防火墙技术应用
目录
- 防火墙安全功能指标
- 防火墙性能指标
- 防火墙部署
- 防火墙应用案例-Linux防火墙
- 防火墙应用案例-华为包过滤防火墙ACL(基本)
- 防火墙应用案例-工控防火墙部署
防火墙安全功能指标
我们防火墙也会提供各种各样的互联接口,它这种接口有以太网、快速以太网、千兆以太网,以太网是10M,快速以太网是百兆,甚至有万兆和40G的口,ATM,令牌环及FDDI是早就淘汰的技术,现在在我们防火墙上见到的接口,百分之99都是以太网接口,没有其他接口
除了IP协议之外,工控的防火墙还支持modbus等等一系列工控协议,IPSec是现在用的,PPTP这个也是,还有IPV6
很多的厂商防火墙其实是由路由器改过来的,所以常见的路由协议都支持
现在很多防火墙都有DPI技术,深入包检测就是把你的包拆开看里面具体有什么内容,从而进行流量管理,我禁止你上迅雷、敏感网站这一类的功能
应用层控制跟流量管理差不多,都依赖DPI技术,防火墙是安全设备,能够防止各种各样的攻击,也支持SNMP的网络管理协议,能够远程通过网管软件对防火墙进行一个管理和配置
防火墙支持各种各样的审计信息,最后形成报表,输出
防火墙性能指标
最大吞吐量,比如说有些防火墙是10G,有些可能是500M,在只有一条默认允许规则不丢包的情况下,能达到的一个最大吞吐率,有防火墙整机的一个吞吐量、http吞吐量、SQL吞吐量,一般我们说的防火墙吞吐量指的是它的三层网络吞吐量,可能是10G,三层指的是网络层,如果我们要检测http或者SQL应用层,这种比较深入的检测,一般它的性能会有一个大的降低,比如应用层吞吐有1个G,网络层吞吐最大10个G
一般我们说的连接率更多的是TCP的连接率,最大的连接数量是十万,超过十万TCP就连接不上来了
最大规则数,像我们的acl配置一般都有数量,我们的防火墙其实它的规则就类似于访问控制列表一样,可以配置一千条或者一万条,防火墙性能越强,配置越多
并发连接数,同时建立的连接,一般也是看tcp连接数
防火墙安全保障指标,用于评测防火墙的安全程度,主要包含开发指导性文档、生命周期支持
环境适应性指标,用于评估防火墙的部署和正常运行的条件,电磁兼容、绝缘、接地
一般我们卖防火墙,很少看防火墙安全保障指标、环境适应性指标这些东西,除非你卖在工控领域,工控领域它的环境要稍微恶劣一点,比如说防尘,一般带电的设备都不防水,主要是防尘、防震动,像电磁兼容、绝缘、接地,没有谁会去看
防火墙自身指标了解一下就行了,像什么管理能力、异常处理不重要,最重要的是最大吞吐量、最大连接速率、最大规则数、并发连接数,最大规则数这个其实也很少看,最最重要的是吞吐,除此之外,看防火墙的接口,你是百兆口,还是千兆口、万兆口,比如一个防火墙它有十个万兆接口,那肯定是一个高端防火墙,低端防火墙不会给我们整这么高级的接口,而且接口数量不会这么多,像这种吞吐量一般也是比较大的
防火墙部署
防火墙部署的基本过程包含以下几个步骤:
① 根据组织或公司的安全策略要求,将网络划分成若干安全区域;【划分区域】
trust、untrust、dmz,local防火墙本身这个就不用管了,当然你落实到具体的项目当中,你可以根据自己的一个实际去划区域了,比如说你是医院,可能有服务器区,住院楼区域、医生办公区域,根据实际的项目去画
② 在安全区域之间设置针对网络通信的访问控制点;【设控制点】
访问控制点就是我们的防火墙设备
③ 针对不同访问控制点的通信业务需求,制定相应的边界安全策略;【定策略】
比如有N个区域,A到B是permit还是deny
④ 依据控制点的边界安全策略,采用合适的防火墙技术和防范结构;【选技术】
前面文章写过的三种体系结构,安全性最高的,你选个屏蔽子网
⑤ 在防火墙上,配置实现对应的网络安全策略;【配策略】
配置安全策略,前面我们定策略,那些是permit,那些是deny,最后我们要在防火墙去配,怎么写acl
⑥ 测试验证边界安全策略是否正常执行;【测试验证】
