网络安全之防火墙

news2024/11/24 3:58:30

目录

网络安全之防火墙

路由交换终归结底是联通新设备

防御对象:

定义:

 防火墙的区域划分:

包过滤防火墙 --- 访问控制列表技术 --- 三层技术

代理防火墙 --- 中间人技术 --- 应用层

状态防火墙 --- 会话追踪技术 --- 三层、四层

UTM --- 深度包检查技术 --- 应用层

 下一代防火墙

防火墙的区域

防火墙的安全区域

安全区域的优先级的作用

防火墙策略配置

定义与原理

防火墙策略配置

 安全策略工作流程

 查询和创建会话

ASPF技术

 server-map表

STUN类型协议与server-map表

端口识别

NAT ALG

NAT域间双向转换

 NAT域内双向转换

 双出口NAT

防火墙的接口模式

路由模式

交换模式

接口对模式

 旁路模式

防火墙的高可靠技术

 VRRP

         VGMP

        VGMP的基本原理

        VGMP状态机

        VGMP状态切换

         HPR协议

        HPR的产生

        HRP数据备份范围

在防火墙双机热备组网中必须首先解决的问题

双机热备组网的建立和运行需要解决以下5个关键问题


网络安全之防火墙

路由交换终归结底是联通新设备

        网络在远古时期没有防火墙大家都是联通的,any to any

防御对象:

  • 授权用戶
  • 非授权用戶

定义:

        防火墙是一种隔离(非授权用户在区域间)并过滤(对保护网络有害流量或数据包)的设备

 防火墙的区域划分:

                根据安全等级来划分

包过滤防火墙 --- 访问控制列表技术 --- 三层技术

        工作过程:包过滤防火墙可以理解为就是ACL访问控制列表技术;他主要就是在检测的时候根据五元组【IP地址、源端口、目的IP地址、目的端口和传输层协议】来进行的。这样的话他的防御的网洞太大,导致不管多大的都能进来,但是要是只限制他只能访问http80端口的话,内网在访问外网其他协议的时候,出去就不能回来了,这样的话也不行。

        特点:简单、速度快

                   检查的颗粒度粗

颗粒度:

        颗粒度越细,表示细节越详尽,越有助于了解事情的全貌
        颗粒度越粗,表示细节越,更多的是抽象概括。

代理防火墙 --- 中间人技术 --- 应用层

        降低包过滤颗粒度的一种做法,区域之间通信使用固定设备

        工作过程:也就说说如果内网想要访问外网的一个东西的时候,他不是直接发送到外网的目标地址,而是出现了一个服务器,你访问出去之后,会先将你的消息发送到这个服务器上,然后在由服务器发给你要访问的最终地址。
                          如果开启代理的话,他所访问的就不是源目标地址,而是换了一个路径到达了代理服务器上,由这个服务器发送到源目标地址,而上面的过程就需要使用到socket来进行;而不同的访问的应用不同,所要使用的代理技术也不同,并且应用之间是不能通用的

        特点:代理技术智能正对特定的应用来实现,应用之间通行使用固定设备

                   技术复杂,速度慢

                   能防御应用层威胁,内容威胁

状态防火墙 --- 会话追踪技术 --- 三层、四层

        在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。

        工作过程:数据包首先会到达状态检查某块,通过对数据包的分析,提取数据包报文头文件信息,检查数据包是否符合在状态表中某个已经建立的有效的会话连接记录,如果符合记录,则会根据报文头信息更新的状态表进行放行
                          若与状态表中无匹配表项,则检测他与规则表是否匹配,不匹配的话就直接丢掉
                          如果匹配进一步判断是否允许建立新连接,这时候根据ip协议承载的上层不同协议类型建立新表项,最终报文加载状态信息进行处理。

        特点:首包机制

                   细颗粒度

                   速度快

hash:

        散列算法(Hash Algorithm),又称哈希算法,杂凑算法,是一种从任意文件中创造小的数字「指纹」的方法。与指纹一样,散列算法就是一种以较短的信息来保证文件唯一性的标志,这种标志与文件的每一个字节都相关,而且难以找到逆向规律。因此,当原有文件发生改变时,其标志值也会发生改变,从而告诉文件使用者当前的文件已经不是你所需求的文件。

