免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

【課程目標】：

一、 防火墻技術原理

二、 防火墻的定義

三、 防火墻技術原理

【學習筆記】：

一、防火墻技術原理

1、 防火墻概要介紹

2、 防火墻功能及原理

3、 防火墻典型應用

4、 防火墻存在的問題

二、防火墻的定義

防火墻：一種高級訪問控制設備，置于不同網(wǎng)絡安全域之間，它通過相關的安全策略來控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡的訪問行為。

三、防火墻的核心技術

1、 包過濾：最常用的技術。工作在網(wǎng)絡層，根據(jù)數(shù)據(jù)包頭中的IP、端口、協(xié)議等確定是否數(shù)據(jù)包通過

2、 應用代理：另一種主要技術，工作在第7層應用層，通過編寫應用代理程序，實現(xiàn)對應用層數(shù)據(jù)的檢測和分析

3、 狀態(tài)檢測：工作在2－4層，控制方式與1同，處理的對象不是單個數(shù)據(jù)包，而是整個連接，通過規(guī)則表（管理人員和網(wǎng)絡使用人員事先設定好的）和連接狀態(tài)表，綜合判斷是否允許數(shù)據(jù)包通過。

4、 完全內容檢測：需要很強的性能支撐，既有包過濾功能、也有應用代理的功能。工作在2-7層，不僅分析數(shù)據(jù)包頭信息、狀態(tài)信息，而且對應用層協(xié)議進行還原和內容分析，有效防范混合型安全威脅。

四、包過濾防火墻技術原理

1、 簡單包過濾防火墻不檢查數(shù)據(jù)區(qū)

2、 簡單包過濾防火墻不建立連接狀態(tài)表

3、 前后報文無關

4、 應用層控制很弱

五、應用代理防火墻技術原理

1、 不檢查IP\TCP報頭

2、 不建立連接狀態(tài)表

3、 網(wǎng)絡層保護比較弱

六、狀態(tài)檢測防火墻技術原理

1、 不檢查數(shù)據(jù)區(qū)

2、 建立連接狀態(tài)表

3、 前后報文相關

4、 應用層控制很弱

七、完全內容檢測防火墻技術原理

1、 網(wǎng)絡層保護強

2、 應用層保護強

3、 會話保護很強

4、 上下文相關

5、 前后報文有聯(lián)系

八、防火墻體系結構

1、 過濾路由器

2、 多宿主主機

3、 被屏蔽主機

4、 被屏蔽子網(wǎng)

九、過濾路由器（Filtering Router）

1、 過濾路由器作為內外網(wǎng)連接的唯一通道，通過ACL策略要求所有的報文都必須在此通過檢查，實現(xiàn)報文過濾功能

2、 它的缺點是一旦被攻陷后很難發(fā)現(xiàn)，而且不能識別不同的用戶（沒有日志記錄）。

十、雙宿主主機（Dual Homed Gateway）

1、 雙宿主主機優(yōu)于過濾路由器的地方是：堡壘主機的系統(tǒng)軟件可用于維護系統(tǒng)日志

2、 它的致使弱點是：一旦入侵者侵入堡壘主機，則無法保證內部網(wǎng)絡的安全。

十一、被屏蔽主機（Screened Host Gateway ）

1、 通常在路由器上設立ACL過濾規(guī)則，并通過堡壘主機進行數(shù)據(jù)轉發(fā)，來確保內部網(wǎng)絡的安全

2、 弱點：如果攻擊者進入屏蔽主機內，內網(wǎng)中就會受到很大的威脅，這與雙宿主主機受攻擊時的情形差不多。

十二、被屏蔽子網(wǎng)（Screened Subnet）

1、 這種結構是在內部網(wǎng)絡和外部網(wǎng)絡之間建立一個被隔離的子網(wǎng)，用兩臺過濾路由器分別與內部網(wǎng)絡和外部網(wǎng)絡連接，中間通過堡壘主機進行數(shù)據(jù)轉發(fā)。