配完之后,本来就是deny,如果ping一下通了,那这就有问题了,所以我们要去验证,要去测试
⑦ 运行和维护防火墙。【运维维护】
说实话,这些写的很官方,实际上不落地,像我们实际项目基本上很少管屏蔽子网还是双宿主主机,我们基本上很多项目用的都是第一种,双宿主主机这种结构,至少99%用的都是这种结构
防火墙应用案例-Linux防火墙
linux防火墙上的Linux配置,linux防火墙就是iptables,还有一个是华为设备上
SSH是22端口、TELNET是23端口、SMTP是25端口、DNS是53端口、69是TFTP 、80是HTTP、443是HTTPS、110和143这些就是和邮件相关的
防火墙应用案例-华为包过滤防火墙ACL(基本)
路由器的ACL配置说白了就是包过滤防火墙
防火墙应用案例-工控防火墙部署
工业控制终端安全设备,简单理解就是杀毒软件,是部署在我们电脑上的,终端安全设备一般叫edr
相关文章:
防火墙技术应用
目录 防火墙安全功能指标防火墙性能指标防火墙部署防火墙应用案例-Linux防火墙防火墙应用案例-华为包过滤防火墙ACL(基本)防火墙应用案例-工控防火墙部署 防火墙安全功能指标 我们防火墙也会提供各种各样的互联接口,它这种接口有以太网、快速以太网、千兆以太网&am…...
docker engine stopped
1)环境:win 10 2)docker安装时已经已经安装了虚拟机 3)启用网络适配器 4)启用docker服务(依赖服务LanmanServer) 5)全都弄好了,docker还是打不开,没办法了&a…...
Redis- 内核的分配内存限制的警告“WARNING Memory overcommit must be enabled!”
文章目录 问题描述报错原因影响解决方案注意事项 问题描述 [rootredisxxx]# redis-sentinel ./sentinel.conf 19638:X 01 Nov 2024 16:57:27.180 # WARNING Memory overcommit must be enabled! Without it, background save or replication may fail under low memory condi…...
腾讯云在线扩容数据盘
文章目录 一、查询云硬盘使用的分区形式二、根据不同的云硬盘类型进行在线扩容分区2.1 安装 gdisk 工具。2.2 安装 growpart 工具使用 growpart 工具扩容分区 三、根据不同的云硬盘类型进行在线扩容文件系统3.1 扩容 EXT 文件系统3.2 扩容 XFS 文件系统 一、查询云硬盘使用的分…...
Time Travel Queries|在 RisingWave 中访问历史数据
对于许多组织来说,能够访问历史数据十分关键。以金融交易公司为例: 特定时间点的数据快照与合规审查、审计流程息息相关。企业的关键业务系统也依赖历史数据来恢复故障并重建系统。分析过去事件及其对当前状况的影响,还有助于准确预测并制定…...
Unity之UnityWebRequest
复习UnityWebRequest 介绍下载文件和上传文件下载进度和异常验证文件DownloadHandlerScript 介绍 unity中使用UnityWebRequest来代替所有HTTP请求提供了三种API,UnityWebRequest.Get,UnityWebRequest.Post,UnityWebRequest.Put分别处理GET,POST,PUT请求…...
使用 pkg 打包 Puppeteer 应用:跨平台自动化的轻量级选择
使用 pkg 打包 Puppeteer 应用 pkg 是一个非常强大的工具,它允许你将 Node.js 项目打包成独立的可执行文件,这意味着你可以在没有安装 Node.js 环境的设备上运行该应用。这对于希望分发不暴露源代码的应用程序、创建跨平台的快速演示版本或简化部署流程…...
