huawei USG6001v1学习---防火墙相关知识(2)

目录

1.安全策略

2.防火墙的状态检测和会话表技术

3.FTP

4.用户认证   

5.认证策略


1.安全策略

传统包过滤技术 --- 其本质就是ACL访问控制列表,根据数据包的特征进行过滤,对比规则,
执行对应的动作;
这里数据包的特征 --- 数据包的五元组 --- 源IP,目标IP,源端口,目标端口,协议

ACL功能-------1抓流量 2.对流量允许、拒绝

而安全策略 比ACL多一个对内容安全的识别

配置:

所有匹配项之间的关系是“与”,一条中如果可以多选,则多个选项之间为“或”关系

2.防火墙的状态检测和会话表技术

主要机制就是以数据流作为单位,仅针对首包进行检测,检测之后,将数据包的特征记录在本
地的会话表中,之后,数据流中的其他数据包来到防火墙,不再匹配安全策略,则匹配会话
表,根据会话表来进行转发
pc访问web服务器检测允许通过后,会建立会话,后面当web服务器回应pc直接就匹配会话,匹配成功则允许通过。
1,会话表技术;2,状态检测技术
会话表技术 作用: 提高转发效率的关键 
老化机制
1,当会话表老化时间过长 会占用资源,导致一些会话无法正常建立
2,当老化时间过短 会导致一些需要长时间发送一次的报文强行终端,影响正常业务
查看会话和老化时间:
常见协议老化时间:
命令行查看
<USG6000V1>display firewall session table
状态检测技术:
1,检测数据包是否符合协议的逻辑顺序;
2,检查是否是逻辑上的首包,只有首包可以创建会话表。
这个首报可以理解为tcp三次握手的首包是SYN,如果首包不是SYN就丢弃,就不会创建会话表了
[USG6000V1]firewall session link-state tcp ?
check Indicate link state check
[USG6000V1]firewall session link-state tcp check --- 命令行中开启状态检测功能的命令,如果需
要关闭,则在该命令前面加undo
数据转发会查询会话表
ASPF --- 针对应用层的包过滤 --- 将识别到的端口信息记录在server-map的表中,在根据这
个表中的记录,创建会话表。
查看server-map表

3.FTP

FTP --- 文件传输协议

ASCII方式:用以传输文本文件(TXT、LOG、CFG )。发送端的字符在发送前被转换成ASCII码格式之后进行传输,接收端收到之后再将其转换成字符。

Binary方式(二进制):用以传输图像、声音、压缩文件等非文本文件(cc、BIN、EXE、PNG)。发送端在发送这些文件时无需转换格式,即可传输。

FTP还分为了两种工作模式 --- 主动模式,被动模式
主动模式
抓包:
192,168,1,2,8,2 --- IP地址为:192.168.1.2,端口号:8 * 256 + 2 = 2050
抓包:
  • 主动模式: 服务器主动连接客户端的数据端口(21端口)。

  • 被动模式: 服务器被动地等待客户端连接自己的数据端口(一个大于1024的端口)。

Tftp --- 简单文件传输协议
SSH File Transfer Protocol(SFTP)是建立在SSH(Secure Shell,安全外壳)协议之上的安全文件传输协议。相比于FTP和TFTP,SFTP提供了加密的通信通道,更适用于对安全性有较高要求的文件传输场景。
认情况下,FTP使用 2021这两个端口,其中 20用于数据连接(传递数据), 21用于控制连接(传递控制信息)。

4.用户认证
   

防火墙管理员认证 ---- 校验登录者身份合法性
用户认证 --- 上网行为管理中的一环
上网用户认证 --- 三层认证 --- 将用户和行为进行绑定
入网用户认证 --- 二层认证
接入用户认证 --- VPN --- 对身份合法性进行认证
认证方式
本地认证
服务器认证
单点登录 --- 和服务器认证的逻辑类似                  
认证域 --- 可以定义用户的认证方式以及用户的组织结构
登录名 --- 用于登录的凭证,同一个认证域下不可以重复
显示名 --- 用来方便区分用户,不用的登录使用,可以重复,也不是必要项。

在到期之前,登录到期后不会强制下线,主动下线后,将无法再次登录
允许多人同时使用该账号登录
私有用户
公有用户
单向绑定 --- 该用户只能在设定的IP或者MAC或者IP/MAC的设备上登录,但该设备也可以让
其他用户登录
双向绑定 --- 该用户可以在设定的IP或者MAC或者IP/MAC的设备上登录,且其他用户不允许
在该设备上登录
安全组和用户组 --- 安全组和用户组都可以关联策略,但是,用户组关联的策略将递归执行,
即其下子用户组均需遵循策略,安全组不递归执行,只有选中的安全组执行策略。

