1. 防火牆簡介
a. 防火牆位於兩個不同信任度網路之間,負責進行通訊控制,強制實施統一的安全策略,防止對重要資訊資源的非法行為。
b. 防火牆可以是軟甲也可以是硬體裝置,或者兩者的組合。
c. 作用:隔離內,外網路。
d. 主要功能: 過濾資料報 ; 對網路攻擊行為檢測和報警 ; 記錄通過防火牆的資訊內容和活動 ;控制和封堵未得到允許的訪問行為。
2. 防火牆的相關概念
a. 非信任網路(公共網路):處於防火牆之外的公共開發網路
b. 信任網路(內部網路): 位於防火牆之內的可信網路,是防火牆要保護的目標。
c. dmz(非軍事化區) : 可以位於防火牆之外,也可以位於防火牆之內,一般用於防止提供公共網路服務的裝置上。
d. 可信主機: 位於內部網的主機。
e. 非可信主機:不具有可信特性的主機。
h. 包過濾: 根據資料報的頭部,按照規則進行判斷,決定繼續**還是丟棄。
3. 防火牆的優缺點
優點:(1) 強化安全策略
(2) 有效記錄網際網路上的活動
(3) 把可疑的連線或訪問拒之門外。
缺點:(1) 不能防範不經由防火牆的攻擊
(2) 不能防止感染了病毒的軟體或檔案的傳輸。
(3) 不能防止資料驅動式攻擊。
4. 防火牆的分類(根據實現原理)
(1) 包過濾防火牆
(2)應用層閘道器防火牆
(3)狀態檢測防火牆
5. 包過濾防火牆(基於網路層的安全技術)
(1) 在網路的入口對要通過的資料報進行檢查是否滿足過濾規則。
(2)包過濾防火牆檢查會每個ip包的源位址,目的位址,協議,埠等資訊。
(3) 優點: 簡單實用,實現成本低。
缺點: 無法識別基於應用層的惡意侵入。
6. 應用層閘道器防火牆
(1) 應用層閘道器防火牆又稱為**。
不允許在它連線的網路之間直接通訊;
而是接受來自內部**定使用者應用程式的通訊,然後建立與公共網路伺服器單獨的連線。
(2)**伺服器必須為特定的應用程式安裝**程式**,才可以實現通訊。
(3)優點:能對付應用層的侵入和病毒。
(4)缺點:影響系統的整體效能;增加系統管理的複雜性。
7. 狀態檢測防火牆
(1) 狀態檢測防火牆又稱為動態過濾防火牆,是包過濾防火牆的功能公升級版。
(2) 實現原理:
跟蹤防火牆的網路連線和資料報,使用一組附加的標準確定是否允許通訊。
(3)a. 狀態檢測防火牆可以有效地判斷各層中的非法入侵。
b. 一般附帶的分布式探測器可以對網路內部的惡意破壞有極強的防範作用。
8. 訪問控制列表
(1) ip訪問控制列表(acl)是實現包過濾的核心技術。
(2)acl由一系列允許和拒絕條件的集合,通過訪問列表可以過濾發進和發出的資訊包的請求,實現對路由器和網路的安全控制。路由器逐個地檢測包與訪問列表的條件,在滿足第乙個匹配條件後,就可以決定是否接受或拒收該包。
(3)ip訪問控制列表的分類:
(4)ip訪問控制列表的配置
a. 建立標準訪問控制列表:
router(config) # access-list access-list-number source [source-wildcard]
引數說明:
access-list-number: 定義訪問列表的編號,取值範圍為1~99
deny或者permit : 指定了允許還是拒絕資料報
source-wildcard : 傳送資料報的主機的萬用字元掩碼。
提示1: 在訪問控制列表中,萬用字元掩碼(255.255.255.255 減去子網掩碼求出),其中255.255.255.255 表示所有的ip位址(可以用any代替),0.0.0.0表示所有32位都要進行匹配,表示本機,用host表示。
b. 建立擴充套件訪問控制列表:
router (config) # access-list access-list-number
protocol
[protocol-specific options ] [ established ] [ log ]
引數說明:
access-list-number : 定義訪問列表的編號,取值範圍為100~199
deny 或 permit : 指定了允許還是拒絕資料報。
protocol : 協議 。 如ip,tcp,udp,icmp,ospf等
source , destination , destination-wildcard : 源位址 和目標位址
source-wildcard : 萬用字元掩碼。
protocol-specific options : 指定協議選項,用lt , eq ,gt, neq (小於,等於,大於,不等於) 加埠號來指定,如 eq 80
c. 在介面配置模式下,使用access-group命令將acl應用到某一介面上
router(config-if ) # ip access-group access-list-number
其中,in 和 out 引數可以控制介面不同方向的資料報,如果不配置該引數,預設為out.
網路管理員學習筆記 第七章 網路安全 002
1.安全套接層ssl 1 ssl 提供了了兩台計算機之間的安全連線,對整個會話進行加密,保證安全傳輸。2 ssl 工作在 應用層 和傳輸層 3 ssl層 包括 ssl 握手協議 ssl 修改密文協議 ssl告警協議 ssl 記錄協議。4 ssl 的3個基本功能 a.驗證身份 b.資料的機密性 c.報...
軟考網路管理員學習筆記7之第七章網路管理技術
考法分析 本考點的基本考法是能夠識別 windows 系統下,常見命令的含義與作用 要點分析 1 需要熟悉掌握常見命令,如 ipcon g ping tracert netstat router print nslookup 2 ipcon g 可以顯示當前 tcp ip 網路配置的內容 3 pin...
網路管理員基礎
心態 責任心 不怕髒 不怕累硬體工具 網線鉗 測線器3.0 集線器 尋線器水晶頭網線 改錐套裝 烙鐵萬能表 吸塵器讀卡器 3.0u盤 多功能轉接線 console 線 usb 轉rs232 串列埠線 系統光碟 xp 86 64 win7 86 64 win8 86 64 行動硬碟 移動光碟機 ups...