【Flask】三、Flask 常见项目架构
目录 前言 简单项目结构 中型项目结构 复杂项目结构 前言 Flask是一个轻量级的Web应用框架,它被广泛用于快速开发简单的网站和复杂的大型应用。随着项目规模的增长,合理的项目架构变得尤为重要。这里探讨Flask项目中的三种常见架构&…...
AI机西使用体验:你不知道的强大功能揭秘!
AI机西有人用过吗?用户体验和功能详解 最近我听说了很多关于AI机西的讨论,很多人都在问:这款工具好用吗?有没有人用过?今天我就从我的使用体验出发,给大家分享一下AI机西的功能和我的感受。 1. 绘画功能&a…...
什么是护网(HVV)需要什么技术?(内附护网超全资料包)
文章目录 一、什么是护网行动?二、护网分类三、护网的时间四、护网的影响五、护网的规则六、什么是红队? 6.1、红队测试的意义 七、什么是蓝队 一、什么是护网行动? 护网行动是以公安部牵头的,用以评估企事业单位的网络安全的…...
opencv优秀文章集合
文章目录 一、 CV领域1.1 图像处理1.2 目标检测与识别1.3 图像分割、目标追踪1.4 姿态估计1.5 3D视觉1.6 图像生成1.7 机器视觉1.8 其它 二、 nlp三、语音四、推荐系统 《OpenCV优秀文章集合》《OpenCV系列课程一:图像处理入门(读写、拆分合并、变换、注…...
php处理文件上传的五种方式
dd($_FILES); //方式一 if(!empty($_FILES[file])){ //获取文件后缀方式一 //strrchr()函数查找字符在指定字符串中从右面开始的第一次出现的位置, //如果成功,返回该字符以及其后面的字符…...
C#与C++交互开发系列(十一):委托和函数指针传递
前言 在C#与C的互操作中,委托(delegate)和函数指针的传递是一个复杂但非常强大的功能。这可以实现从C回调C#方法,或者在C#中调用C函数指针的能力。无论是跨语言调用回调函数,还是在多线程、异步任务中使用委托&#x…...
【window】补充一些powershell基本命令
刚才说了一下如何用powershell管理,下边是一些常见的 PowerShell 命令及其参数的示例,补充给大家: 1. 获取帮助 Get-Help:获取命令的帮助信息。 Get-Help Get-Process Get-Help Get-Process -Examples Get-Help Get-Process -Fu…...
精准触达用户,私域三步法!
发现没?现在很多人都开始利用私域来增加潜在的客户,维护现有客户。而在私域管理中,精准触达用户是非常重要的一环。 接下来,就和大家聊聊私域精准触达用户的三个方法,让你可以实现精准营销。 1、数据分析与用户画像构…...
)
Tcl脚本介绍(一)
芯冰乐知识星球入口:芯冰乐 TCL就是Tool Command Language的简称,广泛应用在各大eda工具中。 EDA工具能够高度自动化的运行得益于TCL。 用户在编写完相关的tcl脚本后,让eda工具自动运行,便能够很大程度地解放双手了。 其实,网络上介绍TCL脚本的课程层出不穷了。应很多粉…...
安全运营 -- 监控linux命令history
0x00 背景 最近,有个IT的同事给我提了一个需求,说想监控/root/.ssh/ 文件夹下的文件变动,于是我灵机一动,这个需求只要对执行过的历史命令做审计就可以了。 0x01 实践 我实现这个功能使用 rsyslog 和 firewalld 两个组件。 我的…...
MyBatis3(动态SQL 常用的动态SQL 元素 映射器注解 基本注解 结果映射注解)
动态SQL 什么是MyBatis的动态SQL? **定义:**根据不同的条件拼接SQL语句,实现对数据库更准确的操作; **实现:**映射器配置文件或者注解 常用的动态SQL元素 if 元素:判断语句,单条件分 支判断…...
