【课程名称】:防火墙技术原理

【课程内容】:

一、  防火墙技术原理

二、  防火墙的定义

三、  防火墙技术原理

【学习笔记】:

一、防火墙技术原理

1、  防火墙概要介绍

2、  防火墙功能及原理

3、  防火墙典型应用

4、  防火墙存在的问题

二、防火墙的定义

防火墙:一种高级访问控制设备,置于不同网络安全域之间,它通过相关的安全策略来控制(允许、拒绝、监视、记录)进出网络的访问行为。

三、防火墙的核心技术

1、  包过滤:最常用的技术。工作在网络层,根据数据包头中的IP、端口、协议等确定是否数据包通过

2、  应用代理:另一种主要技术,工作在第7层应用层,通过编写应用代理程序,实现对应用层数据的检测和分析

3、  状态检测:工作在2-4层,控制方式与1同,处理的对象不是单个数据包,而是整个连接,通过规则表(管理人员和网络使用人员事先设定好的)和连接状态表,综合判断是否允许数据包通过。

4、  完全内容检测:需要很强的性能支撑,既有包过滤功能、也有应用代理的功能。工作在2-7层,不仅分析数据包头信息、状态信息,而且对应用层协议进行还原和内容分析,有效防范混合型安全威胁。

四、包过滤防火墙技术原理

1、  简单包过滤防火墙不检查数据区

2、  简单包过滤防火墙不建立连接状态表

3、  前后报文无关

4、  应用层控制很弱

五、应用代理防火墙技术原理

1、  不检查IP\TCP报头

2、  不建立连接状态表

3、  网络层保护比较弱

六、状态检测防火墙技术原理

1、  不检查数据区

2、  建立连接状态表

3、  前后报文相关

4、  应用层控制很弱

七、完全内容检测防火墙技术原理

1、  网络层保护强

2、  应用层保护强

3、  会话保护很强

4、  上下文相关

5、  前后报文有联系

八、防火墙体系结构

1、  过滤路由器

2、  多宿主主机

3、  被屏蔽主机

4、  被屏蔽子网

九、过滤路由器(Filtering Router)

1、  过滤路由器作为内外网连接的唯一通道,通过ACL策略要求所有的报文都必须在此通过检查,实现报文过滤功能

2、  它的缺点是一旦被攻陷后很难发现,而且不能识别不同的用户(没有日志记录)。

十、双宿主主机(Dual Homed Gateway)

1、  双宿主主机优于过滤路由器的地方是:堡垒主机的系统软件可用于维护系统日志

2、  它的致使弱点是:一旦入侵者侵入堡垒主机,则无法保证内部网络的安全。

十一、被屏蔽主机(Screened Host Gateway )

1、  通常在路由器上设立ACL过滤规则,并通过堡垒主机进行数据转发,来确保内部网络的安全

2、  弱点:如果攻击者进入屏蔽主机内,内网中就会受到很大的威胁,这与双宿主主机受攻击时的情形差不多。

十二、被屏蔽子网(Screened Subnet)

1、  这种结构是在内部网络和外部网络之间建立一个被隔离的子网,用两台过滤路由器分别与内部网络和外部网络连接,中间通过堡垒主机进行数据转发。

2、  特点:如果攻击者试图进入内网或者子网,他必须攻破过滤路由器和双宿主主机,然后才可以进入子网主机,整个过程中将引发警报机制。

十三、防火墙技术原理

2、防火墙基本功能

十四、防火墙基本功能

1、  访问控制(防火墙是一种高级的访问控制设备)

2、  地址转换(都会部署在内外网之间,尤其是互联网出口,因此会涉及到地址转换问题)

3、  网络环境支持(2层或3层之间的内部连接)

4、  带宽管理功能(如观看视频时,同时其它人要去炒股,)

5、  入侵检测和攻击防御

6、  用户认证

7、  高可用性

十五、基本访问控制功能

十六、时间控制策略

十七、地址转换策略(1)

十八、地址转换策略(2)

十九、网络环境支持(固定)

二十、网络环境支持

二十一、网络环境支持-动态路由

二十二、网络环境支持-ADSL拨号

二十三、网络环境支持-SNMP网络管理

二十四、网络环境支持-IP MAC绑定(防止IP滥用的现象)

二十五、带宽管理QOS(可以根据业务进行不同的流量分配,以保证重要业务的应用)

二十六 、入侵检测和攻击防御-内置入侵检测

二十七、入侵检测和攻击防御-入侵检测联

二十八、用户认证

二十九、高可用性-双机热备

三十、高可用性-负载均衡

三十一、高可用性-链路备份

三十二、防火墙典型应用-接入方式-透明接入

三十三、防火墙典型应用-接入方式-路由接入(在同一网段)

三十四、防火墙典型应用-接入方式-综合接入

三十五、防火墙典型应用(星形结构)

三十六、防火墙的典型应用(梯形结构)

三十七、防火墙的典型应用三(简单结构)

三十八、防火墙性能介绍-防火墙性能的五大指标

1、  吞吐量:很重要。该指标直接影响网络的性能,吞吐量

2、  时延:很重要。入口处输入帧最后1个比特到达至出口处输出帧的第1个比特输出所用的时间间隔

3、  丢包率:在稳态负载下,应由网络设备传输,但由于资源投入而被丢弃的帧的百分比。现在性能发展了,这种情况已经较少了。

4、  背靠背:从空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数现在性能发展了,这种情况已经较少了。

