网络安全--防御保护02
第二天重要的一个点是区域这个概念
防火墙的主要职责在于控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作
防火墙的分类:
单一主机防火墙:专门有设备作为防火墙
路由集成:核心设备,可流量转发
分布式防火墙:部署多个
吞吐量 --- 防火墙同一时间处理的数据量
防火墙发展历史:
说白了就是ACL
五元组是用来标识一条数据流的(协议类型是网络层)
缺点:
1.很多安全风险集中在应用层,所以仅关注三四层的数据无法做到完全隔离安全风险
2.逐包进行包过滤检测,将导致防火墙的转发效率过低,成为网络中的瓶颈
在ACL列表中,华为体系下,末尾是没有隐含规则的,即就是如果匹配不到ACL列表,则认为ACl列表不存在,之前可以通过,则还可以通过;但是在防火墙的安全策略中,为了保证安全,末尾会隐含一条拒绝所有的规则,即就是只要没有放通的流量,都是不能通过的
1.因为需要防火墙进行先一步安全识别,所以,转发效率会降低(原来的三次握手会变成六次握手)
2.可伸缩性差:每一种应用程序需要代理的话,都需要开发对应的代理功能,如果没有开发,则无法代理
“会话包技术” ---首包检测
入侵检测设备为独立的设备(检测日志的)
IDS---一种侧重于风险管理的安全机制---滞后性
旁路部署为电路思想中的并联部署
旁路:不影响本来的情况
针对主题为流量
针对主体为文件
因为众多的专用设备导致企业在部署安全防护时,需要同时部署大量的设备进行防护,则设备维护成本大大提高,所有设备都需要对流量进行检测,所以,效率很低
在UTM中,各功能模块是串联工作的,所以检测效率并没有得到提升,但是因为集成在一台设备中,所以维护成本得到了降低
改进点核心:相较于之前UTM中各模块的串联部署变为了并联部署,仅需要一次检测,所有功能板块都可以做出相应的处理,大大提高了工作效率
多点部署:范围问题,性能问题
防火墙的其他功能
网络环境支持:三层交换机特点---像路由器也像交换机
二层口:只能解封装二层不能配ip
三层口:能配ip
防火墙的控制
带内管理---通过网络环境对设备进行控制---telnet,ssh,web---登录设备和被登录设备需要联通
带外管理---console线连接,mini usb线(备用)
华为防火墙的MGMT接口也就是G0/0/0接口默认出厂时,默认配置有ip地址192.168.0.1/24,并且该接口默认开启了DHCP和Web登录的功能,方便进行web管理
防火墙管理员
用户权限等级
本地认证 --- 用户信息存储在防火墙上,登录时防火墙根据输入的用户名和密码进行判断,如果通过认证,则成功登录
服务器认证 --- 和第三方的认证服务器对接,登录时,防火墙将登录信息发送给第三方服务器之后由第三方服务器来进行验证,通过则反馈给防火墙,防火墙放行。
一般适用于企业本身使用第三方服务器来存储用户信息,则用户信息不需要重复创建。
服务器/本地认证---优先使用服务器认证,如果服务器认证失败,则也不进行本地认证。只有在服务器对接不上的时候,才用本地认证
信任主机:添加一个ip或一个网段,则其含义是只有在该地址或者地址段内可以登录管理设备---最多可以添加10个信任主机
防火墙的组网
物理接口
二层口---不能配IP
普通的二层口
接口对---”透明网线“(深信服)---可以将两个接口绑定成为接口对,如果流量从一个接口进入,则必定从另一个接口出去,不需要查看MAC地址表。---其实一个接口也可以做接口对,从该接口进再从该接口出
旁路检测接口---主要用于防火墙的旁路部署,用于接收防火墙的镜像流量
三层口---可以配IP
虚拟接口
环回接口
子接口
链路聚合
telnet接口
VLAN接口
Bypass --- 4个千兆口其实是两队bypass口(容错机制,内部直通)---如果设备故障,则两个接口直通,保证流量不中断
虚拟系统 --- VRF技术,相当于逻辑上将一台设备分割为多太设备,平行工作,互不影响。需要通过接口区分虚拟系统的范围
管理口和其余物理接口默认不在同一个虚拟接口中
高于安全策略
接口队默认为truck
不同的虚拟空间之间通信使用的虚拟接口,只需要配置IP地址即可,新创建一个虚拟系统会自动生成一个虚拟的接口
安全区域
Trust --- 一般企业内网会被规划在Trust区域中
Untrust --- 一般公网区域被规划在untrust区域中
