新Unity开发技巧,觉得有用记得一键三连哦。 一、前言 【GameFramework框架】系列教程目录: https://blog.csdn.net/q764424567/article/details/1…

软件测试面试200问(全)

1、B/S架构和C/S架构区别 B/S 只需要有操作系统和浏览器就行&#xff0c;可以实现跨平台&#xff0c;客户端零维护&#xff0c;维护成本低&#xff0c;但是个性化能力低&#xff0c;响应速度较慢 C/S响应速度快&#xff0c;安全性强&#xff0c;一般应用于局域网中&#xff0…

【matlab】智能优化算法优化BP神经网络

目录 引言 一、BP神经网络简介 二、智能优化算法概述 三、智能优化算法优化BP神经网络的方法 四、蜣螂优化算法案例 1、算法来源 2、算法描述 3、算法性能 结果仿真 代码实现 引言 智能优化算法优化BP神经网络是一个重要的研究领域&#xff0c;旨在通过智能算法提高…

变量筛选—特征包含信息量

在变量筛选中,通过衡量特征所包含信息量大小,决定是否删除特征,常用的指标有单一值占比、缺失值占比和方差值大小。单一值或缺失值占比越高,表示特征包含信息量越少,不同公司设置不同阈值,一般单一值、缺失值占比高于95%,建议删除。方差值越小,代表特征包含信息量越小。…

入职前回顾一下git-01

git安装 Linux上安装git 在linux上建议用二进制的方式来安装git&#xff0c;可以使用发行版包含的基础软件包管理工具来安装。 红帽系 sudo yum install gitDebian系 sudo apt install gitWindows上安装git 去官网下载和操作系统位数相同的安装包.或者可以直接安装GitHub…

模板引擎是什么?

模板引擎&#xff08;Template Engine&#xff09;是一种用于生成文本输出的工具&#xff0c;尤其在Web开发中应用广泛。它的主要目的是将用户界面&#xff08;通常是HTML等模板文件&#xff09;与业务数据&#xff08;内容&#xff09;分离&#xff0c;从而提供一种高效、灵活…

[图解]SysML和EA建模住宅安全系统-14-黑盒系统规约

1 00:00:02,320 --> 00:00:07,610 接下来&#xff0c;我们看下一步指定黑盒系统需求 2 00:00:08,790 --> 00:00:10,490 就是说&#xff0c;把这个系统 3 00:00:11,880 --> 00:00:15,810 我们的目标系统&#xff0c;ESS&#xff0c;看成黑盒 4 00:00:18,030 --> …

spring管理bean源码解析

1. 从启动类开始 public static void main(String[] args) {// Run the SpringApplication class with the Application class as the first argumentSpringApplication.run(Application.class, args);}2. bean 实例化 // SpringAplication row1294,1295 run() // SpringApli…