        Hash 算法能将将任意长度的二进制明文映射较短的二进制串的算法,并且不同的明文很难映射为相同的 Hash 值。

CAM:

        内容可寻址存储器CAM(Coment-Addressable Memo-ry)以内容进行寻址的存储器,是一种特殊的存储阵列RAM。它的主要工作机制就是将一个输入数据项与存储在CAM中的所有数据项自动同时进行比较,判别该输入数据项与CAM中存储的数据项是否相匹配,并输出该数据项对应的匹配信息

UTM --- 深度包检查技术 --- 应用层

        原理:将应用网关和IPS等设备在状态防火墙的基础上进行整合统一

        特点:把原来分散的设备进行统一管理,有利于节约资金学习成本

                   统一有利于各设备之间协作

                   设备负荷较大并且检查也是逐个功能模块来进行的,貌合神离,速度慢

 下一代防火墙

        2008年Palo Alto Networks 公司发布了下一代防火墙(Next-Generation Firewall),解决了多个功能 同时运行时性能下降的问题。同时,下一代防火墙还可以基于用户应用内容来进行管控。2009年 Gartner(一家IT咨询公司) 对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。

         Gartner把NGFW看做不同信任级别的网络之间的一个线速(wire-speed)实时防护设备,能够对流量 执行深度检测,并阻断攻击

NGFW必须具备以下能力

1. 传统防火墙的功能

        NGFW是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状 态检测、NAT、VPN等。

2. IPS 与防火墙的深度集成

        NGFW要支持IPS功能,且实现与防火墙功能的深度融合,实现1+1>2的效果。Gartner特别强调IPS与防 火墙的“集成”而不仅仅是“联动”。例如:防火墙应根据IPS检测到的恶意流量自动更新下发安全策略,而不需要管理员的介入。换言之,集成IPS的防火墙将更加智能。Gartner发现,NGFW产品和独立IPS产品 的市场正在融合,尤其是在企业边界的部署场景下,NGFW正在吸收独立IPS产品的市场。

3. 应用感知与全栈可视化

        具备应用感知能力,并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段,是NGFW引 进的最重要的能力。传统的状态检测防火墙工作在二到四层,不会对报文的载荷进行检查。NGFW能对 七层检测,可以清楚地呈现网络中的具体业务,并实行管控。

4. 利用防火墙以外的信息,增强管控能力

        防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进优化安全策略。例如,通过集成用户认证系统,实现基于用户的安全策略,以应对移动办公场景下,IP地址变化 带来的管控难题。

防火墙的区域

防火墙的安全区域

安全区域(Zone)是一个或多个接口的集合,是防火墙区别于路由器的主要特征。
防火墙默认情况下为我们提供了三个安全区域,分别是 受信区域Trust非军事化区域DMZ 非受信区域Untrust。


安全区域A --- Trust区域 --- 该区域内网络的受信任程度,通常用来定义内部用户所在的网络。
安全区域B --- DMZ区域 --- 该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。
安全区域C --- Untrust区域 --- 该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络

安全区域的优先级的作用

        每个安全区域都有自己的优先级,用1-100的数字表示,数字越大,则代表该区域内的网络越可信。报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。报文在两个方向上流动时,将会触发不同的安全检查。

注意:        

        在同一个安全区内的主机可以ping通,不会触发安全检查。报文在不同的安全区域之间流动时,才会触发安全检查。若想要不同安全区域连通,需要配置安全策略,先配置允许trust区域流量去往untrust,再配置untrust区域流量去往trust的安全策略

进入防火墙图形界面

 点击网络

 进入网络配置界面,选择安全区域

 新建安全区域,点击确定

 点击接口,1/0/6口变为安全区域口

防火墙策略配置

定义与原理

        防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以 进行合法的通信。

        安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的 数据流进行检验,符合安全策略的合法数据流才能通过防火墙。