5、  并发连接数:很重要。并发连接数是指穿越防火墙的主机之间或主机防火墙之间能同时建立的最大连接数

6、  每秒新建连接数:很重要。1秒之内能够新建的连接数量,体现了防火墙的反应能力或者说是灵敏度。

三十九、吞吐量

1、  定义:在不丢包的情况下能够达到的最大速率

2、  衡量标准:吞吐量越大,防火墙的性能越高

四十、时延

1、  定义:入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔

2、  衡量标准:延时越小,表示防火(比较好的在us微秒级,有的在ms毫秒级)

四十一、丢包率

1、  定义:在连续负载。。。

四十二、背靠背

四十三、并发连接数

文章来源:http://support.huawei.com/huaweiconnect/enterprise/thread-312883.html

防火墙技术原理学习笔记相关推荐

  1. Spring Security技术栈学习笔记(八)Spring Security的基本运行原理与个性化登录实现

    正如你可能知道的两个应用程序的两个主要区域是"认证"和"授权"(或者访问控制).这两个主要区域是Spring Security的两个目标."认证&qu ...

  2. 《区块链原理与技术》学习笔记(六) — 区块链安全

    <区块链原理与技术>学习笔记 第六部分 四.区块链网络层 1. 网络层安全 1.1 分布式拒绝服务攻击(DDos) 1.2 延展性攻击 1.3 日蚀攻击 1.4 分割攻击 1.5 延迟攻击 ...

  3. 《软件调试分析技术》学习笔记

    <软件调试分析技术>学习笔记(一) 今天开始写写一些心得体验. <软件调试分析技术>是好友Monster的处女作品.作为一直以的好伙伴,他是我看着长大的,(*^__^*) 嘻嘻 ...

  4. MOOC人工智能原理学习笔记1

    人工智能原理学习笔记1 The Foundations of AI: Philosophy Mathematics Economics Neuroscience Psychology Computer ...

  5. Spring Security技术栈学习笔记(十三)Spring Social集成第三方登录验证开发流程介绍

    开发第三方登录,我们必须首先要了解OAuth协议(本文所讲述的OAuth协议指的是OAuth2协议),本文首先简单介绍OAuth协议,然后基于Spring Social来阐述开发第三方登录需要做哪些准 ...

  6. Spring5底层原理 学习笔记(二)AOP篇

    文章目录 AOP实现之ajc编译器 AOP实现之agent类加载 AOP实现之动态代理 jdk动态代理 演示 模拟实现动态代理 动态生成代理类需要使用到asm的api,这里就不展开了 Jdk对于反射调 ...

  7. Spring Security技术栈学习笔记(十四)使用Spring Social集成QQ登录验证方式

    上一篇文章<Spring Security技术栈开发企业级认证与授权(十三)Spring Social集成第三方登录验证开发流程介绍>主要是介绍了OAuth2协议的基本内容以及Spring ...

  8. 区块链技术指南学习笔记2

    区块链技术指南学习笔记2 密码学 Hash 算法与数字摘要 常见hash算法 数字摘要 加解密算法 加解密系统基本组成 对称加密算法 非对称加密算法 消息认证码与数字签名 消息认证码 数字签名 数字证 ...

  9. 编译原理学习笔记20——符号表

    编译原理学习笔记20--符号表 20.1 符号表的组织与操作 20.2 符号表的内容 20.3 利用符号表分析名字的作用域 20.1 符号表的组织与操作 符号表 符号表的作用与组织 符号表的整理和查找 ...

最新文章

  1. oracle表结构修改回滚,87.Oracle数据库SQL开发之 修改表内存——数据库事务的提交和回滚...
  2. 基于大数据审计的信息安全日志分析法
  3. php chilkat.certstore,angularjs实现冒泡排序算法的可视化
  4. 什么是Servlet?
  5. 1.4 通过时间的反向传播-深度学习第五课《序列模型》-Stanford吴恩达教授
  6. python上传文件到windows_python自动化-WinSpy+pywin32文件上传操作
  7. 基于jsp+javabean+servlet的二手物品交易系统_基于Jsp+Servlet的商城系统
  8. Spring Shedule Task之注解实现 (两次启动Schedule Task 的解决方案)
  9. c++判断二叉树是否为二叉搜索树_原创 | 好端端的数据结构,为什么叫它SB树呢?...
  10. (pytorch-深度学习系列)使用Pytorch实现小型卷积神经网络网络
  11. 记录:希尔排序思路分析
  12. Linux 文件相关的常用命令
  13. 我的世界JAVA版编程语言_Java版版本记录/开发版本
  14. 软工视频(33~36)-用户界面设计
  15. TortoiseSVN 执行清理( cleanUp )失败的解决方案
  16. mybatis collection标签_MyBatis第二天(结果映射+动态sql+关联查询)
  17. 移植Andorid4.0.4 - 步骤及问题汇总
  18. ZigBee--CC2530单片机--按键控制LED灯
  19. 计算机上的24点游戏怎么玩,趣味算数二十四点游戏规则怎么玩技巧
  20. 彻底删除IE的缓存问题

热门文章

  1. PIC单片机入门_C语言编程技术
  2. linux内核编程memcpy,memcpy--内核崩溃后memcpy
  3. python数据分析 - 各种图
  4. 软件企业价格估算方法
  5. python学习笔记(十七) Tkinter鼠标事件、树状层级目录和一些补充
  6. Open3d 曲面滤波
  7. 国内自然语言处理研究组
  8. 百大项目集中开工 湖南湘江新区奋力夺取新春“开门红”
  9. 关于51单片机定时器的使用心得总结
  10. cas14510-06-6|8-羟基喹啉-2-甲醛|8-Hydroxyquinoline-2-carbaldehyde黄色结晶粉末