freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

cisp-2-防火墻技術(shù)(文件)

2025-03-03 07:13 上一頁面

下一頁面
 

【正文】 用戶 root asdasdf 驗(yàn)證通過則允許訪問 root 123 Yes admin 883 No ? 用戶身份認(rèn)證 ? 根據(jù)用戶控制訪問 銀長城 CISP培訓(xùn)系列 防火墻的類型 ?包過濾路由器 ?應(yīng)用層網(wǎng)關(guān) ?電路層網(wǎng)關(guān) ?這僅是一種防火墻分類方法,所著眼的視角不同,得到的類型劃分也不一樣 銀長城 CISP培訓(xùn)系列 包過濾防火墻 ?基本的思想很簡單 ? 對(duì)于每個(gè)進(jìn)來的包,適用一組規(guī)則,然后決定轉(zhuǎn)發(fā)或者丟棄該包 ? 往往配置成雙向的 ?如何過濾 ? 過濾的規(guī)則以 IP和傳輸層的頭中的域 (字段 )為基礎(chǔ),包括源和目標(biāo) IP地址、 IP協(xié)議域、源和目標(biāo)端口號(hào) ? 過濾器往往建立一組規(guī)則,根據(jù) IP包是否匹配規(guī)則中指定的條件來作出決定 銀長城 CISP培訓(xùn)系列 包過濾路由器示意圖 網(wǎng)絡(luò)層 鏈路層 物理層 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 銀長城 CISP培訓(xùn)系列 包過濾 Host C Host D 數(shù)據(jù)包 數(shù)據(jù)包 數(shù)據(jù)包 查找對(duì)應(yīng)的控制策略 拆開數(shù)據(jù)包 進(jìn)行分析 根據(jù)策略決定如何處理該數(shù)據(jù)包 數(shù)據(jù)包 控制策略 ? 基于源 IP地址 ? 基于目的 IP地址 ? 基于源端口 ? 基于目的端口 ? 基于時(shí)間 ?基于用戶 ? 基于流量 ?基于數(shù)據(jù)流 可以靈活的制定 的控制策略 銀長城 CISP培訓(xùn)系列 包過濾防火墻的優(yōu)缺點(diǎn) ?在網(wǎng)絡(luò)層上進(jìn)行監(jiān)測(cè) ? 并沒有考慮連接狀態(tài)信息 ?通常在路由器上實(shí)現(xiàn) ? 實(shí)際上是一種網(wǎng)絡(luò)的訪問控制機(jī)制 ?優(yōu)點(diǎn) ? 實(shí)現(xiàn)簡單 ? 對(duì)用戶透明 ? 效率高 ?缺點(diǎn) ? 正確制定規(guī)則并不容易 ? 不可能引入認(rèn)證機(jī)制 銀長城 CISP培訓(xùn)系列 針對(duì)包過濾防火墻的攻擊 ? IP地址欺騙,例如,假冒內(nèi)部的 IP地址 ? 對(duì)策:在外部接口上禁止內(nèi)部地址 ?源路由攻擊,即由源指定路由 ? 對(duì)策:禁止這樣的選項(xiàng) ?小碎片攻擊,利用 IP分片功能把 TCP頭部切分到不同的分片中 ? 對(duì)策:丟棄分片太小的分片 ?利用復(fù)雜協(xié)議和管理員的配置失誤進(jìn)入防火墻 ? 例如,利用 ftp協(xié)議對(duì)內(nèi)部進(jìn)行探查 銀長城 CISP培訓(xùn)系列 應(yīng)用層網(wǎng)關(guān) ?也稱為代理服務(wù)器 ?特點(diǎn) ? 所有的連接都通過防火墻,防火墻作為網(wǎng)關(guān) ? 在應(yīng)用層上實(shí)現(xiàn) ? 可以監(jiān)視包的內(nèi)容 ? 可以實(shí)現(xiàn)基于用戶的認(rèn)證 ? 所有的應(yīng)用需要單獨(dú)實(shí)現(xiàn) ? 可以提供理想的日志功能 ? 非常安全,但是開銷比較大 銀長城 CISP培訓(xùn)系列 應(yīng)用層網(wǎng)關(guān)的優(yōu)缺點(diǎn) ?優(yōu)點(diǎn) ? 允許用戶“直接”訪問 Inter ? 易于記錄日志 ?缺點(diǎn) ? 新的服務(wù)不能及時(shí)地被代理 ? 每個(gè)被代理的服務(wù)都要求專門的代理軟件 ? 客戶軟件需要修改,重新編譯或者配置 ? 有些服務(wù)要求建立直接連接,無法使用代理 ? 代理服務(wù)不能避免協(xié)議本身的缺陷或者限制 銀長城 CISP培訓(xùn)系列 電路層網(wǎng)關(guān) ?工作于 OSI/RM的會(huì)話層 ?充當(dāng)屏蔽路由器,將內(nèi)外網(wǎng)徹底隔離 銀長城 CISP培訓(xùn)系列 防火墻的配置 ?幾個(gè)概念 ? 堡壘主機(jī) (Bastion Host):對(duì)外部網(wǎng)絡(luò)暴露,同時(shí)也是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點(diǎn) ? 雙宿主主機(jī) (dualhomed host):至少有兩個(gè)網(wǎng)絡(luò)接口的通用計(jì)算機(jī)系統(tǒng) ? DMZ(Demilitarized Zone,非軍事區(qū)或者?;饏^(qū) ):在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間增加的一個(gè)子網(wǎng) 銀長城 CISP培訓(xùn)系列 配置方案一:雙宿主堡壘主機(jī)方案 ?所有的流量都通過堡壘主機(jī) ?優(yōu)點(diǎn):簡單 銀長城 CISP培訓(xùn)系列 配置方案二:雙宿主堡壘主機(jī)方案 ?只允許堡壘主機(jī)可以與外界直接通訊 ?優(yōu)點(diǎn):兩層保護(hù):包過濾 +應(yīng)用層網(wǎng)關(guān);靈活配置 ?缺點(diǎn):一旦包過濾路由器被攻破,則內(nèi)部網(wǎng)絡(luò)被暴露 銀長城 CISP培訓(xùn)系列 配置方案三 :單宿主堡壘主機(jī)方案 ?從物理上把內(nèi)部網(wǎng)絡(luò)和 Inter隔開,必須通過兩層屏障 ?優(yōu)點(diǎn):兩層保護(hù):包過濾 +應(yīng)用層網(wǎng)關(guān);配置靈活 銀長城 CISP培訓(xùn)系列 配置方案四:屏蔽子網(wǎng)防火墻 ?三層防護(hù)
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1