freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

計(jì)算機(jī)系統(tǒng)安全--防火墻(編輯修改稿)

2025-03-05 16:15 本頁面
 

【文章內(nèi)容簡(jiǎn)介】 和 Header Checksum (16bit) 源 IP 地址 Source Address(32bit) 宿 IP 地址 Destination Address(32bit) 可選項(xiàng) Option 有效負(fù)載 Payload( 0或多個(gè)字節(jié)) 20 bytes 0 4 8 16 19 31 填充域 padding 34 ICMP報(bào)文 包過濾技術(shù) ICMP報(bào)文的一般格式 Data 差錯(cuò)信息 出錯(cuò) IP數(shù)據(jù)報(bào)的頭 +64個(gè)字節(jié)數(shù)據(jù) 類型 Type (8bit) 代碼 Code (8bit) 檢驗(yàn)和 Checksum (16bit) 不同類型和代碼有不同的內(nèi)容 Data 0 8 16 31 ICMP header ICMP data IP header I P data 封裝 35 TCP頭部 包過濾技術(shù) 源端口 Source Port (16bit) 宿端口 Destination Port (16bit) 序列號(hào) Sequence Number (32bit) 確認(rèn)號(hào) Acknowledgment Number (32bit) Data Offset (4bit) Reserved (6bit) U R G A C K P S H R S T S Y N F I N 窗口大小 Window size (16bit) 校驗(yàn)和 Checksum (16bit) 緊急指針 Urgent Pointer (16bit) 選項(xiàng) Options (0 或多個(gè) 32 bit 字 ) 數(shù)據(jù) Data ( 可選 ) 36 UDP頭部 包過濾技術(shù) UDP源端口 UDP宿端口 UDP長(zhǎng)度 UDP校驗(yàn)和 16bit 16bit 最小值為 8 全“ 0”:不選; 全“ 1”:校驗(yàn)和為 0。 37 包過濾的依據(jù) 包過濾技術(shù) IP 源地址 IP目的地址 封裝協(xié)議 (TCP、 UDP、 或 IP Tunnel) TCP/UDP源端口 TCP/UDP目的端口 ICMP包類型 TCP報(bào)頭的 ACK位 包輸入接口和包輸出接口 38 依賴于服務(wù)的過濾 包過濾技術(shù) 多數(shù)服務(wù)對(duì)應(yīng)特定的端口 , 例: Tel、 SMTP、 POP3分別為 2 2 110。 如要封鎖輸入 Tel 、 SMTP的連接 , 則Router丟棄端口值為 23和 25的所有數(shù)據(jù)包 。 典型的過濾規(guī)則有以下幾種: .只允許進(jìn)來的 Tel會(huì)話連接到指定的一些內(nèi)部主機(jī) .只允許進(jìn)來的 FTP會(huì)話連接到指定的一些內(nèi)部主機(jī) .允許所有出去的 Tel 會(huì)話 . 允許所有出去的 FTP 會(huì)話 .拒絕從某些指定的外部網(wǎng)絡(luò)進(jìn)來的所有信息 39 獨(dú)立于服務(wù)的過濾 有些類型的攻擊很難用基本包頭信息加以鑒別 , 因?yàn)楠?dú)立于服務(wù) 。 要防止這類攻擊 , 需要在過濾規(guī)則中考慮其它信息 , 如:路由表 、 特定的 IP選項(xiàng) 、 特定的片段偏移等 。 不依賴于服務(wù)的攻擊有三類: 1) 源 IP地址欺騙攻擊 入侵者從偽裝成源自一臺(tái)內(nèi)部主機(jī)的一個(gè)外部地點(diǎn)傳送一些信息包;這些信息包似乎像包含了一個(gè)內(nèi)部系統(tǒng)的源 IP地址 。 如果這些信息包到達(dá) Router的外部接口 , 則舍棄每個(gè)含有這個(gè)源 IP地址的信息包 ,就可以挫敗這種源欺騙攻擊 。 40 包過濾技術(shù) 2) 源路由攻擊 攻擊者為信息包指定一個(gè)穿越 Inter的路由 ,這類攻擊企圖繞過安全措施 , 并使信息包沿一條意外(疏漏 )的路徑到達(dá)目的地 。 可以通過舍棄所有包含這類源路由選項(xiàng)的信息包方式 , 來挫敗這類攻擊 。 3) 殘片攻擊 入侵者利用 IP分段特性生成一個(gè)極小的片斷并將TCP報(bào)頭信息肢解成一個(gè)分離的信息包片斷 , 使數(shù)據(jù)包繞過用戶定義的過濾規(guī)則 。 黑客希望過濾路由器只檢查第一分段 , 而允許其它分段通過 。 通過舍棄所有協(xié)議類型為 TCP、 IP報(bào)頭中 Fragment Offset=1的數(shù)據(jù)包 , 即可挫敗殘片的攻擊 。 41 推薦的過濾規(guī)則 ? 任何進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為源地址 ? 任何進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為目標(biāo)地址 ? 任何離開內(nèi)網(wǎng)的數(shù)據(jù)包必須將內(nèi)部地址作為源地址 ? 任何離開內(nèi)網(wǎng)的數(shù)據(jù)包不能將內(nèi)部地址作為目標(biāo)地址 ? 任何進(jìn)入或離開內(nèi)網(wǎng)的數(shù)據(jù)包不能把一個(gè)私有地址或者 ? 保留、 DHCP自動(dòng)配置和多播地址也要被阻塞: 42 包過濾路由器的優(yōu)點(diǎn) 包過濾技術(shù) 實(shí)現(xiàn)包過濾幾乎不再需要費(fèi)用 。 這些特點(diǎn)都包含再標(biāo)準(zhǔn)的路由器軟件中 。 絕大多數(shù) Inter防火墻系統(tǒng)只用一個(gè)包過濾路由器 . 執(zhí)行 PACKET FILTER 所用的時(shí)間很少或幾乎不需要什么時(shí)間 。 因?yàn)?Inter 訪問一般被提供給一個(gè) WAN接口 。 如果通信負(fù)載適中且定義的過濾很少的話 ,則對(duì)路由性能沒有多大影響 . 包過濾路
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1