安全防御:防火墙基本模块

目录

一、接口

1.1 物理接口

1.2 虚拟接口

二、区域

三、模式

3.1 路由模式

3.2 透明模式

3.3 旁路检测模式

3.4 混合模式

四、安全策略

五、防火墙的状态检测和会话表技术


一、接口

1.1 物理接口

三层口 --- 可以配置IP地址的接口

二层口:

  1. 普通二层口
  2. 接口对---“透明网线” --- 可以将一个或者两个接口配置成为接口对,则数据从一个接口进,将不需要查看MAC地址表,直接从另一个接口出;
  3. 旁路检测接口

1.2 虚拟接口

环回接口

子接口

Vlanif

Tunnel

链路聚合

4个千兆Bypass其实是两对Bypass接口 --- 如果设备出现故障,则两个bypass将直接短接,形成通路,不影响网络数据的传输。

虚拟系统---VRF

虚拟系统互通使用的接口,每创建一个虚拟系统,将自动生成一个虚拟接口,仅需要配置IP地址即可 。

添加网关,将自动生成一条指向网关的缺省

这里管理的优先级高于安全策略,安全策略未放通,但是,这里勾选,则可以正常访问

接口对默认是trunk干道

二、区域

  • Trust --- 信任区
  • Untrust --- 非信任区
  • Local --- 防火墙上所有的接口都属于这个区域
  • DMZ --- 非军事化管理区域 --- 放置一些对外开放的服务器

将一个接口划入某一个区域,则代表将这个接口所连接的网络划分到对应区域中,而接口本身,永远属于Local。

优先级 --- 1 - 100 --- 从优先级高的区域到优先级低的区域 ---- 出方向 --- Outbound

                                 从优先级低的区域到优先级高的区域 ---- 入方向 ---- inbound

三、模式

3.1 路由模式

1,接口IP地址,区域划分

2,写内网的回报路由

3,安全策略

4,内到外的NAT

5,服务器映射

3.2 透明模式

1,接口配置VLAN,以及划分区域

2,安全策略

3,增加设备的管理接口,用于控制管理设备以及设备的自我升级

3.3 旁路检测模式

3.4 混合模式

四、安全策略

防火墙的安全策略

传统包过滤技术 --- 其本质就是ACL访问控制列表,根据数据包的特征进行过滤,对比规则,执行对应的动作;

这里数据包的特征 --- 数据包的五元组 --- 源IP,目标IP,源端口,目标端口,协议

在安全策略中,可以执行两块内容:

  • 第一块做访问控制,允许或者拒绝通过;
  • 第二块是在允许通过的情况下,可以进行内容安全的检测,一体化检测。

下图中许多都是依靠条件匹配完成策略命中

所有匹配项之间的关系是“与”,一条中如果可以多选,则多个选项之间为“或”关系

五、防火墙的状态检测和会话表技术

主要机制就是以数据流作为单位,仅针对首包进行检测,检测之后,将数据包的特征记录在本地的会话表中,之后,数据流中的其他数据包来到防火墙,不再匹配安全策略,则匹配会话表,根据会话表来进行转发。

回来的数据包会被检测是否符合协议定义的后续报文的要求。

1,会话表技术;2,状态检测技术

会话表技术 --- 提高转发效率的关键 --- 老化机制

  • 1,会话表老化时间过长 --- 占用资源,导致一些会话无法正常建立
  • 2,老化时间过短 --- 会导致一些需要长时间发送一次的报文强行终端,影响正常业务

在命令行中查看会话表:

<USG6000V1>display firewall session table

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/377698.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

RHCA II之路---EX442-23

RHCA II之路---EX442-23 1. 题目2. 解题3. 确认 1. 题目 2. 解题 安装pcp yum install -y pcp解压日志包 tar xf recording.tar.gz cat localhost.localdomain/20141231.06.00.01.config 4. 确认哪个设备IO高 pmval -a localhost.localdomain/20141231.06.00.01.0 disk.de…