C#自定义事件的案例
方法一,详细的声明 namespace HelloWorldConsole {internal class Program{static void Main(string[] args){Customer customer new Customer();Waiter waiter new Waiter();customer.Order waiter.Action;customer.Action();}}public class OrderEventArgs : …...
flume系列之:flume机器做条带划分提高磁盘性能和吞吐量的详细步骤
flume系列之:flume机器做条带划分提高磁盘性能和吞吐量的详细步骤 磁盘条带划分新磁盘直接条带划分步骤有数据的磁盘做条带划分步骤磁盘条带划分 磁盘条带划分是将一个文件或数据块分散存储在多个物理磁盘上的技术。它可以提高磁盘的性能和吞吐量。以下是磁盘做了条带划分后可…...
内存分配函数malloc kmalloc vmalloc
内存分配函数malloc kmalloc vmalloc malloc实现步骤: 1)请求大小调整:首先,malloc 需要调整用户请求的大小,以适应内部数据结构(例如,可能需要存储额外的元数据)。通常,这包括对齐调整,确保分配的内存地址满足特定硬件要求(如对齐到8字节或16字节边界)。 2)空闲…...
STM32F4基本定时器使用和原理详解
STM32F4基本定时器使用和原理详解 前言如何确定定时器挂载在哪条时钟线上配置及使用方法参数配置PrescalerCounter ModeCounter Periodauto-reload preloadTrigger Event Selection 中断配置生成的代码及使用方法初始化代码基本定时器触发DCA或者ADC的代码讲解中断代码定时启动…...
在 Nginx Stream 层“改写”MQTT ngx_stream_mqtt_filter_module
1、为什么要修改 CONNECT 报文? 多租户隔离:自动为接入设备追加租户前缀,后端按 ClientID 拆分队列。零代码鉴权:将入站用户名替换为 OAuth Access-Token,后端 Broker 统一校验。灰度发布:根据 IP/地理位写…...
智能分布式爬虫的数据处理流水线优化:基于深度强化学习的数据质量控制
在数字化浪潮席卷全球的今天,数据已成为企业和研究机构的核心资产。智能分布式爬虫作为高效的数据采集工具,在大规模数据获取中发挥着关键作用。然而,传统的数据处理流水线在面对复杂多变的网络环境和海量异构数据时,常出现数据质…...
安宝特方案丨船舶智造的“AR+AI+作业标准化管理解决方案”(装配)
船舶制造装配管理现状:装配工作依赖人工经验,装配工人凭借长期实践积累的操作技巧完成零部件组装。企业通常制定了装配作业指导书,但在实际执行中,工人对指导书的理解和遵循程度参差不齐。 船舶装配过程中的挑战与需求 挑战 (1…...
【Linux】Linux 系统默认的目录及作用说明
博主介绍:✌全网粉丝23W,CSDN博客专家、Java领域优质创作者,掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域✌ 技术范围:SpringBoot、SpringCloud、Vue、SSM、HTML、Nodejs、Python、MySQL、PostgreSQL、大数据、物…...
tauri项目,如何在rust端读取电脑环境变量
如果想在前端通过调用来获取环境变量的值,可以通过标准的依赖: std::env::var(name).ok() 想在前端通过调用来获取,可以写一个command函数: #[tauri::command] pub fn get_env_var(name: String) -> Result<String, Stri…...
若依登录用户名和密码加密
/*** 获取公钥:前端用来密码加密* return*/GetMapping("/getPublicKey")public RSAUtil.RSAKeyPair getPublicKey() {return RSAUtil.rsaKeyPair();}新建RSAUti.Java package com.ruoyi.common.utils;import org.apache.commons.codec.binary.Base64; im…...
FTXUI::Dom 模块
DOM 模块定义了分层的 FTXUI::Element 树,可用于构建复杂的终端界面,支持响应终端尺寸变化。 namespace ftxui {...// 定义文档 定义布局盒子 Element document vbox({// 设置文本 设置加粗 设置文本颜色text("The window") | bold | color(…...
标注工具核心架构分析——主窗口的图像显示
🏗️ 标注工具核心架构分析 📋 系统概述 主要有两个核心类,采用经典的 Scene-View 架构模式: 🎯 核心类结构 1. AnnotationScene (QGraphicsScene子类) 主要负责标注场景的管理和交互 🔧 关键函数&…...