防火墙策略配置

 安全策略工作流程

 查询和创建会话

ASPF技术

 server-map表

        多余多通道协议比如FTP、VOIP等协议,通道是随机协商出的,防火墙不能设置策略无法形成会话表

        解决办法 --- 使用ASPF技术,查看协商端口号动态建立server-map表放过协商通道的数据

        ASPF(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过检测协商报文的应用层携带的地址端口信息,自动生成相应的Server-map表,用于放行后需建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。

STUN类型协议与server-map表

        转发 QQ/MSN等STUN(Simple Traversal of UDP over NATs,NAT的UDP简单穿越)类型会生成的三元组Server-map表项

         要实现QQ2在外网主动向QQ1内网的语音或者视频连接,也需要防火墙对该应用采用ASPF的方式处理来监听协商端口

        MSN等用户连接服务器时,设备会记录下用户的IP地址和端口信息,并动态生成STUN类型的Server-map。这个Server-map表中不仅包含三元组信息,即通信一方的IP地址端口号协议号。这样其他用户可以直接通过该IP和端口与该用户进行通信。只要有关的流量存在,STUN动态的Server-map就将一直存在。在所有相关流量结束后,Server-map表开始老化

端口识别

        端口识别是把非标准协议端口映射成可识别的应用协议端口

         1. 配置基本ACL

[NGFW]acl 2000
[NGFW-acl-basic-2000]rule permit source 20.0.0.1 0

        2.配置端口识别(或端口映射)

NGFW]port-mapping FTP port 31 acl 2000

NAT ALG

        在路由器上nat针对多通道协议也会像防火墙那样抓取控制进程中协商传输进程网络参数的报文,进而生成传输进程返回的nat映射

困境

        某些协议会在应用层携带通信IP,这个IP用于下一阶段通信。但是nat的地址转换并不是转应用层IP而是转三层IP,这就导致某些协议的通信阶段在nat场景下失败

ALG

        Application Level Gateway 应用网关,用来处理上述应用层数据在NAT场景转换问题。这也导致交换机一般没有nat的主要原因

防火墙nat类型的server-map

<USG6000V1>dis firewall server-map
2023-03-18 08:07:54.050
Current Total Server-map : 1
Type: Nat Server, ANY -> 100.1.1.111:80[10.1.2.2:80], Zone: untrust , protoc
ol:tcp
Vpn: public -> public

NAT域间双向转换

        一般解决内网服务器没有外网路由的问题

 注意:

        NAT策略 --- 把握住转换前数据包源目的地址是什么以及转换后源目的地址是什么

 

 安全策略

        把握住在没有做NAT时数据应该放行的参数,就是做完NAT后应该放行的参数

 NAT域内双向转换

        党内网PC以公网形式访问内网服务器时,需要用到。

 

 

 双出口NAT

        双出口出现NAT转换错乱

 

解决方案:

        启动防火墙多出口选项,网关缺省源进源出路由控制三种必须启用。不管多出口是在一个安全区域还是多个安全区域都是如此做法。

原理:

        通过上述手段把路由与NAT转换通过下一跳做关联

防火墙的接口模式

路由模式

        防火墙的接口三层路由接口的形式参与组网

交换模式

        防火墙的接口二层交换机的形式参与组网

接口对模式

        接口对模式是一种特殊的二层模式,改模式的接口是成对出现,这一对接口之间转发数据不经过二层的MAC寻址,也就类似网线的形式转发,速度快。

1.设置接口为接口对形式

2.把两个接口都设置为接口对模式

3.在借口对中把两个接口加入到接口对

 旁路模式

        旁路模式的接口也是二层的交换机接口,改接口一般用于接收镜像流量,向主机一样旁观在设备上。通过旁观设备的端口镜像技术收集流量给旁路接口,这个场景防火墙可以做ISP、审计、流量分析等任务,功能是最少的。

防火墙的高可靠技术

 VRRP

        负责的单个接口的故障检测和流量引导。每个VRRP备份组拥有一个虚拟的IP地址,作为网络的网关地址;在VRRP主备倒换时通过发送免费的ARP来刷新对接设备的MAC地址转发表来引导流量。 