Richtek立锜科技可用于智能门铃的电源管理解决方案

新型的智能门铃不仅能满足呼叫、提醒的需要&#xff0c;还能在线监控、远程操作、闯入通知、记录过程&#xff0c;系统构成相对复杂&#xff0c;与传统门铃相比有了很大的改变。 从电源管理的角度来观察&#xff0c;满足这样需求的系统构成也相对复杂&#xff1a; 处于外置状态…

7.12-7.14练习

目录 1.链表回文结构 2.相交链表 3.环形链表 4.返回相遇点的值 5.二叉树的前序遍历 6.相同的树力扣 7.另一颗树的子树 8.翻转二叉树 9.对称二叉树 10.平衡二叉树 11.而叉搜索树与双向链表 11.二叉树遍历 ​编辑 1.链表回文结构 import java.util.*;/* public class Li…

产品经理-研发流程-敏捷开发-迭代-需求评审及产品规划(15)

敏捷开发是以用户的需求进化为核心&#xff0c;采用迭代、循序渐进的方法进行软件开发。 通俗来说&#xff0c;敏捷开发是一个软件开发流程&#xff0c;是一个采用了迭代方法的开发流程 简单来说&#xff0c;迭代就是把一个大产品拆分出一些最小的实现单位。完成不同的迭代就最…

Sentinel-1 Level 1数据处理的详细算法定义(三)

《Sentinel-1 Level 1数据处理的详细算法定义》文档定义和描述了Sentinel-1实现的Level 1处理算法和方程,以便生成Level 1产品。这些算法适用于Sentinel-1的Stripmap、Interferometric Wide-swath (IW)、Extra-wide-swath (EW)和Wave模式。 今天介绍的内容如下: Sentinel-1 L…

计算机网络入门

计算机网络入门 1.计算机网络 1.1 概念 计算机网络是将一个分散的、具有独立功能的计算机系统通过通信设备与线路等连接起来&#xff0c;由功能完善的软件实现资源共享和信息传递的系统 2.计算机网络组成 2.1 组成部分 一个完整的计算机网络由 硬件 、 软件 、协议 三部分…

bash: ip: command not found

输入&#xff1a; ip addr 报错&#xff1a; bash: ip: command not found 报错解释&#xff1a; 这个错误表明在Docker容器中尝试执行ip addr命令时&#xff0c;找不到ip命令。这通常意味着iproute2包没有在容器的Linux发行版中安装或者没有正确地设置在容器的环境变量PA…

企业管理咨询公司的服务客户主要是哪些

在竞争激烈的商业世界里&#xff0c;企业管理咨询公司的角色日益凸显。它们凭借专业的知识、丰富的经验和独到的洞察力&#xff0c;为企业的发展提供全方位的智力支持。那么&#xff0c;这些咨询公司的主要服务对象究竟是谁呢&#xff1f;深圳天行健企业管理咨询公司现身说法&a…

AIGC笔记--基于Stable Diffusion实现图片的inpainting

1--完整代码 SD_Inpainting 2--简单代码 import PIL import torch import numpy as np from PIL import Image from tqdm import tqdm import torchvision from diffusers import AutoencoderKL, UNet2DConditionModel, DDIMScheduler from transformers import CLIPTextMod…

【python】Pandas运行报错分析:SettingWithCopyWarning及其处理

✨✨ 欢迎大家来到景天科技苑✨✨ &#x1f388;&#x1f388; 养成好习惯&#xff0c;先赞后看哦~&#x1f388;&#x1f388; &#x1f3c6; 作者简介&#xff1a;景天科技苑 &#x1f3c6;《头衔》&#xff1a;大厂架构师&#xff0c;华为云开发者社区专家博主&#xff0c;…

【k8s部署elasticsearch】k8s环境下安装elasticsearch集群和kibana

文章目录 简介一.条件及环境说明二.需求说明三.实现原理及说明四.详细步骤4.1.规划节点标签4.2.创建三个statefulset和service headless配置4.3.创建service配置 五.安装kibana六.调整索引分区七.安装说明 简介 k8s集群中搭建有elasticsearch服务一般都会用到pvc&#xff0c;但…