我们将一个接口规划到某一个区域,则代表该接口所连接的所有网络都被规划到该区域
Local---指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的,凡是需要设备响应并处理的报文,均可以认为是有Local区接收。我们无法修改Local区的配置,并且我们无法将接口划入该区域。接口本身属于该区域。
Dmz---非军事化管理区域--这个区域主要是为内网的服务器所设定的区域。这些服务器本身在内网,但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以,这个区域就代表的是严格管理和松散管理之间的部分管理区域
优先级--- 1-100 --- 取值是越大越优 ---流量从优先级高的区域到优先级低的区域 --- 出方向(outbound)
流量从优先级低的区域到优先级高的区域 --- 入方向 (inbound)
路由模式---
1,接口,区域配置完成
2,内网配置回包路由
3,是否需要配置服务器映射
4,配置内网访问外网的NAT
5、针对内外网的安全策略
透明模式---
旁路模式---
混合模式---
相关文章:
网络安全--防御保护02
第二天重要的一个点是区域这个概念 防火墙的主要职责在于控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作 防火墙的分类: 单一主机防火墙:专门有设备作为防火墙 路由集成:核心设备,可流量转发 分…...
UE5 C++学习笔记 常用宏的再次理解
1.随意创建一个类,他都有UCLASS()。GENERATED_BODY()这样的默认的宏。 UCLASS() 告知虚幻引擎生成类的反射数据。类必须派生自UObject. (告诉引擎我是从远古大帝UObject中,继承而来,我们是一家人,只是我进化了其他功能…...
SpringBoot整合SSE
目录 1.SseController2. SseServiceSseServiceSseServiceImpl 3.SendMessageTask4.将定时任务加入启动类5.参考资料 1.SseController Slf4j RestController RequestMapping("sse") public class SseController {Autowiredprivate SseService sseService;RequestMappi…...
mysql-进阶篇
文章目录 存储引擎MySQL体系结构相关操作 存储引擎特点InnoDBInnoDB 逻辑存储结构 MyISAMMemory三个存储引擎之间的区别存储引擎的选择 索引1. 索引结构B-TreeB-Tree (多路平衡查找树)B-Tree演变过程 BTree与 B-Tree 的区别BTree演变过程 Hash 2.索引分类3.索引语法演示 4.SQL性…...
Js中的构造函数
在JavaScript中,构造函数是一种特殊类型的方法,用于创建并初始化一个新的对象。它通常使用 new 关键字来调用,并且通常以大写字母开头,以与其他非构造函数区分开来。 一个简单的构造函数示例: function Person(name,…...
[小程序]页面事件
一、下拉刷新 1.开启和配置 小程序中开启下拉刷新的方式有两种: ①全局开启下来刷新 在app.json的window节点中,设置enablePullDownRefresh设为ture。 ②局部开启下来刷新 在页面对应的json文件的的window节点中,设置enablePullDownRefresh设…...
vue echarts地图
下载地图文件: DataV.GeoAtlas地理小工具系列 范围选择器右侧行政区划范围中输入需要选择的省份或地市,选择自己想要的数据格式,这里选择了geojson格式,点右侧的蓝色按钮复制到浏览器地址栏中,打开的geojson文件内容…...
v38.Switch语句
1.Switch语句可以替代if-else语句 2.具体使用 Switch(expression) { case label:...... } ①将x与case后的label 进行比较; ②注意后面有冒号; ③从上往下开始检查case; ④如果…...
如何进行产品的人机交互设计?