5.认证策略

Portal --- 网页认证,在触发需要认证的流量后,将提供网页认证界面,需要在界面中输入用
户明和密码进行认证
免认证 --- 认证透明化,在符合单点登录或者IP/MAC双向绑定的前提下,可以不需要进行认
证环节,直接通过IP/MAC地址信息来追溯用户信息。
匿名认证 --- 通过流量中的IP地址来作为用户的身份标识,不需要输入用户名和密码
免认证和匿名认证不需要输入密码,但是从员工上网那一刻就已经被监视了,一些企业可以通过这种方法对员工进行上网行为管理。
Portal认证 --- 则认证策略里面的动作需要选择protal;
免认证 --- 则认证策略里面需要选择免认证
单点登录 --- 则认证策略里面也选择免认证
如果认证策略里面选择匿名认证,则不触发这里的认证方式
两个认证域之间是“或”的关系

tfp详细的原文链接:https://blog.csdn.net/DontDash/article/details/139929641

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/380839.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Linux】编辑器vscode与linux的联动

1.vscode简单学习 vscode是编辑器&#xff0c;可以写各种语言的程序 下载链接&#xff1a;Download Visual Studio Code - Mac, Linux, Windows 来用一下vscode 我们保存了就能在我们的那个文件夹里面看到这个 这个就是编辑器&#xff0c;跟我们的文本文件好像差不多&#…

LLaMA 数据集

LLaMA的训练数据集来源多样&#xff0c;涵盖了多个不同的数据集和预处理步骤。以下是详细的描述&#xff1a; 公开数据来源和预处理 CommonCrawl [67%]&#xff1a; 使用CCNet管道&#xff08;Wenzek等人&#xff0c;2020年&#xff09;对2017年至2020年间的五个CommonCrawl转…

【大模型】FAISS向量数据库记录:从基础搭建到实战操作

文章目录 文章简介Embedding模型BGE-M3 模型亮点 FAISS是什么FAISS实战安装faiss加载Embedding模型创建FAISS数据库搜索FAISS数据删除FAISS数据保存、加载FAISS索引 总结 本人数据分析领域的从业者&#xff0c;拥有专业背景和能力&#xff0c;可以为您的数据采集、数据挖掘和数…

基于java的设计模式学习

PS &#xff1a;以作者的亲身来看&#xff0c;这东西对于初学者来说有用但不多&#xff0c;这些东西&#xff0c;更像一种经验的总结&#xff0c;在平时开发当中一般是用不到的&#xff0c;因此站在这个角度上用处不大。 1.工厂模式 1.1 简单工厂模式 我们把new 对象逻辑封装…

FastAPI 学习之路(五十九)封装统一的json返回处理工具

在本篇文章之前的接口&#xff0c;我们每个接口异常返回的数据格式都不一样&#xff0c;处理起来也没有那么方便&#xff0c;因此我们可以封装一个统一的json。 from fastapi import status from fastapi.responses import JSONResponse, Response from typing import Unionde…

java项目(knife4j使用,静态资源未放在static资源包下,公共字段自动填充,Spring Cache与Spring Task)

Knife4j&#xff08;生成接口文档&#xff09; 使用swagger你只需要按照它的规范去定义接口及接口相关的信息&#xff0c;就可以做到生成接口文档&#xff0c;以及在线接口调试页面。官网:https://swagger.io/ Knife4j是为Java MVC框架集成Swagger生成Api文档的增强解决方案。…

huawei USG6001v1学习----NAT和智能选路

目录 1.NAT的分类 2.智能选路 1.就近选路 2.策略路由 3.智能选路 NAT:&#xff08;Network Address Translation&#xff0c;网络地址转换&#xff09; 指网络地址转换&#xff0c;1994年提出的。NAT是用于在本地网络中使用私有地址&#xff0c;在连接互联网时转而使用全局…

[GIS实验]居住环境适宜性评价

目的&#xff1a; 拟购买住宅&#xff0c;需在现有条件下&#xff0c;基于地理空间分析方法和空间认知模型对居住环境进行综合评价。通过该实验掌握基于GIS的地理空间认知方法及土地适宜性评价基本原理与方法。 数据&#xff1a; &#xff08;1&#xff09;人口调查图&#…

arcgis怎么选取某个指定区域地方的数据,比如从全国乡镇数据选取长沙市乡镇数据

一共5个步骤&#xff0c;没一句废话&#xff0c;耐心看完。 1、如图&#xff0c;先将数据加载到arcgis里面&#xff0c;我们要选取里面长沙市的范围数据。 2、选取长沙市的语句 “市” like ‘长沙%’ 切记&#xff0c;切记&#xff0c;切记。所有符号要在 输入法英文状态…