Linux中运用xsync实现免密集群分发

一、前言 今天搭建了三台虚拟机的集群&#xff0c;在集群中部分操作在三台虚拟机上的操作都一致&#xff0c;为了提高效率&#xff0c;就需要配置xsync实现集群分发。 二、设置免密登录 1.生成公钥和私钥 ssh-keygen -t rsa一直敲回车&#xff0c;会生成两个文件&#xff0c…

观察者模式的实现

引言&#xff1a;观察者模式——程序中的“通信兵” 在现代战争中&#xff0c;通信是胜利的关键。信息力以网络、数据、算法、算力等为底层支撑&#xff0c;在现代战争中不断推动感知、决策、指控等各环节产生量变与质变。在软件架构中&#xff0c;观察者模式扮演着类似的角色…

Go:基本变量与数据类型

目录 前言 前期准备 环境配置&#xff1a; Hello World! 一、基本变量 1.1 声明变量 1.2 初始化变量 1.3 变量声明到初始化的过程 1.4 变量值交换 1.5 匿名变量 1.6 变量的作用域 二、数据类型 1.1 整型 1.2 浮点型 1.3 字符串 1.4 布尔类型 1.5 数据类型判断…

STM32(五):STM32指南者-按键控制灯开关实验

说明&#xff1a;源代码和教程可从野火处下载&#xff0c;本博客为了记录学习过程STM32&#xff08;四&#xff09;&#xff1a;STM32指南者-跑马灯实验的基础上 一、采用轮询方式1、bsp_key.h2、bsp_key.c3、main.c 二、采用中断方式1、bsp_exti.h2、bsp_exti.c3、stm32f10x_i…

在VSCode上创建Vue项目详细教程

1.前期环境准备 搭建Vue项目使用的是Vue-cli 脚手架。前期环境需要准备Node.js环境&#xff0c;就像Java开发要依赖JDK环境一样。 1.1 Node.js环境配置 1&#xff09;具体安装步骤操作即可&#xff1a; npm 安装教程_如何安装npm-CSDN博客文章浏览阅读836次。本文主要在Win…

uniapp 微信小程序根据后端返回的文件链接打开并保存到手机文件夹中【支持doc、docx、txt、xlsx等类型的文件】

项目场景&#xff1a; 我们在使用uniapp官方提供的uni.downloadFile以及uni.saveFile时&#xff0c;会发现这个文件下载的默认保存位置和我们预想的不太一样&#xff0c;容易找不到&#xff0c;而且没有提示&#xff0c;那么我们就需要把文件打开自己保存并且有提示保存到哪个…

linux进程周边知识——内核对硬件的管理——计算机世界的管理

前言&#xff1a;本节主要讲解内核也就是操作系统对于硬件的管理&#xff0c; 本节内容同样为进程的周边知识。 主要是关于软件方面&#xff0c; 和我的上一篇——冯诺依曼体系结构可以说是兄弟文章&#xff0c; 这篇文章主要是关于硬件方面。 两篇文章都是为学习进程做准备。但…

Databend 开源周报第 153 期

Databend 是一款现代云数仓。专为弹性和高效设计&#xff0c;为您的大规模分析需求保驾护航。自由且开源。即刻体验云服务&#xff1a;https://app.databend.cn 。 Whats On In Databend 探索 Databend 本周新进展&#xff0c;遇到更贴近你心意的 Databend。 支持必须更改密码…

【人工智能】Transformers之Pipeline(二):自动语音识别(automatic-speech-recognition)

​​​​​​​ 目录 一、引言 二、自动语音识别&#xff08;automatic-speech-recognition&#xff09; 2.1 概述 2.2 技术原理 2.2.1 whisper模型 2.2.2 Wav2vec 2.0模型 2.3 pipeline参数 2.3.1 pipeline对象实例化参数​​​​​​​ 2.3.2 pipeline对象使用参数…