产品的人机交互设计是指通过用户界面和用户体验设计来优化产品与用户之间的交互过程,从而提高产品的易用性、可用性和用户满意度。人机交互设计需要考虑用户的需求、行为模式、心理感受以及技术实现,下面我将介绍如何进行产品的人机交互设计。 首先&…...
【ARMv8M Cortex-M33 系列 7.3 -- EXC_RETURN 与 LR 及 PC 的关系详细介绍】
请阅读【嵌入式开发学习必备专栏 之 ARM Cortex-Mx专栏】 文章目录 背景EXC_RETURN 与 LR 及 PCcortex-m33 从异常返回后 各个寄存器出战顺序ARM 栈增长方式 背景 接着上篇文章:【ARMv8M Cortex-M33 系列 7.2 – HardFault 问题定位 1】,后面定位到是在…...
Linux之权限(内容详细,细节满满)
个人主页:点我进入主页 专栏分类:C语言初阶 C语言程序设计————KTV C语言小游戏 C语言进阶 C语言刷题 数据结构初阶 Linux 欢迎大家点赞,评论,收藏。 一起努力 目录 一.前言 二.权限修改的两种方法 …...
了解云工作负载保护:技术和最佳实践
云工作负载是指云环境中的应用程序或存储元素,无论是公共云、私有云还是混合云。每个云工作负载都使用云的资源,包括计算、网络和存储。 云工作负载可以多种多样,例如运行应用程序、数据库或托管网站。它们可以是静态的或动态的,…...
【Godot4自学手册】第三节设置主人公的动画
继续,今天是第三节,我们主要实现主人公的动画效果,共有两种方法实现动画效果 一、通过AnimationPlayer节点实现动画效果 我们首先在player场景下,player节点下添加AnimationPlayer节点,添加方法是,在play…...
excel学习1
直接ctrl cctrl v会报错位移选择粘贴时用123那个数字粘贴而不是ctrl V 只要结果不要公式 上面复制的为数值这里是复制的公式他们两个不一样 这个方法太麻烦了直接用格式刷,选择一个区域一个单元格,不要选择多个一刷就出来了 第一个计算后向下拖就行了&…...
裁员致谷歌中国籍程序员身亡,技术变革下裁员对程序员的影响有多大
裁员,这是一个令无数人心悸的词汇。在瞬息万变的科技时代,裁员仿佛成了不少公司应对困境的“救命稻草”。然而,在这背后,每一名员工,每一个程序员,他们所承担的代价,又有多少人能够深切地理解&a…...
MybatisPlus的主键ID生成策略和公共字段自动填充的使用及注意事项
主键策略(ID自动生成) 以下是MyBatis-Plus中常见的几种主键生成策略及其对应的枚举值(3.3.0之前的版本): 主键生成策略枚举值数据库自增IdType.AUTO用户输入IdType.INPUT分布式全局唯一IDIdType.ID_WORKER分布式全局…...
【GitHub项目推荐--微软开源的可视化工具】【转载】
说到数据可视化,大家都很熟悉了,设计师、数据分析师、数据科学家等,都需要用各种方式各种途径做着数据可视化的工作.....当然许多程序员在工作中有时也需要用到一些数据可视化工具,如果工具用得好,就可以把原本枯燥凌乱…...
Python基础之文件操作(I/O)
和其他编程语言一样,Python 也具有操作文件(I/O)的能力,比如打开文件、读取和追加数据、插入和删除数据、关闭文件、删除文件等。合理应用python提供的文件操作基本函数,可大大提高自动化实现的效率与框架代码的稳定性…...
k8s--helm
什么是helm?在没有这个helm之前,deployment service ingress helm的作用 通过打包的方式,把deployment service ingress等打包在一块,一键式的部署服务,类似yum安装 官方提供的一个类似与安装仓库额功能,…...
算法训练营第五十六天|583. 两个字符串的删除操作 72. 编辑距离
目录 Leetcode583. 两个字符串的删除操作Leetcode72. 编辑距离 Leetcode583. 两个字符串的删除操作 文章链接:代码随想录 题目链接:583. 两个字符串的删除操作 思路:直接记录需要改(增或删)几个,也就是求不…...
