【正文】 并發(fā)連接數(shù)? 定義： 指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時建立的連接數(shù)。丟包率? 定義： 在穩(wěn)定負(fù)載下，應(yīng)由網(wǎng)絡(luò)設(shè)備傳輸，但由于資源缺乏而被丟棄的幀的百分比。吞吐量定義： 在不丟包的情況下，能夠達(dá)到的最大速率。216。216。 人們不斷發(fā)現(xiàn)利用以前可信賴的服務(wù)的新的侵襲方法。無法防護(hù)端口木馬的攻擊216。對于交換式 HUB來說和交換機(jī)連接方法類似硬件安裝：入侵檢測系統(tǒng)接入方式之 HUB入侵檢測系統(tǒng)連接方式 ? 硬件安裝：入侵檢測系統(tǒng)接入方式之交換機(jī)注意事項：鏡像多個源端口可能導(dǎo)致鏡像端口丟包應(yīng)對收發(fā)端口同時進(jìn)行鏡像接到 INTRANET一般直接連入 核心交換機(jī) ,用來 檢測在核心交換機(jī)上的服務(wù)器等網(wǎng)絡(luò)服務(wù)設(shè)備 .與病毒服務(wù)器的安全聯(lián)動SNMP管理防火墻的不足之處216。 入侵很容易216。 防范來自內(nèi)部網(wǎng)的入侵216。為什么需要 IDS216。與 MAC地址綁定時間策略在訪問中配置某條規(guī)則起作用的時間。 　　分布式拒絕服務(wù)攻擊216。 DoS ( Denial of Service ) 拒絕服務(wù)攻擊216。篩選路由器216。狀態(tài)檢測包過濾防火墻狀態(tài)檢測包過濾防火墻216。? 包括分組過濾，應(yīng)用網(wǎng)關(guān)，電路級網(wǎng)關(guān)。安全性提高了。 防火墻本身必須有很強(qiáng)的免疫力防火墻本身必須有很強(qiáng)的免疫力TCP/IP協(xié)議－協(xié)議層次OSI/RM模型 TCP/IP協(xié)議棧物理層數(shù)據(jù)鏈接層網(wǎng)絡(luò)層傳輸層會話層表示層 應(yīng)用層網(wǎng)絡(luò)接口層IP層傳輸層HTTP FTP SMTP ……TCP UDPIP ICMP ARP以太網(wǎng)， ATM， FDDI…需要了解的內(nèi)容： TCP/IP應(yīng)用層TCP/IP協(xié)議簇－數(shù)據(jù)包各層協(xié)議結(jié)構(gòu)MAC幀 首部 尾部首部IP數(shù)據(jù)報首部傳輸層MAC地址源 IP,目的 IP、協(xié)議類型數(shù)據(jù)部份數(shù)據(jù)部份數(shù)據(jù)部份ICMP IGMP EGP OSPF ARPTCP UDP應(yīng)用層源端口 ,目的端口TELNET,SMTP,FTP, HTTP,DNS,SNMP,DHCP RIP...鏈路層IP層各層首部長度：MAC幀首部 14B,尾部 4B,IP數(shù)據(jù)報首部 20B,TCP: 20B,UDP:8B,ICMP:8BTCP/IP協(xié)議簇?IP層協(xié)議：?IP : 網(wǎng)際協(xié)議 ICMP: 網(wǎng)際控制報文協(xié)議 ARP 地址解析協(xié)議?傳輸層協(xié)議：?TCP: 傳輸控制協(xié)議 特點：面向連接，較可靠。