2、 特點：如果攻擊者試圖進入內網(wǎng)或者子網(wǎng)，他必須攻破過濾路由器和雙宿主主機，然后才可以進入子網(wǎng)主機，整個過程中將引發(fā)警報機制。

十三、防火墻技術原理

2、防火墻基本功能

十四、防火墻基本功能

1、 訪問控制（防火墻是一種高級的訪問控制設備）

2、 地址轉換（都會部署在內外網(wǎng)之間，尤其是互聯(lián)網(wǎng)出口，因此會涉及到地址轉換問題）

3、 網(wǎng)絡環(huán)境支持（2層或3層之間的內部連接）

4、 帶寬管理功能（如觀看視頻時，同時其它人要去炒股，）

5、 入侵檢測和攻擊防御

6、 用戶認證

7、 高可用性

十五、基本訪問控制功能

十六、時間控制策略

十七、地址轉換策略（1）

十八、地址轉換策略（2）

十九、網(wǎng)絡環(huán)境支持（固定）

二十、網(wǎng)絡環(huán)境支持

二十一、網(wǎng)絡環(huán)境支持－動態(tài)路由

二十二、網(wǎng)絡環(huán)境支持－ADSL撥號

二十三、網(wǎng)絡環(huán)境支持－SNMP網(wǎng)絡管理

二十四、網(wǎng)絡環(huán)境支持－IP MAC綁定（防止IP濫用的現(xiàn)象）

二十五、帶寬管理QOS（可以根據(jù)業(yè)務進行不同的流量分配，以保證重要業(yè)務的應用）

二十六 、入侵檢測和攻擊防御－內置入侵檢測

二十七、入侵檢測和攻擊防御－入侵檢測聯(lián)

二十八、用戶認證

二十九、高可用性－雙機熱備

三十、高可用性－負載均衡

三十一、高可用性－鏈路備份

三十二、防火墻典型應用－接入方式－透明接入

三十三、防火墻典型應用－接入方式－路由接入（在同一網(wǎng)段）

三十四、防火墻典型應用－接入方式－綜合接入

三十五、防火墻典型應用（星形結構）

三十六、防火墻的典型應用（梯形結構）

三十七、防火墻的典型應用三（簡單結構）

三十八、防火墻性能介紹－防火墻性能的五大指標

1、 吞吐量：很重要。該指標直接影響網(wǎng)絡的性能，吞吐量

2、 時延：很重要。入口處輸入幀最后1個比特到達至出口處輸出幀的第1個比特輸出所用的時間間隔

3、 丟包率：在穩(wěn)態(tài)負載下，應由網(wǎng)絡設備傳輸，但由于資源投入而被丟棄的幀的百分比。現(xiàn)在性能發(fā)展了，這種情況已經(jīng)較少了。

4、 背靠背：從空閑狀態(tài)開始，以達到傳輸介質最小合法間隔極限的傳輸速率發(fā)送相當數(shù)量的固定長度的幀，當出現(xiàn)第一個幀丟失時，發(fā)送的幀數(shù)現(xiàn)在性能發(fā)展了，這種情況已經(jīng)較少了。

5、 并發(fā)連接數(shù)：很重要。并發(fā)連接數(shù)是指穿越防火墻的主機之間或主機防火墻之間能同時建立的最大連接數(shù)

6、 每秒新建連接數(shù)：很重要。1秒之內能夠新建的連接數(shù)量，體現(xiàn)了防火墻的反應能力或者說是靈敏度。

三十九、吞吐量

1、 定義：在不丟包的情況下能夠達到的最大速率

2、 衡量標準：吞吐量越大，防火墻的性能越高

四十、時延

1、 定義：入口處輸入幀最后1個比特到達至出口處輸出幀的第一個比特輸出所用的時間間隔

2、 衡量標準：延時越小，表示防火（比較好的在us微秒級，有的在ms毫秒級）

四十一、丟包率

1、 定義：在連續(xù)負載。。。

四十二、背靠背

四十三、并發(fā)連接數(shù)