 VGMP

        将系统中所有的VRRP备份组集中管理,控制状态统一切换,保证出现故障时上下行流量能同步切换到备用防火墙。 

VGMP的基本原理

      (1)由于VRRP封装的VGMP报文是组播报文,不能跨越三层传输设备,因此在双击设备组网时,要求两台设备的心跳线要么是直连的,要么是通过二层交换机进行互联,不能通过三层设备互联。当防火墙上下行设备路由器时,要求两台防火墙必须有直连的接口备份通道。为此,USG6000V开发了另一种VGMP的报文封装格式。

       (2)UDP封装:此时VGMP的报文是单播报文。在原有的IP报头上增加了UDP头和VGMP扩展头,VGMP内部报文的格式没有变化。

VGMP状态机

        VGMP管理组的主备状态决定了双机热备组网中的防火墙设备的主备状态,因此VGMP管理组的状态也可看做是防火墙设备的状态。

        (1)主备模式:active -- initialize -- standby

        (2)负载模式:active -- initialize -- standby -- load balance

VGMP状态切换

VGMP状态切换三大原则

        (1)每个接口down时,VGMP管理组优先级降低2,计算公式为:VGMP管理组优先级 = VGMP管理组初始优先级 - N*2

        (2)每台设备的VGMP管理组初始状态用户指定(Active或Standby),Active优先级为65001,Standby的优先级为65000

        (3)VGMP管理组的状态决定了该设备的主备状态,也决定了VGMP管理组成员(VRRP备份或接口)的状态。

防火墙借助VRRP实现高可靠性 --- HRP不是通用协议,是华为系统级的协议每个厂商的防火墙采用的协议不同

 HPR协议

        负责双机之间的数据同步(华为专用)

HPR的产生

        状态检测防火墙对于每一个会话连接都有一个会话表项与之对应,主设备处理业务过程中创建了很多动态会话表项;而备用设备没有流量经过,因此没有创建会话表。如果设备配置切换主用设备前,会话列表没有备份到备用设备,则会导致先前经过主用设备的业务流量因为无法匹配会话表而中断。为了实现主用备用平滑切换,必须在主用和备用设备之间备份关键配置命令和会话表状态信息,谓词防火墙引入了HRP(Huawei Redundancy Protocol)协议,实现防火墙双击之间动态状态数据和关键配置命令的实时配置

        在双机热备组网中,指定心跳线作为专门的备份通道,用于备份配置命令和状态信息。

HRP数据备份范围

        通过HRP备份的数据包括主用设备的关键命令状态信息

        能够备份配置命令:只能在主用设备上配置,备用设备不能配置

        不能备份的配置命令:主用设备和备用设备都可以配置 

 

在防火墙双机热备组网中必须首先解决的问题

        1. 防火墙必须能够检测到连路或设备故

        2. 防火墙检测到故障后能够实现流量平滑切换

 

        (1)当防火墙上下行业务的端口上都配置了VRRP备份组时,这两个VRRP备份组是独立运行的,可能出席县上下行两个VRRP备份组状态不一致的情况。

        (2)例如:主用网关防火墙内网侧接口故障,VRRP倒换到备用网关防火墙,因此出去的流量从备用网关的防火墙上转发。但是对于外网侧的VRRP,主用网关防火墙上的VRRP依然是主,因此回程流量仍然会送到主用网关的防火墙上,但业务流量无法送回内网,导致业务中断。

双机热备组网的建立和运行需要解决以下5个关键问题

        1、如何设定设备的主备状态?

        2、如何监控并发现接口或设备故障?

        3、发现故障后,如何保证设备的主备状态切换?

        4、正常情况和故障后,如何引导流量?

        5、如何进行信息同步,保证主备切换后的业务不中断?