SSN 安全服務(wù)區(qū)n 防 火 墻 n 為為 網(wǎng)網(wǎng) 絡(luò)絡(luò) 用用 戶戶 提提 供供 安安 全全 的的 Inter 接接 入入InterDMZ WEB服務(wù)層Intra 內(nèi)部網(wǎng)絡(luò)Web FTP防火墻 FireWallWeb Site Filter? Web 站 點 訪 問 過 濾 –限限 制制 對對 非非 本本 企企 業(yè)業(yè) 業(yè)業(yè) 務(wù)務(wù) 目目 的的 的的 Inter 資資 源源 的的 訪訪 問問 Connection to outside workConnection to inside workConnection to work 的 Web服務(wù)層交換機(jī)Inter 核心交換機(jī) 交換機(jī) 交換機(jī)PC PC PC PC PC PC 防火墻防火墻需要了解的內(nèi)容：防火墻的區(qū)域端口SERVERDMZ SERVERSERVERINTRANETINTERNET IT領(lǐng)域防火墻的概念 一種高級訪問控制設(shè)備，置于不同安全域之間，是不同安全域之間的 唯一通道 ，能根據(jù)企業(yè)有關(guān)的安全政策執(zhí)行 允許，拒絕，監(jiān)視，記錄 進(jìn)出網(wǎng)絡(luò)的行為。 請根據(jù)這些安全要求 設(shè)置 防火墻策略！InterDMZ WEB服務(wù)層Intra 內(nèi)部網(wǎng)絡(luò)Web FTP防火墻 FireWallTrust 區(qū)Untrust 區(qū) 135139,445,7626案例應(yīng)用綜合測試圖：案例應(yīng)用綜合測試圖： 實驗完※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ ※ 附： Firewall講義講義詞匯表216。 禁止 SSN主機(jī)訪問互聯(lián)網(wǎng)。策略源為 INTERNET區(qū)域，策略目的為節(jié)點 A(即虛口地址） ,通信方式：MAP,目標(biāo)機(jī)器為節(jié)點 B，訪問目標(biāo)的源為節(jié)點 A(即虛口地址）。在網(wǎng)絡(luò) → 區(qū)域 → INTERNET區(qū)域 → 虛口設(shè)置 → 設(shè)置虛口地址 .STEP2: 在高級管理 → 網(wǎng)絡(luò)對象 → INTERNET→ 增加虛口地址為一個節(jié)點 A。通過這種方式，互聯(lián)網(wǎng)上主機(jī)可不需路由（網(wǎng)關(guān)）到企業(yè)內(nèi)網(wǎng)。可以通過 ‘ PING － a 虛口 IP ’的方式查找計算機(jī)名，如能解析出對方計算機(jī)名。STEP3: 在高級管理 → 訪問策略 → 對方區(qū)域內(nèi) → 增加本機(jī)訪問對方主機(jī)的訪問策略 , 策略服務(wù)設(shè)為任何服務(wù)。建立 MAP映射后， IP地址將會完全代替被映射的主機(jī) IP,為了使 MAP后 “TOPSEC集中管理器 ”能連到防火墻原防火墻 IP地址，所以增加一個虛口地址來做為 MAP映射的 IP地址。 STEP5: 在網(wǎng)絡(luò) → 區(qū)域 → 設(shè)置三個區(qū)域為 允許訪問 ，建立 禁止 訪問其他區(qū)域主機(jī)的訪問策略，測試連通性。STEP2: 在網(wǎng)絡(luò) → 區(qū)域 → 設(shè)置三個區(qū)域為 禁止訪問 。 （相當(dāng)于 二層交換 ）而 路由模式 可以讓 不同網(wǎng)段 在 不同區(qū)域 通過防火墻端口 IP地址路由進(jìn)行通信。 選擇關(guān)鍵字則訪問策略的訪問控制只能選擇 “允許 ”,不能選擇禁止。把過濾策略優(yōu)先級提到最前面，測試該網(wǎng)站能否打開。然后本機(jī) DNS（在網(wǎng)絡(luò)屬性中設(shè)置）指向到互聯(lián)網(wǎng) DNS服務(wù)器 IP地址 , 檢查能否 PING通 DNS服務(wù)器 IP，測試能否連入互聯(lián)網(wǎng)。保護(hù)了內(nèi)網(wǎng)的安全。 4） 測試與