huawei USG6001v1学习---防火墙相关知识(2)

news2024/12/24 2:08:57

目录

1.安全策略

2.防火墙的状态检测和会话表技术

3.FTP

4.用户认证   

5.认证策略


1.安全策略

传统包过滤技术 --- 其本质就是ACL访问控制列表,根据数据包的特征进行过滤,对比规则,
执行对应的动作;
这里数据包的特征 --- 数据包的五元组 --- 源IP,目标IP,源端口,目标端口,协议

ACL功能-------1抓流量 2.对流量允许、拒绝

而安全策略 比ACL多一个对内容安全的识别

配置:

所有匹配项之间的关系是“与”,一条中如果可以多选,则多个选项之间为“或”关系

2.防火墙的状态检测和会话表技术

主要机制就是以数据流作为单位,仅针对首包进行检测,检测之后,将数据包的特征记录在本
地的会话表中,之后,数据流中的其他数据包来到防火墙,不再匹配安全策略,则匹配会话
表,根据会话表来进行转发
pc访问web服务器检测允许通过后,会建立会话,后面当web服务器回应pc直接就匹配会话,匹配成功则允许通过。
1,会话表技术;2,状态检测技术
会话表技术 作用: 提高转发效率的关键 
老化机制
1,当会话表老化时间过长 会占用资源,导致一些会话无法正常建立
2,当老化时间过短 会导致一些需要长时间发送一次的报文强行终端,影响正常业务
查看会话和老化时间:
常见协议老化时间:
命令行查看
<USG6000V1>display firewall session table
状态检测技术:
1,检测数据包是否符合协议的逻辑顺序;
2,检查是否是逻辑上的首包,只有首包可以创建会话表。
这个首报可以理解为tcp三次握手的首包是SYN,如果首包不是SYN就丢弃,就不会创建会话表了
[USG6000V1]firewall session link-state tcp ?
check Indicate link state check
[USG6000V1]firewall session link-state tcp check --- 命令行中开启状态检测功能的命令,如果需
要关闭,则在该命令前面加undo
数据转发会查询会话表
ASPF --- 针对应用层的包过滤 --- 将识别到的端口信息记录在server-map的表中,在根据这
个表中的记录,创建会话表。
查看server-map表

3.FTP

FTP --- 文件传输协议

ASCII方式:用以传输文本文件(TXT、LOG、CFG )。发送端的字符在发送前被转换成ASCII码格式之后进行传输,接收端收到之后再将其转换成字符。

Binary方式(二进制):用以传输图像、声音、压缩文件等非文本文件(cc、BIN、EXE、PNG)。发送端在发送这些文件时无需转换格式,即可传输。

FTP还分为了两种工作模式 --- 主动模式,被动模式
主动模式
抓包:
192,168,1,2,8,2 --- IP地址为:192.168.1.2,端口号:8 * 256 + 2 = 2050
抓包:
  • 主动模式: 服务器主动连接客户端的数据端口(21端口)。

  • 被动模式: 服务器被动地等待客户端连接自己的数据端口(一个大于1024的端口)。

Tftp --- 简单文件传输协议
SSH File Transfer Protocol(SFTP)是建立在SSH(Secure Shell,安全外壳)协议之上的安全文件传输协议。相比于FTP和TFTP,SFTP提供了加密的通信通道,更适用于对安全性有较高要求的文件传输场景。
认情况下,FTP使用 2021这两个端口,其中 20用于数据连接(传递数据), 21用于控制连接(传递控制信息)。

4.用户认证
   

防火墙管理员认证 ---- 校验登录者身份合法性
用户认证 --- 上网行为管理中的一环
上网用户认证 --- 三层认证 --- 将用户和行为进行绑定
入网用户认证 --- 二层认证
接入用户认证 --- VPN --- 对身份合法性进行认证
认证方式
本地认证
服务器认证
单点登录 --- 和服务器认证的逻辑类似                  
认证域 --- 可以定义用户的认证方式以及用户的组织结构
登录名 --- 用于登录的凭证,同一个认证域下不可以重复
显示名 --- 用来方便区分用户,不用的登录使用,可以重复,也不是必要项。

在到期之前,登录到期后不会强制下线,主动下线后,将无法再次登录
允许多人同时使用该账号登录
私有用户
公有用户
单向绑定 --- 该用户只能在设定的IP或者MAC或者IP/MAC的设备上登录,但该设备也可以让
其他用户登录
双向绑定 --- 该用户可以在设定的IP或者MAC或者IP/MAC的设备上登录,且其他用户不允许
在该设备上登录
安全组和用户组 --- 安全组和用户组都可以关联策略,但是,用户组关联的策略将递归执行,
即其下子用户组均需遵循策略,安全组不递归执行,只有选中的安全组执行策略。