FPGA:二选一选择器

1、需求 使用XILINX的XC7A35TFFG484-2开发板&#xff0c;完成二选一选择器的设计。 2、分析 二选一选择器如下所示&#xff1a; 观察可知有三个输入端&#xff0c;一个输出端&#xff0c;其逻辑原理为&#xff1a;当sel为高电平时&#xff0c;outa&#xff0c;当sel为低电平…

深入理解Linux网络(三):TCP对象创建

深入理解Linux网络&#xff08;三&#xff09;&#xff1a;TCP对象创建 TCP对象创建inet_createsock_init_data TCP对象创建 常见的三句TCP编程&#xff1a; int main() {int sk socket(AF_INET, SOCK_STREAM, 0);connect(sk, ...)recv(sk, ...) }简单的两三⾏代码&#xff…

深度学习程序环境配置

深度学习环境配置 因为之前轻薄本没有显卡跑不起来&#xff0c;所以换了台电脑重新跑程序&#xff0c;故记录一下配置环境的步骤及常见错误 本人数学系&#xff0c;计算机部分知识比较匮乏&#xff0c;计算机专业同学可以略过部分内容 深度学习环境配置 深度学习环境配置 CUD…

组内第一次会议

会议内容 1、科研平台使用 增删改查对文件 cp -r /root/mmdetection/dataset/ /root/user/wbzExperiment/mmdetection/ rm -r /root/user/yolov5-master tar -czvf test03.tar.gz test03/ unzip abc.zip 上传文件、解压文件&#xff1a;要在自己的目录中&#xff0c;进入…

2-38 基于matlab的蚁群算法优化无人机uav巡检

基于matlab的蚁群算法优化无人机uav巡检&#xff0c;巡检位置坐标可根据需求设置&#xff0c;从基地出发&#xff0c;返回基地&#xff0c;使得路径最小。可设置蚁群数量&#xff0c;信息素系数。输出最佳路线长度。程序已调通&#xff0c;可直接运行。 2-38 蚁群算法优化无人…

springcloud-config客户端启用服务发现报错找不到bean EurekaHttpClient

背景 在对已有项目进行改造的时候&#xff0c;集成SpringConfigStarter&#xff0c;编写完bootstrap.yml&#xff0c;在idea 启动项中编辑并新增VM options -Dspring.cloud.config.discovery.enabledtrue&#xff0c;该版本不加spring不会从configService获取信息&#xff0c;…

深入理解Android中的缓存与文件存储目录

&#x1f31f; 引言 在Android应用开发中&#xff0c;合理管理应用的数据存储至关重要。应用可能需要保存各种类型的数据&#xff0c;从简单的配置信息到多媒体文件&#xff0c;甚至是缓存数据以提高性能和用户体验。Android提供了多个内置目录来满足这些需求&#xff0c;但它…

《JavaSE》------20.语法实践项目【图书管理系统】

目录 前言 一、图书管理系统成果展示 1.1 管理员&#xff1a; 1.2 普通用户&#xff1a; 二、 图书管理系统框架的搭建 2.1 book包 2.1.2 BookList类 2.2 operation包 2.2.0 IOperation接口 2.2.1 AddOperatoon类 2.2.2 FindOperation类 2.2.3 DelOperation类 2.2…

前端基础之JavaScript学习——函数的使用

大家好我是来自CSDN的前端寄术区博主PleaSure乐事&#xff0c;今天我们继续有关JavaScript的学习&#xff0c;使用的编译器为vscode&#xff0c;浏览器为谷歌浏览器。 函数的声明与使用 声明 在JavaScript当中函数的声明和其他语言类似&#xff0c;使用如下格式即可声明&…

语义分割——为什么单通道8bit灰度图像能显示多种色块???

目录 一、问题二、解答2.1 标签图的实际存储格式2.2 标签图的显示颜色2.3 颜色映射示例 三、应用颜色映射3.1 OpenCV显示标签图3.2 Matplotlib显示标签图 四、总结 一、问题 大家在做语义分割时不知道有没有这样的疑惑&#xff0c;使用打标签工具后&#xff0c;标签图是单通道…

基于Python+Django,开发的一个在线教育系统

一、项目简介 使用Python的web框架Django进行开发的一个在线教育系统&#xff01; 二、所需要的环境与组件 Python3.6 Django1.11.7 Pymysql Mysql pure_pagination DjangoUeditor captcha xadmin crispy_forms 三、安装 1. 下载项目后进入项目目录cd Online-educ…