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/417267.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【手把手带你五分钟手机端注册使用GPT的强力对手Claude,免费,无任何成本】

前言 今天刷到了号称是媲美GPT-4的Claude介绍&#xff0c;无需魔法&#xff0c;无任何成本即可以使用&#xff0c;果断尝试注册使用&#xff0c;效果确实不错&#xff0c;关键是免费无成本&#xff01;&#xff01;&#xff01; Claude使用的是Constitutional AI模型。ChatGPT…

亚马逊平台快速消耗滞销品的七大方式

一、亚马逊后台直接进行清仓 1、卖家和商品的资格 在管理多余库存页面上&#xff0c;可以查看亚马逊根据买家需求和其他因素推荐了哪些符合要求的商品参加清仓计划。商品当前价格下的消息将显示商品是否符合清仓促销要求(通过创建清仓促销提交)或清仓店铺要求(通过创建销售提…

Windos下设置java项目开机自启动

这里是将java项目注册为Windows服务实现开机自启动。 查看.NET framework版本 因为使用winsw工具运行时需要使用.NET framework,基本上现在的win10系统带自带有.NET framework4.0&#xff0c;为了选择合适的版本&#xff0c;我们可以查看本机.NET Framework版本&#xff0c;根…

差速巡线机器人设计-良好(80+)的报告-2023

如何提分&#xff1f;将一篇报告提升20分以上呢&#xff1f;差速巡线机器人设计-及格&#xff08;60&#xff09;的报告-2023_zhangrelay的博客-CSDN博客姓名&#xff1a; 学号&#xff1a; 实践项目1名称&#xff1a;差速巡线机器人设计 60分&#xff1a;缺乏思考、没有对比、…

恒生电子面试题总结

CPU突然飙升&#xff0c;如何排查 1.监控cpu运行状态&#xff0c;显示进程运行信息列表 top -c 2. 按CPU使用率排序&#xff0c;键入大写的P P 3.用 top -Hp 命令查看占用 CPU 最高的线程 上一步用 top命令找到了那个 Java 进程。那一个进程中有那么多线程&#xff0c;不可…

[oeasy]python0132_[趣味拓展]emoji_表情符号_抽象话_由来_流汗黄豆

emoji表情符号 回忆上次内容 上次了解了unicode 和 utf-8 unicode是字符集utf-8是一种可变长度的编码方式utf-8是实现unicode的存储和传输的现实的方式 "拜"字 unicode编码是0x62dcutf-8字节形式是b"\xe6\x8b\x9c" 如果我想看看 b"\x62\xdc"用…

准确率、精确率、召回率、F1score和混淆矩阵

准确率和PR、confusion matrix的概念初次接触是在六年前&#xff0c;2017着手在做激光雷达点云处理的相关事宜&#xff0c;六年时光不长&#xff0c;却有很多事情发生。 精确率 precision 也叫查准率&#xff0c;即正确预测为正的占全部预测为正的比例(不准错&#xff0c;宁愿…

图解redis发布和订阅

目录 1.什么是发布订阅 1.1概念 1.2发布订阅过程 1.3发布订阅分为两类 2. 频道的订阅与退订 2.1subcribe 2.2退订频道 3. 模式的订阅和退订 3.1模式的订阅 3.2punsubscribe 4.频道和模式的发布 4.1频道的发布 4.2模式的发布 1.什么是发布订阅 1.1概念 1.发布订阅…

【电源专题】案例:充电芯片如何配置NTC偏置网络设定充电温度区间

背景 充电芯片是需要检测电池内部的NTC电阻来得到电池此时的温度,然后根据温度来判断自己是否要进行充电。因此在导入充电芯片过程中,我们需要设置NTC的偏置网络来设定能充电的温度范围。如下图所示为SGM41523芯片的典型应用图: RT1和RT2为NTC的偏置网络。 在规格书的更详细…

【U8+】修改用友U8+填制凭证界面字体大小

【问题描述】 在使用用友U8软件填制凭证功能时&#xff0c; 觉得【填制凭证】界面字体太小&#xff0c;看着不方便。 想要进行调整。 【解决方法】 1、打开填制凭证界面&#xff0c; 点击最上方【选项】按钮&#xff1b; 2、在弹出的凭证选项设置窗口中&#xff0c; 找到【凭…

PHP语言请求示例,电商商品详情接口(item_get-根据ID取商品详情)代码封装教程

item_get-根据ID取商品详情接口 通过代码封装该接口可以拿到商品标题&#xff0c;商品价格&#xff0c;商品促销信息&#xff0c;商品优惠价&#xff0c;商品库存&#xff0c;sku属性&#xff0c;商品图片&#xff0c;desc图片&#xff0c;desc描述&#xff0c;sku图片&#xf…