5.认证策略

Portal --- 网页认证,在触发需要认证的流量后,将提供网页认证界面,需要在界面中输入用
户明和密码进行认证
免认证 --- 认证透明化,在符合单点登录或者IP/MAC双向绑定的前提下,可以不需要进行认
证环节,直接通过IP/MAC地址信息来追溯用户信息。
匿名认证 --- 通过流量中的IP地址来作为用户的身份标识,不需要输入用户名和密码
免认证和匿名认证不需要输入密码,但是从员工上网那一刻就已经被监视了,一些企业可以通过这种方法对员工进行上网行为管理。
Portal认证 --- 则认证策略里面的动作需要选择protal;
免认证 --- 则认证策略里面需要选择免认证
单点登录 --- 则认证策略里面也选择免认证
如果认证策略里面选择匿名认证,则不触发这里的认证方式
两个认证域之间是“或”的关系

tfp详细的原文链接:https://blog.csdn.net/DontDash/article/details/139929641

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1937657.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Nest.js 实战 (二):如何使用 Prisma 和连接 PostgreSQL 数据库

什么是 Prisma? Prisma 是一个开源的下一代 ORM。它包含了以下部分&#xff1a; Prisma Client: 自动生成、类型安全的查询构建器&#xff0c;用于 Node.js 和 TypeScriptPrisma Migrate: 数据迁移系统Prisma Studio: 查询和编辑数据库中数据的图形化界面 Prisma 客户端可以…

Java面试(持续更新)

Redis使用场景 缓存穿透 当有该数据的时候&#xff0c;redis中的数据已经是原来数据的null值了&#xff0c;可能会出现不一致的问题。 缓存击穿 跟钱相关的强一致用互斥锁。 用户高体验用逻辑过期。 缓存雪崩 ttl随机值 mysql于redis保持数据同步 Redis持久化问题 RDB AOF R…

复习知识点java

目录 1.题目分析&#xff1a;2.思考题3.题目&#xff1a;4.题目&#xff1a;求X的反码和补码计算反码计算补码 计算2乘以8的结果实现两个整数变量的交换异或运算符&#xff08;^&#xff09;的特点 1.题目 byte b13,b24,b; bb1b2; b34; 哪句是编译失败的呢&#xff1f;为什么呢…

【人工智能】机器学习 -- 决策树(乳腺肿瘤数)

目录 一、使用Python开发工具&#xff0c;运行对iris数据进行分类的例子程序dtree.py&#xff0c;熟悉sklearn机器实习开源库。 二、登录https://archive-beta.ics.uci.edu/ 三、使用sklearn机器学习开源库&#xff0c;使用决策树对breast-cancer-wisconsin.data进行分类。 …

系统架构师考点--统一建模语言UML

大家好。今天我来总结一下面向对象的第二个考点–统一建模语言UML。 UML(统一建模语言)是一种可视化的建模语言&#xff0c;而非程序设计语言&#xff0c;支持从需求分析开始的软件开发的全过程。UML的结构包括构造块、规则和公共机制三个部分。其中考点主要集中在构造块部分&…

【深度学习入门篇 ⑩】Seq2Seq模型:语言翻译

【&#x1f34a;易编橙&#xff1a;一个帮助编程小伙伴少走弯路的终身成长社群&#x1f34a;】 大家好&#xff0c;我是小森( &#xfe61;ˆoˆ&#xfe61; ) &#xff01; 易编橙终身成长社群创始团队嘉宾&#xff0c;橙似锦计划领衔成员、阿里云专家博主、腾讯云内容共创官…

前端Vue组件技术实践:构建自定义动态宫格菜单按钮组件

随着前端技术的不断发展&#xff0c;复杂度和开发难度也随之增加。传统的整体式开发方式已经难以满足现代前端应用的需求&#xff0c;特别是在业务场景复杂、产品迭代频繁的情况下。组件化开发作为一种有效的解决方案&#xff0c;通过拆分和组合独立的组件&#xff0c;实现了单…

C语言 | Leetcode C语言题解之第240题搜索二维矩阵II

题目&#xff1a; 题解&#xff1a; bool searchMatrix(int** matrix, int matrixSize, int* matrixColSize, int target){int i 0;int j matrixColSize[0] - 1;while(j > 0 && i < matrixSize){if(target < matrix[i][j])j--;else if(target > matrix[…

监测电商热品推荐的技术心得

在当今数字化时代&#xff0c;电商行业竞争激烈&#xff0c;准确监测热门商品推荐对于电商企业的运营和决策至关重要。通过不断的实践和探索&#xff0c;我积累了以下一些关于监测电商热品推荐的技术心得。 一、数据采集与整合 多平台数据抓取 要全面了解电商市场的热门商品&am…