【Axure高保真原型】引导弹窗
今天和大家中分享引导弹窗的原型模板,载入页面后,会显示引导弹窗,适用于引导用户使用页面,点击完成后,会显示下一个引导弹窗,直至最后一个引导弹窗完成后进入首页。具体效果可以点击下方视频观看或打开下方…...
: K8s 核心概念白话解读(上):Pod 和 Deployment 究竟是什么?)
云原生核心技术 (7/12): K8s 核心概念白话解读(上):Pod 和 Deployment 究竟是什么?
大家好,欢迎来到《云原生核心技术》系列的第七篇! 在上一篇,我们成功地使用 Minikube 或 kind 在自己的电脑上搭建起了一个迷你但功能完备的 Kubernetes 集群。现在,我们就像一个拥有了一块崭新数字土地的农场主,是时…...
Java如何权衡是使用无序的数组还是有序的数组
在 Java 中,选择有序数组还是无序数组取决于具体场景的性能需求与操作特点。以下是关键权衡因素及决策指南: ⚖️ 核心权衡维度 维度有序数组无序数组查询性能二分查找 O(log n) ✅线性扫描 O(n) ❌插入/删除需移位维护顺序 O(n) ❌直接操作尾部 O(1) ✅内存开销与无序数组相…...
【SQL学习笔记1】增删改查+多表连接全解析(内附SQL免费在线练习工具)
可以使用Sqliteviz这个网站免费编写sql语句,它能够让用户直接在浏览器内练习SQL的语法,不需要安装任何软件。 链接如下: sqliteviz 注意: 在转写SQL语法时,关键字之间有一个特定的顺序,这个顺序会影响到…...
ArcGIS Pro制作水平横向图例+多级标注
今天介绍下载ArcGIS Pro中如何设置水平横向图例。 之前我们介绍了ArcGIS的横向图例制作:ArcGIS横向、多列图例、顺序重排、符号居中、批量更改图例符号等等(ArcGIS出图图例8大技巧),那这次我们看看ArcGIS Pro如何更加快捷的操作。…...
智能分布式爬虫的数据处理流水线优化:基于深度强化学习的数据质量控制
在数字化浪潮席卷全球的今天,数据已成为企业和研究机构的核心资产。智能分布式爬虫作为高效的数据采集工具,在大规模数据获取中发挥着关键作用。然而,传统的数据处理流水线在面对复杂多变的网络环境和海量异构数据时,常出现数据质…...
Mac下Android Studio扫描根目录卡死问题记录
环境信息 操作系统: macOS 15.5 (Apple M2芯片)Android Studio版本: Meerkat Feature Drop | 2024.3.2 Patch 1 (Build #AI-243.26053.27.2432.13536105, 2025年5月22日构建) 问题现象 在项目开发过程中,提示一个依赖外部头文件的cpp源文件需要同步,点…...
A2A JS SDK 完整教程:快速入门指南
目录 什么是 A2A JS SDK?A2A JS 安装与设置A2A JS 核心概念创建你的第一个 A2A JS 代理A2A JS 服务端开发A2A JS 客户端使用A2A JS 高级特性A2A JS 最佳实践A2A JS 故障排除 什么是 A2A JS SDK? A2A JS SDK 是一个专为 JavaScript/TypeScript 开发者设计的强大库ÿ…...
基于Springboot+Vue的办公管理系统
角色: 管理员、员工 技术: 后端: SpringBoot, Vue2, MySQL, Mybatis-Plus 前端: Vue2, Element-UI, Axios, Echarts, Vue-Router 核心功能: 该办公管理系统是一个综合性的企业内部管理平台,旨在提升企业运营效率和员工管理水…...
MySQL 索引底层结构揭秘:B-Tree 与 B+Tree 的区别与应用
文章目录 一、背景知识:什么是 B-Tree 和 BTree? B-Tree(平衡多路查找树) BTree(B-Tree 的变种) 二、结构对比:一张图看懂 三、为什么 MySQL InnoDB 选择 BTree? 1. 范围查询更快 2…...