抓包工具Wireshark安装与使用

windows下安装 下载安装包 Npcap wireshark依赖于Npcap或者Winpcap软件捕获网络实时数据。这里选择Npcap。下载地址&#xff1a;https://npcap.com/#download。Wireshark Wireshark是一个开源的网络数据包分析器。该分析器尽可能详细地展示捕获的包数据。下载地址&#xff1a…

C++ 数组、指针、数组指针、指针数组、多级指针、STL-map、结构体 的 初始化 及其 初始化赋值

C 数组、指针、数组指针、指针数组、多级指针、STL-map、结构体 的 初始化 及其 初始化赋值C 数组、指针、数组指针、指针数组、多级指针、STL-map、结构体 的 初始化 及其 初始化赋值C 数组、指针、数组指针、指针数组、多级指针数组一维数组初始化&#xff1a;二维数组初始化…

8.1 假设验证的基本概念

学习目标&#xff1a; 要学习假设检验的基本概念&#xff0c;我会按照以下步骤进行&#xff1a; 了解假设检验的基本概念&#xff1a;假设检验是一种统计推断方法&#xff0c;用于判断某个假设是否成立。一般来说&#xff0c;假设检验包括原假设和备择假设两个假设&#xff0c…

语雀笔记备份导出

参考: https://www.cnblogs.com/ssslinppp/p/17020303.htmlhttps://github.com/yuque/yuque-exporterhttps://zhuanlan.zhihu.com/p/582287220https://www.yuque.com/duzh929/blog/ocffqghttps://www.yuque.com/hijiaobu/datalife/onf6sy#BKajf 现在需要超级管理员,若是没有超级…

JDK8新特性 (Lambda表达式和Stream流式编程)

目录 一&#xff1a;JDK8新特性 1. Java SE的发展历史 2. 了解Open JDK 和 Oracle JDK 3. JDK 8新特性 3.1 Lambda表达式&#xff08;重点&#xff09; 3.2 接口的增强 3.3 函数式接口 3.4 方法引用 3.5 集合之Stream流式操作&#xff08;重点&#xff09; 3.6 新的时…

Windows wsl连接网络代理

使用 WSL 访问网络应用程序 | Microsoft Learn 为 WSL2 一键设置代理 - 知乎 (zhihu.com) 介绍 本文介绍开通了Windows WSL子系统之后&#xff0c;怎么在两者之间进行网络通讯&#xff1b;对在windows系统中开启了代理以后&#xff0c;如何在WSL中设置网络代理问题进行了详细…

光萤CEO陈海洲:平台模式将成为户用分布式光伏市场的主流 | 爱分析调研

近两年来&#xff0c;随着国家“双碳”目标的确立&#xff0c;清洁能源迎来重要发展机遇&#xff0c;其中户用分布式光伏因其对土地资源占用少、离用电侧距离近以及与国家乡村振兴战略共振的效果而受到显著的政策倾斜性支持。2020-2022年户用分布式光伏新增装机量持续攀升&…

【C++基础】auto关键字(C++11)(auto的使用细则;auto不能推导的场景;auto的使用场景;基于范围的for循环)

九、auto关键字 9.1 auto简介 在早期C/C(C98)中auto的含义是&#xff1a;使用auto修饰的变量&#xff0c;是具有自动存储器的局部变量&#xff0c;但遗憾的是一直没有人去使用它。因为在函数内定义的变量默认就是局部变量。 C11中&#xff0c;标准委员会赋予了auto全新的含义…

目标检测基础之IOU计算

目标检测基础之IOU计算概念理解——什么是IOUdemo后记概念理解——什么是IOU IOU 交并比&#xff08;Intersection over Union&#xff09;&#xff0c;从字面上很容易理解&#xff1a;计算交集在并集的比重。从网上截张图看看 IOUA∩BA∪BIOU \frac{A \cap B}{A \cup B} IO…