ORBSLAM3 ORB_SLAM3 Ubuntu18.04 ROS Melodic 虚拟镜像 下载

build.sh 和 build_ros.sh编译结果截图&#xff1a; slam测试视频&#xff1a; orbslam3 ubuntu18.04 test 下载地址&#xff08;付费使用&#xff0c;不能接受请勿下载&#xff09;&#xff1a; 链接&#xff1a;https://pan.baidu.com/s/13YeJS4RGa3fBrG8BKfPbBw?pwds6vg 提…

使用phpMyAdmin操作MYSQL(四)

一. 学会phpMyAdmin&#xff1f; phpMyAdminhttp://water.ve-techsz.cn/phpmyadmin/ 虽然我我们可以用命令行操作数据库&#xff0c;但这样难免没有那么直观&#xff0c;方便。所以接下来我们使用phpMyAdmin来操作MySQL&#xff0c;phpMyAdmin是众多MySQL图形化管理工具中使用…

​人人开源renren-security:基于SpringBoot、Vue3、ElementPlus等框架开发的权限管理系统

摘要&#xff1a; 随着信息技术的快速发展&#xff0c;企业的信息系统安全需求日益凸显。renren-security是一套基于SpringBoot、MyBatis-Plus、Shiro、Vue3、ElementPlus等框架开发的权限管理系统&#xff0c;它旨在为企业提供高效、安全、易用的权限管理解决方案。本文详细阐…

用Wireshark观察IPsec协议的通信过程

目录 一、配置本地安全策略 二、启动Wireshark&#xff0c;设置过滤器&#xff0c;开始捕获 1. 主模式 2. Quick mode 三、心得体会 1. 碰到的问题和解决办法 2. 心得 一、配置本地安全策略 配置好IPsec如下&#xff1a; 由于在windows server2008安装wireshark失败&…

Qt实现一个简单的视频播放器

目录 1 工程配置 1.1 创建新工程 1.2 ui界面配置 1.3 .pro配置 2 代码 2.1 main.c代码 2.2 widget.c 2.3 widget.h 本文主要记述了如何使用Qt编写一个简单的视频播放器&#xff0c;整个示例采用Qt自带组件就可以完成。可以实现视频的播放和暂停等功能。 1 工程配置 1.…

2024.7.19最新详细的VMware17.0.0安装

VM官网VMware - Delivering a Digital Foundation For Businesses。现在官网无法下载&#xff0c;点击会跳转到https://access.broadcom.com/default/ui/v1/signin/ 要注册一个账号&#xff1a; 注册登录以后&#xff0c;点击Please select your identity provider. - Support …

深度学习落地实战:大模型生成图片

前言 大家好&#xff0c;我是机长 本专栏将持续收集整理市场上深度学习的相关项目&#xff0c;旨在为准备从事深度学习工作或相关科研活动的伙伴&#xff0c;储备、提升更多的实际开发经验&#xff0c;每个项目实例都可作为实际开发项目写入简历&#xff0c;且都附带完整的代…

基于RFID的课堂签到系统设计

1.简介 基于RFID的课堂签到系统设计是一种利用无线射频识别&#xff08;RFID&#xff09;技术实现课堂自动签到的系统。这种系统通过RFID标签&#xff08;通常是学生携带的卡片或手环等&#xff09;与安装在教室内的RFID读写器之间的无线电信号进行数据交换&#xff0c;从而实现…

深度学习入门——与学习相关的技巧

前言 本章将介绍神经网络的学习中的一些重要观点&#xff0c;主题涉及寻找最优权重参数的最优化方法、权重参数的初始值、超参数的设定方法等 此外&#xff0c;为了应对过拟合&#xff0c;本章还将介绍权值衰减、Dropout等正则化方法&#xff0c;并进行实现。 最后将对近年来…

【深度学习】PyTorch框架(2):激活函数

1.引言 在文中&#xff0c;我们将深入探讨流行的激活函数&#xff0c;并分析它们在神经网络优化特性中的作用。激活函数在深度学习模型中扮演着至关重要的角色&#xff0c;因为它们为网络引入了非线性特性。尽管文献中描述了众多的激活函数&#xff0c;但它们并非一视同仁&…

如何优化 PostgreSQL 中的连接查询性能?

&#x1f345;关注博主&#x1f397;️ 带你畅游技术世界&#xff0c;不错过每一次成长机会&#xff01;&#x1f4da;领书&#xff1a;PostgreSQL 入门到精通.pdf 文章目录 如何优化 PostgreSQL 中的连接查询性能&#xff1f;一、理解连接查询的基本原理二、优化连接查询的关键…